Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning

Regeringens proposition 2017/18:171

Dataskydd inom Socialdepartementets	Prop.
verksamhetsområde - en anpassning till EU:s	2017/18:171
dataskyddsförordning

Regeringen överlämnar denna proposition till riksdagen.

Linköping den 15 mars 2018

Stefan Löfven

Lena Hallengren

(Socialdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag som syftar till att anpassa lagar inom Socialdepartementets verksamhetsområde till EU:s nya dataskydds- förordning. Förslagen innebär att lagarna om personuppgiftsbehandling i de berörda verksamheterna ska utgöra kompletteringar till dataskydds- förordningen och den nya generella dataskyddslagen. Hänvisningar till personuppgiftslagen (1998:204) tas bort och ersätts i vissa fall av hän- visningar till dataskyddsförordningen och dataskyddslagen. Vidare före- slås t.ex. att bestämmelser om rättelse och skadestånd ska tas bort efter- som sådant i stället kommer att regleras av dataskyddsförordningen och dataskyddslagen.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

Prop. 2017/18:171 Innehållsförteckning

1	Förslag till riksdagsbeslut .................................................................			9
2	Lagtext	............................................................................................		10
	2.1	Förslag till lag om ändring i socialförsäkringsbalken .......		10
	2.2	Förslag till lag om ändring i lagen (1996:1156) om
		receptregister ....................................................................		16
	2.3	Förslag till lag om ändring i lagen (1998:543) om
	...............................................................	hälsodataregister		19
	2.4	Förslag till lag om ändring i lagen (2001:454) om
	.........	behandling av personuppgifter inom socialtjänsten		20
	2.5	Förslag till lag om ändring i lagen (2002:297) om
	............................	biobanker i hälso - och sjukvården m.m		22
	2.6	Förslag till lag om ändring i lagen (2005:258) om
	......................................................	läkemedelsförteckning		25
	2.7	Förslag till lag om ändring i lagen (2006:351) om
	.....................................................	genetisk integritet m.m		28
	2.8	Förslag till lag om ändring i lagen (2006:496) om
	.....................................................................	blodsäkerhet		29
	2.9	Förslag till lag om ändring i lagen (2006:1570) om
	.......	skydd mot internationella hot mot människors hälsa		30
	2.10	Förslag till lag om ändring i lagen (2008:286) om
		kvalitets - och säkerhetsnormer vid hantering av
	.........................................	mänskliga vävnader och celler		32
	2.11	Förslag till lag om ändring i patientdatalagen
	........................................................................	(2008:355)		33
	2.12	Förslag till lag om ändring i apoteksdatalagen
	........................................................................	(2009:367)		40
	2.13	Förslag till lag om ändring i lagen (2010:111) om
	...............................	införande av socialförsäkringsbalken		43
	2.14	Förslag till lag om ändring i alkohollagen
	......................................................................	(2010:1622)		44
	2.15	Förslag till lag om ändring i lagen (2012:263) om
		kvalitets - och säkerhetsnormer vid hantering av
	...............................................................	mänskliga organ		45
	2.16	Förslag till lag om ändring i lagen (2012:453) om
	...................	register över nationella vaccinationsprogram		46
	2.17	Förslag till lag om ändring i lagen (2016:526) om
		behandling av personuppgifter i ärenden om licens
	....................................................................	för läkemedel		49
3	Ärendet ............................................................och dess beredning			52
4	Något om ....................................................................gällande rätt			52
	4.1 ....................................	Internationella överenskommelser		52
	...........................................	4.1.1	Förenta nationerna	52
		4.1.2	OECD53
	4.2 .........................................................................	Europarätt		53
	.....................................................	4.2.1	Europarådet	53
2	.........................................	4.2.2	Europeiska unionen	54
2	4.3 ........................................................................	Svensk rätt		56

		4.3.1	Regeringsformen ............................................	56	Prop. 2017/18:171
		4.3.2	Dataskyddsdirektivets genomförande –
			personuppgiftslagen........................................	56
5	Utgångspunkter för lagstiftningsärendet ........................................			56
	5.1	EU:s dataskyddsreform ...................................................		56

5.2Behandling av personuppgifter som i dag är laglig bör kunna fortsätta men författningsstöd för annan

behandling bör inte införas nu .........................................

5.3Författningsreglering som motsvarar bestämmelser i

		dataskyddsförordningen bör behållas om det blir
		tydligare...........................................................................	61
	5.4	Myndigheter och verksamheter som inte har
		registerförfattningar.........................................................	63
6	Allmänna överväganden.................................................................		68

6.1Nationella bestämmelser anpassar tillämpningen av

	bestämmelserna i dataskyddsförordningen......................	68
6.2	Registerförfattningarnas tillämpningsområde..................	70

6.3Registerförfattningarnas förhållande till annan

6.6.1Förbud mot att behandla känsliga personuppgifter och möjligheterna till

undantag .........................................................

6.6.2Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt

	skydd .............................................................	93
6.6.3	Undantag för viktiga allmänna intressen ........	94

6.6.4Undantag för hälso- och sjukvård samt

	social omsorg..................................................	97
6.6.5	Undantag för folkhälsoområdet ....................	107

6.6.6Fler uppgifter blir känsliga

		personuppgifter.............................................	109
6.7	Uppgifter om lagöverträdelser.......................................		113
6.8	Den registrerades rättigheter..........................................		117
	6.8.1	Utökade rättigheter för registrerade..............	117

6.8.2Begränsningar av den registrerades

		rättigheter......................................................	128
6.9	Skyddsåtgärder ..............................................................		134
	6.9.1	Den generella regleringen av åtgärder
		som begränsar behandlingen av
		personuppgifter.............................................	134

Prop. 2017/18:171	6.9.2	Bestämmelser om skyddsåtgärder i
		registerförfattningar.......................................	136
6.10	Gallring och bevarande ..................................................		142
6.11	Sanktioner ......................................................................		147
	6.11.1	Skadestånd.....................................................	147
	6.11.2	Administrativa sanktionsavgifter...................	150
6.12	Överklagande av beslut som fattats av en myndighet
	i egenskap av personuppgiftsansvarig ............................		152
7 Särskilda överväganden och förslag som rör lagar inom
Socialdepartementets verksamhetsområde....................................			154
7.1	Patientdatalagen (2008:355)...........................................		154
	7.1.1	Lagens tillämpningsområde...........................	154
	7.1.2	Förhållandet till annan
		dataskyddsreglering.......................................	158
	7.1.3	Samtycke som grund för behandlingen .........	159
	7.1.4	Ändrad hänvisning i fråga om
		finalitetsprincipen..........................................	160
	7.1.5	Personuppgifter som får behandlas i fråga
		om uppgifter om lagöverträdelser..................	161
	7.1.6	Känsliga personuppgifter...............................	161
	7.1.7	Sökbegränsningar ..........................................	163
	7.1.8	Nationella och regionala kvalitetsregister .....	164
	7.1.9	Rättigheter för den enskilde...........................	168
	7.1.10	Skadestånd.....................................................	171
	7.1.11	Bestämmelsen om överklagande upphävs .....	171
7.2	Apoteksdatalagen (2009:367).........................................		172
	7.2.1	Förhållandet till annan reglering....................	172
	7.2.2	Den enskildes inställning till behandling
		av personuppgifter.........................................	172
	7.2.3	Ändrad hänvisning i fråga om
		finalitetsprincipen..........................................	175
	7.2.4	Känsliga personuppgifter...............................	175
	7.2.5	Bestämmelsen om rättelse och skadestånd
		upphävs..........................................................	176
	7.2.6	Information som ska lämnas självmant .........	177
7.3	Lagen (2016:526) om behandling av personuppgifter
	i ärenden om licens för läkemedel..................................		178
	7.3.1	Förhållandet till annan reglering....................	178
	7.3.2	Ändrad hänvisning i fråga om
		finalitetsprincipen..........................................	179
	7.3.3	Känsliga personuppgifter...............................	179
	7.3.4	Bestämmelsen om rättelse och skadestånd
		upphävs..........................................................	181
	7.3.5	Information som ska lämnas självmant .........	181
7.4	Lagen (2001:454) om behandling av personuppgifter
	inom socialtjänsten.........................................................		183
	7.4.1	Lagens tillämpningsområde...........................	183
	7.4.2	Förhållandet till annan reglering....................	184
	7.4.3	Känsliga personuppgifter...............................	185
4

7.4.4Bestämmelsen om rättelse och skadestånd

		upphävs.........................................................	187
	7.4.5	Bestämmelsen om överklagande upphävs ....	187
7.5	Socialförsäkringsbalken ................................................		188
	7.5.1	Bestämmelsen om tillämpningsområdet
		behålls...........................................................	188
	7.5.2	Rätten att invända mot behandling av
		personuppgifter.............................................	188
	7.5.3	Förhållandet till annan reglering...................	190
	7.5.4	Bestämmelsen om personuppgiftsansvar
		placeras i en egen paragraf ...........................	190
	7.5.5	Ändrad hänvisning i fråga om
		finalitetsprincipen .........................................	192
	7.5.6	Känsliga personuppgifter och uppgifter
		om lagöverträdelser ......................................	193
	7.5.7	Sökbegränsningar .........................................	195
	7.5.8	Överföring av personuppgifter till
		tredjeländer...................................................	196
	7.5.9	Bestämmelsen om gallring får ändrad
		lydelse...........................................................	198
	7.5.10	Information som ska lämnas på begäran.......	198

7.5.11Bestämmelsen om rättelse och skadestånd

	upphävs.........................................................	200
7.5.12	Bestämmelsen om överklagande upphävs ....	200

7.5.13Automatiserade beslut i

socialförsäkringsbalken ................................

200

7.6Lagen (2010:111) om införande av

7.7.6Bestämmelsen om rättelse och skadestånd

		upphävs.........................................................	209
7.8	Lagen (2005:258) om läkemedelsförteckning ...............		209
	7.8.1	Förhållandet till annan reglering...................	209
	7.8.2	Känsliga personuppgifter..............................	209
	7.8.3	Bestämmelsen om återkallelse av
		samtycke upphävs.........................................	210
	7.8.4	Information som ska lämnas självmant ........	211
	7.8.5	Information som ska lämnas på begäran.......	213
	7.8.6	Bestämmelsen om rättelse och skadestånd
		upphävs.........................................................	214
7.9	Lagen (1998:543) om hälsodataregister ........................		214
	7.9.1	Förhållandet till annan reglering...................	214

7.9.2Bestämmelsen om rättelse och skadestånd

upphävs.........................................................

214

Prop. 2017/18:171

7.10Lagen (2012:453) om register över nationella

vaccinationsprogram ......................................................		215
7.10.1	Förhållandet till annan reglering....................	215

7.10.2Ändrad hänvisning i fråga om

finalitetsprincipen..........................................

215

7.10.3Bestämmelsen om rättelse och skadestånd

	upphävs..........................................................	216
7.10.4	Information som ska lämnas självmant .........	216

7.11Lagen (2002:297) om biobanker i hälso- och

	sjukvården m.m. .............................................................		218
	7.11.1	Förhållandet till annan
		dataskyddsreglering.......................................	218
	7.11.2	Hänvisning till personuppgiftslagen i
		bestämmelsen om utlämnande av
		journalhandling upphävs ...............................	219
	7.11.3	Bestämmelsen om rättelse och skadestånd
		upphävs..........................................................	221
	7.11.4	Hänvisning till personuppgiftslagen i
		bestämmelsen om tillsyn ändras....................	221
	7.11.5	Bestämmelsen om överklagande upphävs .....	222
7.12	Lagen (2006:351) om genetisk integritet m.m. ..............		223
	7.12.1	Förhållandet till annan
		dataskyddsreglering.......................................	223
7.13	Lagen (2006:496) om blodsäkerhet................................		223
	7.13.1	Förhållandet till annan
		dataskyddsreglering.......................................	223
	7.13.2	Bestämmelsen om rättelse och skadestånd
		upphävs..........................................................	224

7.14Lagen (2008:286) om kvalitets- och säkerhetsnormer

vid hantering av mänskliga vävnader och celler.............		224
7.14.1	Förhållandet till annan
	dataskyddsreglering.......................................	224

7.14.2Bestämmelsen om rättelse och skadestånd

upphävs..........................................................

224

7.15Lagen (2012:263) om kvalitets- och säkerhetsnormer

vid hantering av mänskliga organ...................................		225
7.15.1	Förhållandet till annan
	dataskyddsreglering.......................................	225

7.15.2Bestämmelsen om rättelse och skadestånd

upphävs..........................................................

225

7.16Lagen (2006:1570) om skydd mot internationella hot

9	Konsekvenser	...............................................................................	233	Prop. 2017/18:171
	9.1.1	Allmänna konsekvenser ................................	233
10	Författningskommentar ................................................................		234

10.1Förslaget till lag om ändring i

socialförsäkringsbalken .................................................

234

10.2Förslaget till lag om ändring i lagen (1996:1156) om

receptregister .................................................................

238

10.3Förslaget till lag om ändring i lagen (1998:543) om

hälsodataregister............................................................

239

10.4Förslaget till lag om ändring i lagen (2001:454) om

behandling av personuppgifter inom socialtjänsten.......

240

10.5Förslaget till lag om ändring i lagen (2002:297) om

biobanker i hälso- och sjukvården m.m.........................

241

10.6Förslaget till lag om ändring i lagen (2005:258) om

läkemedelsförteckning...................................................

242

10.7Förslaget till lag om ändring i lagen (2006:351) om

genetisk integritet m.m. .................................................

244

10.8Förslaget till lag om ändring i lagen (2006:496) om

blodsäkerhet...................................................................

244

10.9Förslaget till lag om ändring i lagen (2006:1570) om

skydd mot internationella hot mot människors hälsa..... 244

10.10Förslaget till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av

mänskliga vävnader och celler ......................................

245

10.11Förslaget till lag om ändring i patientdatalagen

(2008:355) .....................................................................

245

10.12Förslaget till lag om ändring i apoteksdatalagen

(2009:367) .....................................................................

249

10.13Förslaget till lag om ändring i lagen (2010:111) om

införande av socialförsäkringsbalken ............................

250

10.14Förslaget till lag om ändring i alkohollagen

(2010:1622) ...................................................................

250

10.15Förslaget till lag om ändring i lagen (2012:263) om

kvalitets- och säkerhetsnormer vid hantering av
mänskliga organ ............................................................	251

10.16Förslaget till lag om ändring i lagen (2012:453) om

251

10.17Förslaget till lag om ändring i lagen (2016:526) om

	behandling av personuppgifter i ärenden om licens
	för läkemedel.................................................................	252
Bilaga 1	EUROPAPARLAMENTETS OCH RÅDETS
	FÖRORDNING (EU) 2016/679 av den 27 april
	2016 om skydd för fysiska personer med avseende
	på behandling av personuppgifter och om det fria
	flödet av sådana uppgifter och om upphävande av
	direktiv 95/46/EG (allmän dataskyddsförordning) ........	254

Prop. 2017/18:171 Bilaga 2	Sammanfattning av betänkandet Dataskydd inom
	Socialdepartementets verksamhetsområde – en
	anpassning till EU:s dataskyddsförordning (SOU
	2017:66) .........................................................................	342
Bilaga 3	Lagförslag till betänkandet Dataskydd inom
	Socialdepartementets verksamhetsområde – en
	anpassning till EU:s dataskyddsförordning
	(SOU 2017:66) ...............................................................	352
Bilaga 4	Förteckning över remissinstanser av betänkandet
	SOU 2017:66 Dataskydd inom Socialdepartementets
	verksamhetsområde – en anpassning till EU:s
	dataskyddsförordning .....................................................	394
Bilaga 5	Lagrådsremissens lagförslag ..........................................	395
Bilaga 6	Lagrådets yttrande ..........................................................	437
Utdrag ur protokoll vid regeringssammanträde den 15 mars 2018.......		442

Förslag till riksdagsbeslut

Prop. 2017/18:171

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om ändring i socialförsäkringsbalken,

2.lag om ändring i lagen (1996:1156) om receptregister,

3.lag om ändring i lagen (1998:543) om hälsodataregister,

4.lag om ändring i lagen (2001:454) om behandling av person- uppgifter inom socialtjänsten,

5.lag om ändring i lagen (2002:297) om biobanker i hälso- och

sjukvården m.m.,

6.lag om ändring i lagen (2005:258) om läkemedelsförteckning,

7.lag om ändring i lagen (2006:351) om genetisk integritet m.m.,

8.lag om ändring i lagen (2006:496) om blodsäkerhet,

9.lag om ändring i lagen (2006:1570) om skydd mot internationella

hot mot människors hälsa,

10.lag om ändring i lagen (2008:286) om kvalitets- och säkerhets- normer vid hantering av mänskliga vävnader och celler,

11.lag om ändring i patientdatalagen (2008:355),

12.lag om ändring i apoteksdatalagen (2009:367),

13.lag om ändring i lagen (2010:111) om införande av socialförsäk-

ringsbalken,

14.lag om ändring i alkohollagen (2010:1622),

15.lag om ändring i lagen (2012:263) om kvalitets- och säkerhets- normer vid hantering av mänskliga organ,

16.lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram,

17.lag om ändring i lagen (2016:526) om behandling av person- uppgifter i ärenden om licens för läkemedel.

Prop. 2017/18:171 2

Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken dels att 114 kap. 33 och 36 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 114 kap. 33 och 36 §§ ska utgå,

dels att 114 kap. 1, 2, 6, 10–13, 15, 16, 27, 29–31 §§ och rubrikerna närmast före 114 kap. 6 och 29 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 114 kap. 6 a §, och närmast före 114 kap. 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

114 kap.

1 §1

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

– förhållandet till annan regle- ring i 6 §,

– personuppgiftslagen och per- – personuppgiftsansvar i 6 a §, sonuppgiftsansvar i 6 §,

–ändamål för behandling av personuppgifter i 7–10 §§,

–behandling av känsliga personuppgifter m.m. i 11–13 §§,

–behandling av personuppgifter i socialförsäkringsdatabasen i 14– 16 §§,

–tilldelning av behörighet i 17 §,

–direktåtkomst i 18–23 §§,

–utlämnande på medium för automatisk behandling i 24–26 a §§,

–sökbegrepp i 27 och 28 §§,

– överföring av	personuppgifter	– överföring av	personuppgifter
till tredje land i 29	§,	till tredjeland i 29	§,
– information i 30 §,
– gallring i 31 §,
– avgifter i 32 §,
– rättelse och skadestånd i 33 §,
– kontrollverksamhet i 34 §,		– kontrollverksamhet i 34 §, och
– tystnadsplikt i 35 §, och		– tystnadsplikt i 35 §.
– överklagande i 36 §.

1 Senaste lydelse 2012:935.

2 §					Prop. 2017/18:171
Detta kapitel tillämpas vid be-	Detta kapitel tillämpas vid be-
handling av personuppgifter i	handling	av	personuppgifter		i
verksamhet som gäller förmåner	verksamhet som gäller			förmåner
enligt denna balk, samt andra för-	enligt denna balk, samt andra för-
måner och ersättningar som enligt	måner och ersättningar som enligt
lag eller förordning eller särskilt	lag eller förordning eller särskilt
beslut av regeringen handläggs av	beslut av regeringen handläggs av
Försäkringskassan eller Pensions-	Försäkringskassan eller			Pensions-
myndigheten.	myndigheten.		Med socialförsäk-
	ringens	administration		avses	i
	detta kapitel		administration hos
	dessa myndigheter.

Kapitlet gäller endast om behandlingen är helt eller delvis automati- serad eller om uppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 7–16, 27, 28 och 31 §§ gäller i tillämpliga delar även

uppgifter om avlidna personer.
Personuppgiftslagen och	Förhållandet till annan reglering
personuppgiftsansvar

6 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialförsäkringens administration, om inte annat följer av detta kapitel eller före- skrifter som meddelas med stöd av kapitlet eller av personuppgifts- lagen. Med socialförsäkringens administration avses i detta kapitel Försäkringskassan och Pensions- myndigheten.

En myndighet inom socialförsäk- ringens administration är person- uppgiftsansvarig för den behand- ling av personuppgifter som den utför.

Detta	kapitel		innehåller
bestämmelser som		kompletterar
Europaparlamentets			och rådets
förordning (EU) 2016/679 av den
27 april 2016 om skydd för fysiska
personer	med	avseende på
behandling av personuppgifter och
om det fria flödet av sådana
uppgifter och om upphävande av
direktiv	95/46/EG		(allmän	11

Prop. 2017/18:171	dataskyddsförordning),			här	be-
	nämnd	EU:s	dataskyddsför-
	ordning.
	Vid behandling av personupp-
	gifter enligt detta kapitel gäller
	lagen (2018:000) med komp-
	letterande	bestämmelser till			EU:s
	dataskyddsförordning			och	före-

skrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Personuppgiftsansvar

6 a §

En myndighet inom socialförsäk- ringens administration är person- uppgiftsansvarig för den behand- ling av personuppgifter som den utför.

10 §

I fråga om behandling av per- sonuppgifter för annat ändamål än vad som anges i 7–9 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter som behandlas enligt 7–9 §§ får behandlas även för andra ändamål, under förut- sättning att uppgifterna inte be- handlas på ett sätt som är ofören- ligt med det ändamål för vilket uppgifterna samlades in.

11 §

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personupp- gifter) får behandlas om uppgift- erna lämnats till en myndighet inom socialförsäkringens admini- stration i ett ärende eller är nöd- vändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas om uppgifterna läm- nats till en myndighet inom social- försäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Käns- liga personuppgifter får vidare be- handlas för något av de ändamål som anges i 7 § första stycket 1

Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkring- ens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöver- trädelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får uppgifter om lagöverträ- delser behandlas som enligt 15 § får behandlas i socialförsäkrings- databasen.

stycket 1 samt 8 och 9 §§ om det	samt 8 och 9 §§ om det är nöd-
är nödvändigt med hänsyn till	vändigt med hänsyn till ändamålet.

ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ända- mål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behand- lats för något av de ändamål som anges i 7 § första stycket 2–4.

12 §

Uppgifter om lagöverträdelser m.m. som avses i 21 § personupp- giftslagen (1998:204) får behand- las om uppgifterna lämnats till en myndighet inom socialförsäkring- ens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöver- trädelser m.m. som avses i 21 § personuppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lag- överträdelser m.m. som avses i 21 § personuppgiftslagen behand- las som enligt 15 § får behandlas i socialförsäkringsdatabasen.

Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

13 §

I 15 § finns särskilda bestäm- melser om behandling i socialför- säkringsdatabasen av känsliga per- sonuppgifter och uppgifter om lag- överträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).

I 15 § finns särskilda bestäm- melser om behandling i socialför- säkringsdatabasen av känsliga per- sonuppgifter och uppgifter som avses i 12 § första stycket.

Prop. 2017/18:171

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sök- begrepp vid sökning i socialförsäk- ringsdatabasen.

Prop. 2017/18:171			15 §
För de ändamål som anges i 7–10 §§ får, med beaktande av de be-
gränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter
behandlas i socialförsäkringsdatabasen.
Känsliga	personuppgifter		eller	Känsliga personuppgifter eller
uppgifter	om	lagöverträdelser		uppgifter som avses i 12 § första
m.m. som avses i 21 § personupp-				stycket får, utöver vad som anges i
giftslagen	(1998:204) får		utöver	16 §, behandlas i socialförsäk-
vad som anges i 16 § behandlas i				ringsdatabasen bara om det särskilt
socialförsäkringsdatabasen			bara	anges i lag eller förordning. För
om det särskilt anges i lag eller				sådan behandling gäller de be-
förordning. För		sådan behandling		gränsningar som följer av 11 och
gäller de begränsningar som följer				12 §§. Regeringen eller den myn-
av 11 och 12 §§. Regeringen eller				dighet som regeringen bestämmer
den myndighet som regeringen be-				meddelar föreskrifter om ytterlig-
stämmer meddelar föreskrifter om				are begränsningar för vilka upp-
ytterligare begränsningar för vilka				gifter som får behandlas i social-
uppgifter som får behandlas i				försäkringsdatabasen.
socialförsäkringsdatabasen.
			16 §

Uppgifter i en handling som kommit in i ett ärende får behand- las i socialförsäkringsdatabasen även om de utgör känsliga person- uppgifter eller uppgifter om lag- överträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ären- de får behandlas i socialförsäk- ringsdatabasen, om uppgifterna är nödvändiga för ärendets handlägg- ning.

Uppgifter i en handling som kommit in i ett ärende får behand- las i socialförsäkringsdatabasen även om de utgör känsliga person- uppgifter eller uppgifter som avses i 12 § första stycket. Sådana upp- gifter i en handling som upprättats i ett ärende får behandlas i social- försäkringsdatabasen, om uppgift- erna är nödvändiga för ärendets handläggning.

27 §

Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdata- basen

Vid sökning som omfattar innehållet i fler än en handling i socialför- säkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.

Överföring av personuppgifter	Överföring av personuppgifter	Prop. 2017/18:171
till tredje land	till tredjeland
29 §
Överföring av personuppgifter	Personuppgifter får föras över
till tredje land på grund av åtagan-	till tredjeland på grund av åtagan-
den i avtal om social trygghet som	den i avtal om social trygghet som
Sverige ingått med andra stater får	Sverige ingått med andra stater.
ske utan hinder av 33 § person-
uppgiftslagen (1998:204).

30 §

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen (1998:204) om den registrerade tagit del av handlingens innehåll. Av informa- tionen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär infor- mation om uppgifter i en sådan handling och anger vilken hand- ling som avses, ska dock informa- tionen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska begränsningen i 26 § personupp- giftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information som avses i artikel 15 i EU:s data- skyddsförordning om den regi- strerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana hand- lingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekre- tess.

31 §

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att uppgifter får bevaras för historiska, statisti- ska eller vetenskapliga ändamål.

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 2.2	Förslag till lag om ändring i lagen (1996:1156)
	om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om receptregister1 dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubrikerna närmast före 3 och 7 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 8 a §, och närmast före 8 a § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till annan reglering
personuppgiftslagen2

3 §3

Personuppgiftslagen (1998:204) gäller för behandling av person- uppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslut- ning till denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av

1Senaste lydelse av 24 § 2009:370.

2Senaste lydelse 2009:370.

3Senaste lydelse 2009:370.

	denna lag eller föreskrifter som Prop. 2017/18:171
	har meddelats i anslutning till
	lagen.
Personuppgiftsbehandling för	Personuppgiftsbehandling för
annat ändamål	andra ändamål

7 §4

I fråga om behandling av per- sonuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter som behandlas i receptregistret får behandlas även för andra ändamål, under förut- sättning att uppgifterna inte be- handlas på ett sätt som är oför- enligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

8 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av ar- tikel 9.2 h i förordningen under förutsättning att kravet på tyst- nadsplikt i artikel 9.3 i förord- ningen är uppfyllt.

			20 §5
E-hälsomyndigheten ska se till				Utöver vad som framgår av
att den enskilde får information				artiklarna 13 och	14 i	EU:s
om personuppgiftsbehandlingen.				dataskyddsförordning ska den som
Informationen		ska	innehålla	är personuppgiftsansvarig		enligt
upplysningar om				denna lag lämna information till
1. vem	som är	personuppgifts-		den registrerade om
ansvarig,
2. ändamålen med registret,
3. vilka	uppgifter registret får			1. vilka uppgifter	registret får
innehålla,				innehålla,
4. de tystnadsplikts-			och säker-	2. de tystnadsplikts- och		säker-

4Senaste lydelse 2009:370.

5Senaste lydelse 2013:1021.

Prop. 2017/18:171 hetsbestämmelser som gäller för			hetsbestämmelser som	gäller för
registret,			registret,
5. rätten att ta del av uppgifter
enligt	26 § personuppgiftslagen
(1998:204),
6. rätten till rättelse av oriktiga
eller	missvisande uppgifter	enligt
24 §,
7. rätten till skadestånd		enligt	3. rätten enligt artikel 82 i EU:s
24 §,			dataskyddsförordning	och	7 kap.
			1 § lagen (2018:000) med komp-
			letterande bestämmelser till EU:s
			dataskyddsförordning	till	skade-
			stånd vid behandling av person-
8. de begränsningar i fråga om			uppgifter i strid med denna lag,
			4. de begränsningar i fråga om
sökbegrepp och bevarande av upp-			sökbegrepp som gäller för regi-
gifter som gäller för registret, och			stret, och
9. att registreringen inte är fri-			5. att registreringen inte är fri-
villig med undantag för ändamål			villig med undantag för ändamål
enligt 6 § första stycket 2 och 8.			enligt 6 § första stycket 2 och 8.

Denna lag träder i kraft den 25 maj 2018.

2.3	Förslag till lag om ändring i lagen (1998:543)	Prop. 2017/18:171
	om hälsodataregister

Härigenom föreskrivs i fråga om lagen (1998:543) om hälsodataregi- ster

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till personuppgiftslagen

2 §

Om inget annat följer av denna lag eller föreskrifter som meddel- ats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för hälsodataregister.

Förhållandet till annan reglering

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 2.4	Förslag till lag om ändring i lagen (2001:454)
	om behandling av personuppgifter inom
	socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4 och 7 §§ och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Denna lag tillämpas vid behand- ling av personuppgifter inom so- cialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt ett eller flera särskilda kriterier.

Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personuppgifter inom social- tjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgäng- liga för sökning eller sammanställ- ning enligt ett eller flera särskilda kriterier.

3 §

Lagen tillämpas inte vid behand- ling av personuppgifter hos dom- stolar. Den tillämpas inte heller vid behandling av personuppgifter för forsknings- och statistikända- mål.

Lagen tillämpas inte vid behand- ling av personuppgifter

1.hos domstolar,

2.för forsknings- och statistik- ändamål, eller

3.som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

1 Senaste lydelse 2003:136.

Förhållandet till personuppgiftslagen m.m.

4 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

Förhållandet till annan reglering Prop. 2017/18:171

Denna lag innehåller bestäm- melser som kompletterar EU:s dataskyddsförordning.

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga personuppgifter som	2. personuppgifter	som avses i
avses i 13 § personuppgiftslagen	artikel 9.1 i EU:s	dataskyddsför-
(1998:204), samt	ordning (känsliga	personuppgift-
	er), samt

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgift- erna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får be- handlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 2.5	Förslag till lag om ändring i lagen (2002:297)
	om biobanker i hälso- och sjukvården m.m.
Härigenom föreskrivs att 1 kap. 4 §, 4 kap. 4 a § och 6 kap. 2, 3 och
7 §§ och rubrikerna närmast före		1 kap.	4 §	och 6 kap.		2 §	lagen
(2002:297) om biobanker i hälso- och sjukvården m.m. ska ha följande
lydelse.
Nuvarande lydelse		Föreslagen lydelse
	1 kap.
Förhållande till bestämmelser i		Förhållandet till annan
annan lag		dataskyddsreglering
	4 §
Bestämmelser i annan lag vilka		Denna lag innehåller bestäm-
avviker från bestämmelser i denna		melser som kompletterar Europa-
lag skall tillämpas med det undan-		parlamentets och rådets förord-
taget att bestämmelserna i 5 kap.		ning	(EU)	2016/679		av	den
om PKU-registret skall ha före-		27 april 2016 om skydd för fysiska
träde	framför bestämmelser i	personer med avseende på be-
annan lag.		handling av		personuppgifter och
		om det fria flödet av sådana upp-
		gifter och om upphävande av
		direktiv 95/46/EG (allmän data-
		skyddsförordning),			här	benämnd
		EU:s dataskyddsförordning.
		Vid behandling av personupp-
		gifter enligt denna lag gäller lagen
		(2018:000)		med	kompletterande
		bestämmelser till			EU:s		data–
		skyddsförordning och föreskrifter
		som har meddelats i anslutning till

den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser i annan lag vilka avviker från bestämmelser i denna lag ska tillämpas med det undan- taget att bestämmelserna i 5 kap. om PKU-registret ska ha företräde framför bestämmelser i annan lag.

	4 kap.		Prop. 2017/18:171
	4 a §1
En journalhandling inom enskild		En journalhandling inom enskild
hälso- och sjukvård som rör en		hälso- och sjukvård som rör en
viss patient ska lämnas ut på be-		viss patient ska lämnas ut på be-
gäran av den som fått tillgång till		gäran av den som fått tillgång till
kodat	humanbiologiskt material	kodat humanbiologiskt	material
från den patienten enligt 1 §, om		från den patienten enligt 1 §, om
patienten samtyckt till att journal-		patienten samtyckt till att journal-
handlingen lämnas ut. I fråga om		handlingen lämnas ut.
vissa	känsliga personuppgifter

finns föreskrifter i personuppgifts- lagen (1998:204).

6 kap.

Skadestånd m.m.		Skadestånd
	2 §2
Huvudmannen	för biobanken	Huvudmannen	för biobanken
skall ersätta en enskild provgivare		ska ersätta en enskild provgivare
för den skada eller kränkning av		för den skada eller kränkning av
den personliga integriteten som ett		den personliga integriteten som ett
förfarande med	vävnadsprover i	förfarande med	vävnadsprover i
strid med denna lag har orsakat		strid med denna lag har orsakat
honom eller henne.		honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behand- ling av personuppgifter enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

3 §3

Inspektionen för vård och om- sorg utövar tillsyn över att denna lag och föreskrifter som har med- delats i anslutning till lagen följs. Den myndighet som är tillsyns-

1Senaste lydelse 2008:358.

2Ändringen innebär bl.a. att tredje stycket tas bort.

3Senaste lydelse 2012:947.

Prop. 2017/18:171 myndighet enligt personuppgifts-	myndighet enligt EU:s data-
lagen (1998:204) utövar dock till-	skyddsförordning utövar dock till-
syn över den behandling som sker	syn över den behandling som sker
av personuppgifter.	av personuppgifter.

Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut handlingar, prover och annat material som rör verksamheten samt att lämna de upplysningar om verksamheten som inspektionen behöver för sin tillsyn.

Inspektionen för vård och omsorg får förelägga den som bedriver verk- samheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

7 §4

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte över- klagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § person- uppgiftslagen (1998:204) får över- klagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som Inspektionen för vård och omsorg eller allmän förvalt- ningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

Denna lag träder i kraft den 25 maj 2018.

4 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

2.6	Förslag till lag om ändring i lagen (2005:258)	Prop. 2017/18:171
	om läkemedelsförteckning

Härigenom föreskrivs i fråga om lagen (2005:258) om läkemedelsför- teckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållande till	Förhållandet till annan reglering
personuppgiftslagen

2 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter för läkemedelsförteck- ningen, om inget annat följer av denna lag.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data– skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Prop. 2017/18:171	Behandling av känsliga
	personuppgifter
	4 a §
	Personuppgifter			som	avses i
	artikel 9.1	i	EU:s	dataskyddsför-
	ordning (känsliga personuppgifter)
	får behandlas med stöd av ar-
	tikel 9.2 h	i	förordningen			under
	förutsättning att kravet på tyst-
	nadsplikt	i	artikel 9.3		i	förord-
	ningen är uppfyllt.

Information som skall lämnas	Information som ska lämnas
självmant	självmant
10 §1
E-hälsomyndigheten ska se till	Utöver vad som framgår av
att den registrerade får informa-	artiklarna 13 och 14 i			EU:s
tion om läkemedelsförteckningen.	dataskyddsförordning ska den som
Informationen ska innehålla upp-	är	personuppgiftsansvarig		enligt
lysningar om	denna lag lämna information till
1. vem som är personuppgiftsan-	den registrerade om
svarig,
2. ändamålet med förteckningen,	1. vilken typ av uppgifter som
3. vilken typ av uppgifter som	1. vilken typ av uppgifter som
ingår i förteckningen,	ingår i förteckningen,
4. de tystnadsplikts- och säker-	2. de tystnadsplikts-		och	säker-
hetsbestämmelser som gäller för	hetsbestämmelser som		gäller för
förteckningen,	förteckningen,
5. rätten att ta del av uppgifter	3. rätten att ta del av uppgifter
enligt 11 §,	enligt 11 §,
6. rätten till rättelse av oriktiga
eller missvisande uppgifter,	4. rätten enligt artikel 82 i EU:s
7. rätten till skadestånd vid be-	4. rätten enligt artikel 82 i EU:s
handling av personuppgifter i strid	dataskyddsförordning		och	7 kap.
med denna lag,	1 §	lagen (2018:000)	med	kom-
	pletterande bestämmelser till EU:s
	dataskyddsförordning		till	skade-
	stånd vid behandling av person-
	uppgifter i strid med denna lag,
8. vad som gäller i fråga om sök-	5. vad som gäller i fråga om sök-
begrepp, direktåtkomst och utläm-	begrepp, direktåtkomst och utläm-
nande av uppgifter på medium för	nande av uppgifter på medium för
automatiserad behandling,	automatiserad behandling, och
9. vad som gäller i fråga om
bevarande och gallring, samt

1 Senaste lydelse 2013:1023.

10. att registreringen inte är fri- villig.

6. att registreringen inte är fri- Prop. 2017/18:171 villig.

Information som skall lämnas		Information som ska lämnas
efter ansökan		efter ansökan
	11 §
Den registrerade har rätt att när		Den registrerade har rätt att när
som helst och så fort som möjligt		som helst och så fort som möjligt
få sådan information som avses i		få sådan information som avses i
26 §	personuppgiftslagen	artikel 15 i EU:s dataskyddsför-
(1998:204).		ordning.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 2.7	Förslag till lag om ändring i lagen (2006:351)
	om genetisk integritet m.m.

Härigenom föreskrivs att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § lagen (2006:351) om genetisk integritet m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

	1 kap.
Förhållandet till	Förhållandet till annan
personuppgiftslagen	dataskyddsreglering
	4 §
Om inget annat följer av denna
lag eller föreskrifter som meddel-
ats med stöd av denna, tillämpas
personuppgiftslagen	(1998:204)
vid behandling av personuppgifter.
	Denna lag innehåller bestäm-
	melser som kompletterar Europa-
	parlamentets och rådets förord-
	ning (EU)	2016/679 av		den
	27 april 2016 om skydd för fysiska
	personer med avseende på be-
	handling av	personuppgifter		och
	om det fria flödet av sådana upp-
	gifter och om upphävande av
	direktiv 95/46/EG (allmän data-
	skyddsförordning).
	Vid behandling av personupp-
	gifter enligt denna lag gäller lagen
	(2018:000)	med	kompletterande
	bestämmelser till EU:s data-
	skyddsförordning		och föreskrifter
	som har meddelats i anslutning till

den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.8	Förslag till lag om ändring i lagen (2006:496)	Prop. 2017/18:171
	om blodsäkerhet

Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet dels att 21 § ska upphöra att gälla,

dels att 5 § ska ha följande lydelse,

dels att det ska införas en ny rubrik närmast före 5 § av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till annan data- skyddsreglering

5 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 2.9	Förslag till lag om ändring i lagen (2006:1570)
	om skydd mot internationella hot mot
	människors hälsa

Härigenom föreskrivs att 12 § lagen (2006:1570) om skydd mot inter- nationella hot mot människors hälsa ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §1

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälso- organisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i person- uppgiftslagen (1998:204). Folk- hälsomyndigheten och andra be- rörda myndigheter, kommuner och landsting får oavsett bestämmel- serna i 33 § personuppgiftslagen

överföra personuppgifter till Världshälsoorganisationen och tredje land för att fullgöra sin upp- giftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis auto- matiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Folkhälsomyndigheten och andra berörda myndigheter, kom- muner och landsting får överföra personuppgifter till Världshälso- organisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndig- het, en kommun eller ett landsting

1 Senaste lydelse 2014:1550.

ska kunna fullgöra sin uppgifts- skyldighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171

Prop. 2017/18:171 2.10	Förslag till lag om ändring i lagen (2008:286)
	om kvalitets- och säkerhetsnormer vid
	hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla, dels att 8 § ska ha följande lydelse,

dels att det ska införas en ny rubrik närmast före 8 § av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	Förhållandet till annan data-
	skyddsreglering

8 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag träder i kraft den 25 maj 2018.

2.11	Förslag till lag om ändring i patientdatalagen	Prop. 2017/18:171
	(2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 §, 10 kap. 2 § och rubriken närmast före 1 kap. 4 § ska ha följ- ande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas två nya paragrafer, 2 kap. 7 a § och 7 kap. 8 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagen gäller inte vid sådan behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Förhållandet till	Förhållandet till annan
personuppgiftslagen	dataskyddsreglering

4 §

uppgifter som är tillgängliga för

Prop. 2017/18:171 sökning eller sammanställning en- ligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

Denna lag innehåller bestäm- melser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en struktu- rerad samling av personupp- gifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid behandling av personupp- gifter som avses i första stycket gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 kap.

5 §

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förord- ning. Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

	7 §
	En vårdgivare får behandla en-	En vårdgivare får behandla en-
	dast sådana personuppgifter som	dast	sådana personuppgifter som
	behövs för de ändamål som anges i	behövs för de ändamål som anges i
	4 §. Uppgifter om lagöverträdelser	4 §. Uppgifter om lagöverträdelser
34	m.m. som avses i 21 § personupp-	som	innefattar brott, domar i
34

7 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förut- sättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

giftslagen (1998:204) får endast	brottmål,	straffprocessuella Prop. 2017/18:171
behandlas om det är absolut nöd-	tvångsmedel	eller	administrativa
vändigt för ett sådant ändamål.	frihetsberövanden får endast be-
Även en vårdgivare som inte är	handlas om det är absolut nöd-
statlig myndighet, landsting eller	vändigt för ett sådant ändamål.
kommun får under dessa förutsätt-	Även en vårdgivare som inte är
ningar behandla uppgifter om lag-	statlig myndighet,		landsting eller
överträdelser m.m. som avses i	kommun får under dessa förutsätt-
21 § personuppgiftslagen.	ningar behandla uppgifter om lag-
	överträdelser.

	8 §
Känsliga personuppgifter som		Känsliga personuppgifter		eller
avses i	13 § personuppgiftslagen	uppgifter om lagöverträdelser som
(1998:204) eller uppgifter om lag-		avses i 7 § får inte användas som
överträdelser m.m. som avses i		sökbegrepp. Inte heller får upp-
21 § samma lag får inte användas		gifter om att någon fått bistånd
som sökbegrepp. Inte heller får		eller varit föremål för andra in-
uppgifter om att någon fått bistånd		satser inom socialtjänsten eller en-
eller varit föremål för andra insat-		ligt utlänningslagen	(2005:716)
ser inom socialtjänsten eller enligt		användas som sökbegrepp.
utlänningslagen (2005:716) använ-
das som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp
använda uppgifter om
1 hälsa, eller
2. att	någon varit föremål för	tvångsingripande	enligt	lagen
(1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rätts-
psykiatrisk vård.
Regeringen får meddela föreskrifter om att en vårdgivare, trots för-
budet i första stycket, får använda uppgifter om etnicitet eller uppgifter
av betydelse för smittskyddet samt att någon fått bistånd eller andra in-
satser inom socialtjänsten eller varit föremål för åtgärder enligt utlän-
ningslagen som sökbegrepp för att göra vissa slags sammanställningar.

7 kap.

	3 §
Innan personuppgifter behandlas	Innan personuppgifter behandlas
i ett nationellt eller regionalt kvali-	i ett nationellt eller regionalt kvali-	35
		35

Prop. 2017/18:171 tetsregister ska den som är person-	tetsregister ska den som är person-
uppgiftsansvarig se till att den en-	uppgiftsansvarig se till att den en-
skilde, utöver den information som	skilde, utöver den information som
ska lämnas enligt 8 kap. 6 §, får	ska lämnas enligt 8 kap. 6 §, får
information om	information om rätten att när som
1. rätten att när som helst få upp-	helst få uppgifter om sig själv ut-
gifter om sig själv utplånade ur	plånade ur registret.
registret,

2.i vilken utsträckning person- uppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3.vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgifts- behandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ända- mål som anges i 4 § att använda kodade personuppgifter eller personupp- gifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdel- ser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i en- skilda fall medger det.

Känsliga personuppgifter får be- handlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

8 a §	Prop. 2017/18:171
Uppgifter om	lagöverträdelser

som avses i 2 kap. 7 § får behand- las i nationella och regionala kva- litetsregister endast om regeringen eller den myndighet som rege- ringen bestämmer i enskilda fall medger det.

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska

gallras när de inte längre behövs för det ändamål som anges i 4 §.
En	arkivmyndighet			inom	ett	En	arkivmyndighet		inom	ett
landsting eller en kommun får						landsting eller en kommun får
dock föreskriva att personuppgifter						dock föreskriva att personuppgifter
i ett nationellt eller regionalt kvali-						i ett nationellt eller regionalt kvali-
tetsregister som förs inom lands-						tetsregister som förs inom lands-
tinget eller kommunen får bevaras						tinget eller kommunen får bevaras
för historiska,		statistiska			eller	för arkivändamål av allmänt in-
vetenskapliga ändamål.						tresse, vetenskapliga eller histori-
						ska forskningsändamål eller stati-
Om regeringen eller den myn-						stiska ändamål.
						Om regeringen eller den myn-
dighet	regeringen		bestämt		har	dighet	regeringen	bestämt		har
meddelat föreskrifter				enligt	7 §	meddelat föreskrifter			enligt	7 §
andra stycket, får regeringen eller						andra stycket, får regeringen eller
myndigheten också			föreskriva att			myndigheten också		föreskriva		att
personuppgifter		får	bevaras		för	personuppgifter får		bevaras		för
historiska, statistiska eller veten-						sådana ändamål.
skapliga ändamål.

8 kap.

6 §

Den som är personuppgiftsan-	Utöver vad som framgår av
svarig enligt denna lag ska se till	artiklarna 13 och 14 i EU:s data-
att den registrerade får informa-	skyddsförordning ska den som är
tion om personuppgiftsbehandling-	personuppgiftsansvarig enligt den-
en.	na lag lämna information till den
Informationen ska innehålla	registrerade om
upplysningar om
1. vem som är personuppgiftsan-
svarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter
som behandlas,
4. den uppgiftsskyldighet som	1. den uppgiftsskyldighet som
kan följa av lag eller förordning,	kan följa av lag eller förordning,

Prop. 2017/18:171	5. de sekretess- och säkerhetsbe-				2. de sekretess- och säkerhetsbe-
	stämmelser som gäller för uppgift-				stämmelser som gäller för uppgift-
	erna och behandlingen,				erna och behandlingen,
	6. rätten enligt		4 kap. 4 §	att i	3. rätten enligt 4 kap. 4 § att i
	vissa fall begära att uppgifter				vissa fall begära att uppgifter
	spärras,				spärras,
	7. rätten enligt		5 § att få infor-		4. rätten enligt 5 § att få		infor-
	mation om den direktåtkomst och				mation om den direktåtkomst och
	elektroniska åtkomst som före-				elektroniska åtkomst som före-
	kommit,				kommit,
	8. rätten att ta del av uppgifter
	enligt 26 §	personuppgiftslagen
	(1998:204),
	9. rätten till rättelse och under-
	rättelse av tredje man enligt 28 §
	personuppgiftslagen,
	10. rätten	enligt 10 kap. 1 § till			5. rätten enligt artikel 82 i EU:s
	skadestånd	vid	behandling	av	dataskyddsförordning	och	7 kap.
	personuppgifter i strid med denna				1 § lagen (2018:000)	med	kom-
	lag,				pletterande bestämmelser till EU:s
					dataskyddsförordning	till	skade-
					stånd vid behandling av person-
					uppgifter i strid med denna lag,
					och
	11. vad som gäller i fråga om				6. vad som gäller i fråga om sök-
	sökbegrepp, direktåtkomst och ut-				begrepp, direktåtkomst och ut-
	lämnande av uppgifter på medium				lämnande av uppgifter på medium
	för automatiserad behandling,				för automatiserad behandling.

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgiftsbe- handlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

10 kap.

2 §1

Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Pröv- ningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets- och sekretesslagen (2009:400).

1 Senaste lydelse 2012:954. Ändringen innebär att tredje stycket tas bort.

Vid sådan behandling av per- sonuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 51–53 §§ person- uppgiftslagen (1998:204).

Övriga beslut enligt denna lag får inte överklagas.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171

Prop. 2017/18:171 2.12	Förslag till lag om ändring i apoteksdatalagen
	(2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367) dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

	Nuvarande lydelse	Föreslagen lydelse
	Förhållande till	Förhållandet till annan reglering
	personuppgiftslagen
		5 §
	Personuppgiftslagen	(1998:204)
	gäller för öppenvårdsapotekens
	behandling av personuppgifter, om
	inte annat följer av denna lag eller
	föreskrifter som meddelas i anslut-
	ning till denna lag.	Denna lag innehåller bestäm-
		Denna lag innehåller bestäm-
		melser som kompletterar Europa-
		parlamentets och rådets förord-
		ning (EU)	2016/679		av	den
		27 april 2016 om skydd för fysiska
		personer med avseende på be-
		handling av	personuppgifter			och
		om det fria flödet av sådana upp-
		gifter och om upphävande av
		direktiv 95/46/EG (allmän data-
		skyddsförordning),		här	benämnd
		EU:s dataskyddsförordning.
		Vid behandling av personupp-
		gifter enligt denna lag gäller lagen
		(2018:000)	med	kompletterande
		bestämmelser till EU:s data-
		skyddsförordning		och föreskrifter
		som har meddelats i anslutning till
		den lagen, om inte annat följer av
		denna lag eller föreskrifter som
		har meddelats i anslutning till
		lagen.
		9 §
	I fråga om behandling av per-
	sonuppgifter för annat ändamål än
40	vad som anges i 8 §	gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204).

Prop. 2017/18:171

Personuppgifter som behandlas enligt 8 § får behandlas även för andra ändamål, under förutsätt- ning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

9 a §

16 §

Tillståndshavaren ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgiftsan- svarig,

2.ändamålen med behandling-

en,

3.den uppgiftsskyldighet som kan följa av lag eller förordning,

4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,

5.rätten att ta del av uppgift- erna enligt 26 § personuppgifts- lagen (1998:204),

6.rätten enligt 15 § till rättelse av oriktiga eller missvisande upp- gifter,

7.rätten enligt 15 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1. den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,

3.rätten enligt artikel 82 i EU:s

dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med komp- letterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person-

Prop. 2017/18:171	uppgifter i strid med denna lag,
	och
8. vad som gäller i fråga om sök-	4. vad som gäller i fråga om sök-
begrepp,	begrepp.
9. vad som gäller i fråga om be-
varande, samt
10. huruvida personuppgiftsbe-
handlingen är frivillig eller inte.

Denna lag träder i kraft den 25 maj 2018.


2.13	Förslag till lag om ändring i lagen (2010:111)		Prop. 2017/18:171
	om införande av socialförsäkringsbalken
Härigenom föreskrivs att 9 kap. 22 och 23 §§ lagen (2010:111) om in-
förande av socialförsäkringsbalken ska ha följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

9 kap.

22 §

Bestämmelserna i 114 kap. so- cialförsäkringsbalken tillämpas även i fråga om förmåner som av- ser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna. Bestäm- melserna i 114 kap. 33 § balken om skadestånd på grund av be- handling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upp- hävda lagen (2003:763) om be- handling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har med- delats i anslutning till den lagen.

Bestämmelserna i 114 kap. so- cialförsäkringsbalken tillämpas även i fråga om förmåner som av- ser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balk- en om förmåner enligt denna ska då avse förmåner enligt de upp- hävda författningarna. De upphäv- da bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upp- hävda lagen (2003:763) om be- handling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har med- delats i anslutning till den lagen.

23 §

Bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkrings- balken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003.

I annat fall tillämpas de dessför- innan gällande bestämmelserna.

De upphävda bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003 men före den 25 maj 2018.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171

2.14Förslag till lag om ändring i alkohollagen (2010:1622)

Härigenom föreskrivs att 13 kap. 5 § alkohollagen (2010:1622) ska upphöra att gälla.

Denna lag träder i kraft den 25 maj 2018.

2.15 Förslag till lag om ändring i lagen (2012:263) Prop. 2017/18:171 om kvalitets- och säkerhetsnormer vid

hantering av mänskliga organ

Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

dels att 8 § ska upphöra att gälla,

dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till annan lag

4 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Förhållandet till annan dataskyddsreglering

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 2.16	Förslag till lag om ändring i lagen (2012:453)
	om register över nationella
	vaccinationsprogram

Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 3, 6 och 13 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §1

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter i Folkhälsomyndighetens verksamhet när det gäller natio- nella vaccinationsprogram, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

6 §

Personuppgifter får behandlas för

1 Senaste lydelse 2013:637.

1. framställning av statistik,

Prop. 2017/18:171

2.uppföljning, utvärdering och kvalitetssäkring av nationella vaccina- tionsprogram, samt

3.forskning och epidemiologiska undersökningar.

Personuppgifter som behandlas	Personuppgifter som behandlas
för de ändamål som anges i första	för de ändamål som anges i första
stycket får också behandlas för att	stycket får också behandlas för att
fullgöra uppgiftsutlämnande som	fullgöra	uppgiftsutlämnande som
sker i överensstämmelse med lag	sker i överensstämmelse med lag
eller förordning. I övrigt gäller 9 §	eller förordning. Personuppgifter-
första stycket d och andra stycket	na får även behandlas för andra
personuppgiftslagen (1998:204).	ändamål,	under förutsättning att
	uppgifterna inte behandlas på ett
	sätt som är oförenligt med det
	ändamål	för vilket uppgifterna
	samlades in.
13 §2

Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgiftsan- svarig,

2.ändamålen med behandling-

en,

3.den uppgiftsskyldighet som kan följa av lag eller förordning,

4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för

uppgifterna och behandlingen,

5.rätten att ta del av uppgift- erna enligt 26 § personuppgifts- lagen (1998:204),

6.rätten enligt 12 § till rättelse av oriktiga eller missvisande upp- gifter,

7.rätten enligt 12 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

8.vad som gäller i fråga om sök- begrepp,

Utöver vad som framgår av artiklarna 13 och 14 i EU:s data- skyddsförordning ska den som är personuppgiftsansvarig enligt den- na lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de tystnadsplikts- och säker- hetsbestämmelser som gäller för

uppgifterna och behandlingen,

3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med komp- letterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

4. vad som gäller i fråga om sök- begrepp, och

2 Senaste lydelse 2013:637.

Prop. 2017/18:171	9. vad som gäller i fråga om be-
	varande, samt
	10. att registreringen inte är fri-	5. att registreringen inte är fri-
	villig.	villig.

Denna lag träder i kraft den 25 maj 2018.

2.17 Förslag till lag om ändring i lagen (2016:526) Prop. 2017/18:171 om behandling av personuppgifter i ärenden

om licens för läkemedel

Härigenom föreskrivs i fråga om lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

dels att 20 § ska upphöra att gälla,

dels att rubriken närmast före 20 § ska utgå, dels att 4, 9 och 21 §§ ska ha följande lydelse,

dels att rubriken närmast före 3 § ska lyda ”Förhållandet till annan reglering”,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a §§ en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 §

Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och E-hälsomyndighetens behandling av personuppgifter i verksamhet som rör ärenden om ansökan om licens för läkemedel, om inte annat följer av denna lag eller föreskrif- ter som meddelas i anslutning till denna lag.

lagen.

Prop. 2017/18:171	9 §
I fråga om behandling av per-
sonuppgifter för annat ändamål än
vad	som anges i 8 § gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter

som

behandlas

enligt 8 § får behandlas även för

andra ändamål, under förutsätt-

ning att uppgifterna inte behandlas

på ett sätt som är oförenligt med

det ändamål för vilket uppgifterna

samlades in.

Behandling av känsliga

personuppgifter

9 a §

Personuppgifter

som

avses i

artikel 9.1

EU:s

dataskyddsför-

ordning (känsliga personuppgifter)

får behandlas med stöd av ar-

tikel 9.2 h

förordningen

under

förutsättning att kravet på tyst-

nadsplikt

artikel 9.3

förord-

ningen är uppfyllt.

21 §

Den

personuppgiftsansvarige

Utöver vad som framgår av

ska se till att den registrerade får

artiklarna 13 och 14 i EU:s data-

information om personuppgiftsbe-

skyddsförordning ska den som är

handlingen.

personuppgiftsansvarig enligt den-

Informationen

ska

innehålla

na lag lämna information till den

upplysningar om

registrerade om

1. vem som är personuppgiftsan-

svarig,

2. ändamålen

med

behandling-

en,

3. den

uppgiftsskyldighet som

1. den

uppgiftsskyldighet

som

kan följa av lag eller förordning,

4. de sekretess- och säkerhetsbe-

2. de sekretess- och säkerhetsbe-

stämmelser som gäller för uppgift-

erna och behandlingen,

5. rätten att ta del av uppgifter-

na enligt 26 § personuppgiftslagen

(1998:204),

6. rätten enligt 20 § till rättelse

3. rätten enligt artikel 82 i EU:s

av oriktiga eller missvisande upp-

dataskyddsförordning

och

7 kap.

gifter och till skadestånd vid be-

1 § lagen (2018:000) med komp-

handling av personuppgifter i strid

letterande

bestämmelser

till

EU:s

med denna lag,

dataskyddsförordning

till

skade-

7.vad som gäller i fråga om sök- begränsningar, och

8.vad som gäller i fråga om gallring.

stånd vid behandling av person- Prop. 2017/18:171 uppgifter i strid med denna lag,

och

4. vad som gäller i fråga om sök- begränsningar.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171 3

Ärendet och dess beredning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EU:s dataskyddsförordning, bilaga 1. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018.

Regeringen beslutade den 16 juni 2016 att tillkalla en särskild utredare med uppdrag att bl.a. analysera vilka konsekvenser dataskyddsförord- ningen medför i fråga om personuppgiftsbehandling inom Socialdeparte- mentets verksamhetsområde samt föreslå behövliga och lämpliga anpass- ningar av författningar inom verksamhetsområdet till följd av den nya förordningen (dir. 2016:52). Utredningen, som tog sig namnet Social- dataskyddsutredningen, överlämnade i augusti 2017 sitt betänkande Dataskydd inom Socialdepartementets verksamhetsområde – en anpass- ning till EU:s dataskyddsförordning (SOU 2017:66) till regeringen. En sammanfattning av betänkandet finns i bilaga 2. Socialdataskyddsutred- ningens lämnade lagförslag framgår av bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena och en remissammanställning finns tillgängliga i Socialdepartementet (dnr S2017/04726/SAM).

Lagrådet

Regeringen beslutade den 8 februari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådets synpunkter och förslag behandlas i avsnitten 7.1.1, 7.1.2, 7.1.8, 7.4.1, 7.5.1, 7.5.4, 7.5.8, 7.11.1, 8.1 och i författningskommentaren 10.1, 10.2, 10.5, 10.6, 10.8, 10.10, 10.11, 10.12, 10.16 och 10.17. Regeringen har i huvudsak följt Lagrådets synpunkter.

4 Något om gällande rätt

4.1Internationella överenskommelser

4.1.1Förenta nationerna

Förenta nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana in- gripanden och angrepp. I artikel 29 anges att en person endast får

underkastas sådana inskränkningar som har fastställts i lag och enbart i

syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och Prop. 2017/18:171 friheter samt för att tillgodose ett demokratiskt samhälles berättigade

krav på moral, allmän ordning och allmän välfärd.

Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalför- samlingen 1966 och trädde i kraft 1976. Sverige anslöt sig till konventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bl.a. att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.

4.1.2OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat riktlinjer i fråga om integritetsskyddet och personuppgiftsflödet över gränserna. Riktlinjerna antogs 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att betrakta riktlinjerna i nationell lagstiftning. Riktlinjerna reviderades år 2013. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa den.

4.2Europarätt

4.2.1 Europarådet

Europakonventionen
Sedan den 1 januari 1995 är den europeiska konventionen om skydd för
de mänskliga rättigheterna och de grundläggande friheterna (Europakon-
ventionen) inkorporerad i svensk rätt och gäller som lag, lagen
(1994:1219) om den europeiska konventionen angående skydd för de
mänskliga rättigheterna och de grundläggande friheterna (prop.
1993/94:117). Av 2 kap. 19 § regeringsformen framgår att lag eller annan
föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av
konventionen.
Artikel 8 i Europakonventionen avser rätt till skydd för privat- och
familjeliv. Enligt artikel 8 har var och en rätt till respekt för sitt privat-
och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får
inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och
om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens
säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till
förebyggande av oordning eller brott eller till skydd för hälsa eller moral
eller för andra personers fri- och rättigheter.
Artikel 8 är tillämplig på behandling av personuppgifter men omfattar
inte all sorts behandling av personuppgifter – frågan måste gälla privat-
liv, familjeliv, hem eller korrespondens. Europakonventionen tar i första
hand sikte på åtgärder av det allmänna.	53
	53

Prop. 2017/18:171

Rekommendation om skyddet av hälsouppgifter

I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendation- erna, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen.

Rekommendationen No. R (97) 5 är tillämplig på insamling och auto- matiserad behandling av hälsouppgifter. Sådan verksamhet utanför hälso- och sjukvårdssektorn som omfattas av lämpliga skyddsåtgärder i nationell rätt omfattas dock inte av rekommendationen.

Rekommendation om skyddet av personuppgifter som behandlas för ändamål som rör social trygghet

Europarådets ministerkommitté har också antagit en rekommendation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål som rör social trygghet. Rekommendationen är tillämplig på behandling av personuppgifter för ”social security purposes” (ändamål hänförliga till social trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeför- måner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsför- måner och familjeförmåner.

4.2.2Europeiska unionen

Dataskyddsdirektivet

Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. I Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) finns en bestämmelse om skydd av personuppgifter i artikel 8 om att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning, gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

EU:s dataskyddsreform

Under många år har det förekommit diskussionerna inom bl.a. EU om att det behövs en ny rättslig reglering för att ersätta 1995 års data- skyddsdirektiv. Kommissionen presenterade den 25 januari 2012 förslag till en reform av EU:s regler om skydd för personuppgifter. Reformen omfattade dels en förordning med en generell reglering som skulle er- sätta det nu gällande dataskyddsdirektivet, dels ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.

Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt syftade förslaget till ett stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en del nyheter jämfört med dataskyddsdirektivet.

Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsyns- myndigheten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya data- skyddsdirektivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen ska börja tillämpas den 25 maj 2018.

Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018.

Prop. 2017/18:171

Prop. 2017/18:171 4.3	Svensk rätt
4.3.1	Regeringsformen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Be- gränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

4.3.2Dataskyddsdirektivets genomförande – personuppgiftslagen

Sverige har genomfört 1995 års dataskyddsdirektiv främst genom personuppgiftslagen (1998:204). Lagen trädde i kraft den 24 oktober 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som 1995 års dataskyddsdirektiv och innehåller – liksom direktivet – bestämmelser om bl.a. personuppgiftsansvar, grund- läggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket inne- bär att dess bestämmelser inte ska tillämpas om det finns avvikande be- stämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar som reglerar myndigheternas personuppgiftsbehandling.

Personuppgiftslagen kompletteras av bestämmelser i personuppgifts- förordningen (1998:1191), som bl.a. anger Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av person- uppgifter är tillåten och vilka krav som ställs på den personuppgifts- ansvarige.

	5	Utgångspunkter för lagstiftningsärendet
	5.1	EU:s dataskyddsreform
	EU:s dataskyddsreform är en reform som omfattar stor del av person-
	uppgiftsbehandlingen inom EU. Den består av dataskyddsförordningen
	och ett nytt dataskyddsdirektiv. Det nya direktivet gäller vid behandling
	av personuppgifter som behöriga myndigheter utför i syfte att förebygga,
56	förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, i vilket även ingår att skydda mot samt förebygga och för- hindra hot mot den allmänna säkerheten.

Dataskyddsförordningen medför behov av att anpassa svenska författ- ningar till förordningen. Vidare behöver dataskyddsdirektivet genom- föras i svensk rätt.

Ett stort antal utredningar har arbetat och arbetar med att anpassa svensk rätt till EU:s dataskyddsreform. Det pågår omfattande arbete inom Regeringskansliet med att anpassa författningar till förordningen. De olika utredningarnas förslag till ändringar i författningar kommer att medföra arbete med att utarbeta och lämna lagförslag och besluta om för- ordningar. De olika ärendena som rör författningsändringar behöver sam- ordnas och detta inom en mycket kort tidsperiod för att hålla de tider som gäller för rättsakternas ikraftträdande.

Något om tillämpningen av de båda rättsakterna och tillämpningsproblem

Det kommer att finnas myndigheter och verksamheter vars person- uppgiftsbehandlingar kommer att behöva förhålla sig till de båda EU- rättsakterna och eventuellt kommer att behöva tillämpa både förord- ningen och direktivet. För en sådan myndighet och verksamhet kan detta medföra svårigheter i tillämpningen att avgöra vilken rättsakt som är tillämplig för de olika behandlingar av personuppgifter som utförs och vilka konsekvenser detta kan få för förutsättningarna att behandla person- uppgifter inom myndigheten eller i verksamheten.

Dessa svårigheter i tillämpningen med att avgöra vilket regelverk som ska tillämpas blir ganska lik de svårigheter som redan finns med dagens reglering av personuppgiftsbehandling. Redan i dag tillämpar myndig- heterna olika regelverk – personuppgiftslagen och särskilda registerför- fattningar – beroende på i vilken verksamhet eller för vilka slags ändamål personuppgifterna behandlas. Registerförfattningarna, som har till- kommit vid olika tillfällen, har olika innehåll och utformningarna skiljer sig åt. Problem med att i tillämpningen bedöma vilket rättsligt stöd som gäller för personuppgiftsbehandlingarna finns därmed redan i dag.

EU:s dataskyddsreform och anpassningarna i svensk rätt kommer dock för myndigheter och andra aktörer i olika verksamheter att aktualisera behovet av att se över sin personuppgiftsbehandling och t.ex. överväga för vilka ändamål personuppgifter behandlas och vilka regelverk som ska tillämpas för den specifika behandlingen.

Behandling av personuppgifter i verksamhet som omfattas av unions- rätten omfattas således antingen av dataskyddsförordningen eller nya dataskyddsdirektivet. Dessa rättsakter bedöms samtidigt inte kunna vara tillämpliga för en personuppgiftsbehandling eftersom avgränsningen ska göras utifrån syftet och om det är en s.k. behörig myndighet, se artikel 2.2 d och skäl 19 i dataskyddsförordningen. Sker personuppgiftsbehand- ling som visserligen kan avse samma personuppgifter men för flera olika syften bedöms de båda rättsakterna kunna vara tillämpliga parallellt. För en personuppgiftsansvarig kan detta dock ställa till svårigheter i tillämpningen att avgöra vilken rättsakt eller vilka rättsakter som ska tillämpas i fall där samma eller delvis samma personuppgifter behandlas.

Prop. 2017/18:171

Prop. 2017/18:171 5.2		Behandling av personuppgifter som i dag är
		laglig bör kunna fortsätta men författningsstöd
		för annan behandling bör inte införas nu

	Regeringens bedömning: För den personuppgiftsbehandling som
	förekommer i olika verksamheter bör den behandling som i dag är
	laglig kunna fortsätta. Ändringar i förutsättningarna för att ytterligare
	behandla personuppgifter får övervägas i annan ordning. Detta lag-
	stiftningsärende får därför avgränsas till att hantera de anpassningar i
	författningar inom Socialdepartementets verksamhetsområde som i
	nuläget bedöms behövas med anledning av EU:s dataskyddsförord-
	ning.

	Socialdataskyddsutredningens bedömning: Överensstämmer med
	regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens bedömning.
	Datainspektionen anser att den metod som använts av utredningen
	riskerar leda till att nationella bestämmelser inte kommer att överens-
	stämma med dataskyddsförordningen. Utan en noggrann kartläggning av
	behandling av personuppgifter inom Socialdepartementets område finns
	det risk för att den nationella regleringen inte kommer att överensstämma
	med förordningen och att det kommer att saknas nationell reglering för
	sådan behandling av personuppgifter som är nödvändig i samhället. Den
	stora skillnaden mellan ett direktiv som genomförs i svensk rätt och en
	förordning som ska tillämpas direkt bör framhållas. Många av förord-
	ningens bestämmelser är direkt tillämpliga i svensk rätt utan möjlighet
	till avvikande nationell reglering. I vissa avseenden finns dock ett utrym-
	me för, och i vissa fall även krav på, nationell reglering som kompletterar
	förordningens bestämmelser. Förordningen blir det primära regelverket
	avseende behandling av personuppgifter och t.ex. patientdatalagen blir
	subsidiär i förhållande till dataskyddsförordningen. Lagstiftaren måste
	säkerställa att dataskyddsförordningen kompletteras med nationella
	regler i tillräcklig utsträckning för att viktig verksamhet ska kunna be-
	handla de personuppgifter som är nödvändiga för verksamheten. Det är
	också viktigt att det blir tydligt hur regelverken förhåller sig till varandra,
	så att de som ska tillämpa dataskyddsbestämmelserna förstår att de
	nationella reglerna inte kan åsidosätta dataskyddsförordningen och att en
	prövning om en behandling av personuppgifter är tillåten eller inte,
	primärt ska ske utifrån förordningen. En reglering som exempelvis
	patientdatalagen, i vilken många frågor om personuppgiftsbehandling
	regleras, kan för den enskilda tillämparen i högre grad uppfattas som det
	primära regelverket på området för behandling av personuppgifter än en
	lagstiftning som endast reglerar enstaka frågor.
	Pensionsmyndigheten anser att i och med att dataskyddsförordningen
	börjar tillämpas utgör den det primära regelverket för behandling av
	personuppgifter. Förordningen skapar goda förutsättningar för en
	enhetlighet i rättstillämpningen som myndigheten bedömer kommer att
	kunna vara gynnsam för myndigheternas arbete med digitalisering och
58	framtagandet av gemensamma e-tjänster. De tillämpningssvårigheter som

det fragmenterade regelverket medför kan inte förväntas minska i och med att förordningen börjar tillämpas, snarast tvärtom. Behovet av att göra en sammanhållen och enhetlig översyn av registerförfattningarna kvarstår och blir större i och med förordningen.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) tillstyrker för- slagen och noterar med tillfredsställelse att man i det stora flertalet fall gör bedömningen att det inte behövs några ändringar i nuvarande regel- verk. Forte har inte funnit att något i utredningen skulle begränsa till- gången till personuppgifter eller möjligheten att använda dem för forsk- ning och statistik, utöver vad som gäller i dag.

Svenska läkarsällskapet är positivt till utredningens målsättning att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. För att uppnå den målsättningen har en ingående analys av både data- skyddsförordningen och registerförfattningarna skett. Utredningens för- slag beskrivs vara av i huvudsak författningsteknisk karaktär, och be- döms inte inskränka nuvarande möjligheter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen.

Läkemedelsindustriföreningen (LIF) ställer sig positiv till utredningens utgångspunkt att behandling som i dag är laglig ska kunna fortsätta. Det skapar förutsebarhet och underlättar de anpassningsåtgärder som data- skyddsförordningen föranleder för föreningens medlemsföretag. Som LIF uppfattar saken påverkar förslagen inte läkemedelsföretagens forsk- ning och användning av statistik från hälsodataregister, kvalitetsregister och biobanker. Detta är positivt och av stor betydelse för Sveriges ställ- ning och utveckling som forskande läkemedelsnation.

Sveriges Kommuner och Landsting och Örebro läns landsting välkom- nar och delar utredningens bedömning att den behandling av personupp- gifter som är laglig i dag ska kunna fortsätta när dataskyddsförordningen ska börja tillämpas. Landstinget instämmer i utredningens bedömning att dataskyddsförordningen till stor del innehåller samma eller i vart fall liknande bestämmelser som dataskyddsdirektivet och personuppgifts- lagen. Den stora skillnaden är dock att dataskyddsförordningen är direkt tillämplig och, till skillnad från personuppgiftlagen som är subsidiär, gäller oavsett vad som regleras i en nationell registerförfattning.

Skälen för regeringens bedömning: Den nya generella unionsrätts- akten om dataskydd är en förordning och detta innebär en ytterligare harmonisering av dataskyddsreglerna inom EU. Förordningen kommer att vara direkt tillämplig i medlemsstaterna. Detta innebär att personupp- giftsansvariga primärt kommer att behöva förhålla sig till EU-regle- ringen.

Regeringen vill dock uppmärksamma att dataskyddsförordningen emellertid till stora delar har en direktivliknande karaktär. Ett förhållan- devis stort antal artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Detta gäller särskilt behandling av personuppgifter som sker inom den offentliga sektorn. Medlemsstaterna får t.ex. behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 e, dvs. som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutöv-

Prop. 2017/18:171

Prop. 2017/18:171 ning. För vissa angivna syften får medlemsstaterna enligt artikel 23 även begränsa tillämpningsområdet för många av de skyldigheter och rättig-

	heter som regleras i förordningen. Dataskyddsförordningens direktivs-
	liknande karaktär innebär således att det kommer att finnas ett betydande
	utrymme för att behålla och att införa ytterligare registerförfattningar om
	så anses behövligt eller nödvändigt.
	Regeringen vill vidare uppmärksamma att dataskyddsförordningen till
	stor del baseras på 1995 års dataskyddsdirektivets struktur och innehåll. I
	många fall framgår det vid en jämförelse mellan den nya förordningens
	och direktivets artiklar mycket stora likheter i ordalydelserna t.ex. vad
	gäller grundläggande principer och en del vad gäller laglig grund. Det är
	därför naturligt att tolkningen av dataskyddsförordningen ofta kommer
	att göras genom att dataskyddsförordningens ordalydelse jämförs med
	dataskyddsdirektivets ordalydelse.
	Regeringen instämmer i Datainspektionens och Pensionsmyndighetens
	uppfattning att förordningen blir det primära regelverket för behandling
	av personuppgifter och t.ex. patientdatalagen utgör kompletterande lag-
	stiftning i förhållande till dataskyddsförordningen. Det är också så att
	lagstiftaren så långt det är möjligt bör säkerställa att dataskyddsförord-
	ningen kompletteras med nationella regler i tillräcklig utsträckning för att
	myndigheter och andra aktörer i olika verksamhet inom Socialdeparte-
	mentets verksamhetsområde ska kunna behandla de personuppgifter som
	är nödvändiga för myndigheternas eller de andra aktörernas verksam-
	heter.
	Regeringen instämmer i Datainspektionens uppfattning att det är
	viktigt att det blir tydligt hur regelverken förhåller sig till varandra, så att
	de som ska tillämpa dataskyddsbestämmelserna förstår att de nationella
	reglerna inte kan åsidosätta dataskyddsförordningen och att en prövning
	av om en behandling av personuppgifter är tillåten eller inte, primärt ska
	ske utifrån förordningen.
	Det finns en risk för att de som är personuppgiftsansvariga kommer att
	se registerförfattningar, såsom patientdatalagen (2008:355), som de
	primära regelverken på området för behandling av personuppgifter och
	inte som lagstiftning som endast reglerar enstaka frågor.
	Regeringen bedömer att det finns behov av allmän information t.ex.
	om förhållandet mellan dataskyddsförordningen och den generella lagen
	samt de särskilda registerförfattningarna. Det kommer dock sannolikt att
	ta tid innan myndigheter och andra aktörer inom olika verksamheter
	kommer att ha god kännedom om vad dataskyddsförordningen och andra
	författningar kräver av dem.
	Dataskyddsförordningen ska börja tillämpas den 25 maj 2018.
	Regeringen håller med Datainspektionen om att det hade varit önskvärt
	med noggrann kartläggning av behandling av personuppgifter inom
	Socialdepartementets verksamhetsområde men anser inte att detta är
	möjligt inom den mycket korta tidsperioden innan förordningen ska börja
	tillämpas.
	Regeringen bedömer att det är angeläget att den behandling av person-
	uppgifter som i dag förekommer och är laglig bör kunna fortsätta även
	från det att dataskyddsförordningen börjar tillämpas. Det kommer
	sannolikt också att	uppmärksammas personuppgiftsbehandling som
60	kommer att behöva	ytterligare författningsstöd. Sådana ändringar, och

andra ändringar i förutsättningar för behandling av personuppgifter, får Prop. 2017/18:171 övervägas i annan ordning. Detta lagstiftningsärende får därför avgränsas

till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordningen.

5.3Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir tydligare

Regeringens bedömning: Befintlig författningsreglering, som inne- bär begränsningar i förhållande till vad som vore tillåtet enligt EU:s dataskyddsförordning, bör behållas i sak i så stor utsträckning som möjligt.

Regleringen bör göras så enhetlig som möjligt. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen kan och bör, i den utsträckning det är möjligt enligt vad som anges i skäl 8 i data- skyddsförordningen, behållas eller införas när det skapar tydlighet.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Riksarkivet anser att regleringen som rör behandling av personupp- gifter med dataskyddsförordningens ikraftträdande kommer att bli komplex. Det är därför viktigt att regelverket på dataskyddsområdet görs så enkelt och tydligt som möjligt. Riksarkivet har i yttrande över be- tänkandet Ny dataskyddslag (SOU 2017:39) lämnat generella synpunkter för den nationella tolkningen av dataskyddsförordningen.

Kammarrätten i Stockholm noterar att de olika utredningar som tillsatts för att analysera och anpassa författningar inom olika områden till data- skyddsförordningen, har valt att utforma vissa återkommande bestäm- melser på olika sätt. Det gäller t.ex. hänvisningen till dataskyddsförord- ningen, övergångsbestämmelser som reglerar vilka bestämmelser om skadestånd som ska tillämpas, hänvisningar till dataskyddsförordningens artikel 9.1 om sådana särskilda personuppgifter som anges i artikeln (känsliga personuppgifter) och hur hänvisningar till personuppgiftslagens bestämmelse om finalitetsprincipen ska ersättas (jfr t.ex. SOU 2017:66, SOU 2017:49 och Ds 2017:33). Det är önskvärt att Regeringskansliet i det fortsatta arbetet finner en enhetlig utformning av denna typ av be- stämmelser.

Sveriges advokatsamfund har tidigare påtalat att gällande lagstiftning i fråga om registerfrågor är svår att överblicka både sett till verkningar för enskildas personliga integritet och till den faktiska tillämpningen av de föreslagna lagrummen och rekvisiten, då det finns ett allt för stort antal skilda lagar om myndigheters personuppgifts- och registerhantering samt även en bristande överensstämmelse mellan grundläggande begrepp i

dessa lagar. Advokatsamfundet vidhåller tidigare lämnade synpunkter i

Prop. 2017/18:171 detta avseende och anser att det är olyckligt att uppdraget inte varit att ta fram en enhetlig reglering för åtminstone här berörd del av den offentliga verksamheten.

Dataskydd.net anser att det sammelsurium av registerförfattningar som finns på Socialdepartementets område inte kan uppnå syftet att skydda sjuka och utsatta människor från integritetskränkningar. Ambitionen med att skapa specialbestämmelser kan i och för sig vara lovvärd men blir kontraproduktiv. Det blir svårare för privatpersoner att förstå vilka rättig- heter de har och utöva dessa rättigheter. Det blir också svårare för de be- rörda myndigheterna/personuppgiftsansvariga att bedöma i vilken ut- sträckning de själva är ansvariga för konsekvensbedömningar och ut- värderingar. Dataskydd.net anser att en del av författningsförslagen inne- bär felaktiga upprepningar av artikel 5.1 b, onödiga upprepningar av artikel 9.3 och underliga och varierande listor om vilken information som ska ges till registrerade samt att det på ett flertal ställen i förslagen före- kommer dubbelregleringar.

Skälen för regeringens bedömning

Befintliga registerförfattningar bör behållas

Av skäl 8 i dataskyddsförordningen framgår att om dataskyddsförord- ningen föreskriver förtydliganden eller begränsningar av bestämmelserna i dataskyddsförordningen genom den nationella rätten kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. Det kan däremot i andra situationer än den som berörs i skäl 8 anses strida mot EU-rätten att i nationell lagstiftning upprepa bara vissa be- stämmelser i en EU-förordning eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt.

Mot bakgrund av det utrymme som medlemsstaterna med stöd av för- ordningens artiklar har för att införliva delar av dataskyddsförordningen i den nationella rätten så bör befintliga registerförfattningar som motsvarar bestämmelser i dataskyddsförordningen behållas i den utsträckning det behövs för att uppnå tydlighet och igenkänning hos tillämparna. En be- dömning av om det är förenligt med EU-rätten att behålla en sådan be- stämmelse måste dock göras i varje enskilt fall.

Det bör däremot inte införas fler bestämmelser som motsvarar bestäm- melser i dataskyddsförordningen än de som redan finns i registerförfatt- ningarna. Registerförfattningarna, som redan i nuläget är många i antal och som i vissa fall är mycket omfattande, skulle då komma att bli ännu mer omfattande.

Å andra sidan anser regeringen att det bör uppmärksammas att olika registerförfattningar av lagstiftaren har ansetts vara önskvärda för att en samlad reglering skulle anses vinna i tydlighet, konsekvens och över- blickbarhet samt att tillgodose enskilda personers integritetsskydd. I flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling har konstitutionsutskottet framhållit att målsättningen bör vara att myn- dighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har vid åtskilliga tillfällen

instämt i denna bedömning (se bl.a. prop. 2009/10:80 s. 183). De olika Prop. 2017/18:171 registerförfattningarnas innehåll och struktur får anses vara ett resultat av

hur lagstiftaren under åren har bedömt bl.a. den personuppgiftsbehand- ling som görs av en myndighet eller andra aktörer i en viss verksamhet eller för vissa specifika ändamål som avvägt mot bl.a. intresset av skyddet av enskildas personliga integritet. Lagstiftaren har utifrån inte- gritetssynpunkt bedömt att det är väsentligt att inte andra personuppgifter behandlas i viss verksamhet än vad som är befogat utifrån verksamhetens behov och krav. Det är i sådana bedömningar ofta fråga om att balansera intresset av att specificera vilka personuppgifter som får behandlas och på vilket sätt i verksamheten samtidigt som intresset av att undvika tillämpningsproblem eller försvåra nödvändigt och ändamålsenligt nyttjande av it i verksamheten. Vidare har lagstiftaren förhållit sig till om sekretess eller tystnadsplikt gäller för personuppgifterna som syftar till att förhindra obehörig insyn och spridning.

För tillämparen finns det risk att det blir missvisande att endast återge vissa bestämmelser i dataskyddsförordningen när även övriga bestäm- melser i dataskyddsförordningen gäller. Detta kan dock vara motiverat för att förtydliga, t.ex. genom att ta in en bestämmelse som upplyser om innehållet i en specifik bestämmelse i dataskyddsförordningen, i syfte att göra tillämparen uppmärksam på att regleringen i registerförfattningen inom ett visst område inte är uttömmande.

5.4	Myndigheter och verksamheter som inte har
	registerförfattningar

Regeringens bedömning: Lagstiftningsärendet behöver avgränsas till
att avse de anpassningar i författningar som i nuläget bedöms behövas
med anledning av EU:s dataskyddsförordning. I fråga om de
myndigheter eller verksamheter som inte har en särskild register-
författning så får det i tillämpningen visa sig om det behövs ytterligare
regleringar av behandling av personuppgifter.
Socialdataskyddsutredningens bedömning: Överensstämmer i allt
väsentligt med regeringens. Utredningen gjorde bedömningen att det inte
har framkommit att några myndigheter eller verksamheter inom Social-
departementets verksamhetsområde som inte har en registerförfattning
behöver kompletterande föreskrifter till följd av att personuppgiftslagen
upphävs och dataskyddsförordningen börjar tillämpas.
Remissinstanserna: Datainspektionen framför att om lagstiftaren inte
säkerställer att nationell lagstiftning införs där behov finns och data-
skyddsförordningen så kräver, kan det leda till att samhällsviktiga be-
handlingar av personuppgifter kan komma att sakna rättsligt stöd när för-
ordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande
de verksamheter som hanterar känslig eller integritetskänslig informa-
tion. I betänkandet saknas tillräckliga redogörelser och analyser för att
kunna bedöma om det behöver införas särskilda nationella dataskydds-
bestämmelser för de myndigheter som i dag saknar egna registerförfatt-
ningar. Sådana analyser behöver göras i det fortsatta lagstiftningsärendet.		63

Prop. 2017/18:171 Datainspektionen har vid flera tillfällen framfört synpunkter på att det saknas särskilda bestämmelser för den personuppgiftsbehandling som utförs av Folkhälsomyndigheten. En annan myndighet för vilken en registerförfattning kan behöva övervägas är Barnombudsmannen som inom sin verksamhet behandlar känsliga personuppgifter om barn.

Barnombudsmannen (BO) anför att myndigheten i sin verksamhet be- handlar både generella och känsliga personuppgifter i såväl den faktiska verksamheten som myndighetsutövandet. De känsliga personuppgifter som behandlas i den faktiska verksamheten gäller bl.a. uppgifter som in- kommer till myndigheten genom att enskilda tar kontakt med myndig- heten via t.ex. webbformulär samt uppgifter som myndigheten själv inhämtar i frivilliga samtal med barn. I utredningen saknas det belysning av vilka andra myndigheter, däribland BO, som saknar registerförfatt- ningar. Inte heller finns det någon redogörelse för vilken granskning som gjorts av dessa myndigheters behandling av personuppgifter. BO anser därför att utredningen inte har analyserat frågan tillräckligt ingående.

Inspektionen för socialförsäkringen framhåller att det är angeläget för myndigheten att förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen leder till lagstift-

	ning.
	Skälen för regeringens bedömning
	Allmänt om myndigheter och verksamheter som i dag inte har en
	registerförfattning och utredningsuppdraget
	Några av de myndigheter och verksamheter som hör till Socialdeparte-
	mentets verksamhetsområde har i dag inte en särskild registerförfattning.
	Detta gäller bl.a. Myndigheten för vård- och omsorgsanalys, Inspek-
	tionen för socialförsäkringen, Myndigheten för familjerätt och föräldra-
	skapsstöd och Folkhälsomyndigheten. Dessa myndigheter ska i dag
	tillämpa personuppgiftslagen vid sin behandling av personuppgifter. När
	personuppgiftslagen upphävs kommer myndigheter och verksamheter
	som inte omfattas av någon registerförfattning i stället att tillämpa data-
	skyddsförordningen och den föreslagna dataskyddslagen.
	Socialdataskyddsutredningen fick därför i uppdrag att undersöka om
	det till följd av personuppgiftslagens upphävande och regleringen i data-
	skyddsförordningen behövs kompletterade föreskrifter för vissa myndig-
	heter och verksamheter som i dag saknar särskilda registerförfattningar
	och i förekommande fall lämna författningsförslag.
	Uppdraget omfattade att lämna förslag till de anpassningar till följd av
	dataskyddsförordningen som behövs av de författningsförslag som
	lämnats i SOU 2014:67 om behandlingen av personuppgifter inom verk-
	samheten för Inspektionen för socialförsäkringen, som i dag inte har
	någon registerförfattning. Socialdataskyddsutredningen har redovisat
	förslag till ändringar i förslaget till lag om behandling av personuppgifter
	inom verksamheten för Inspektionen för socialförsäkringen, se t.ex.
	avsnitt 1.2 och 10.17 i SOU 2017:66.
	Vidare har Socialdataskyddsutredningen bedömt att uppdraget om-
	fattade att undersöka om det i dag förekommer någon typ av behandling
	av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruks-
64	regeln i 5 a § eller en intresseavvägning enligt 10 § f personuppgifts-

lagen, alternativt personuppgiftsförordningen, som behöver författnings- stöd för att kunna fortsätta. Det är dock endast reglering av sådan be- handling av personuppgifter som är mer eller mindre unik för en viss verksamhet och som därför inte rimligen bör omfattas av en generell reglering som får anses ingå i utredningens uppdrag. Sådan behandling som behöver utföras av flera myndigheter, som hör under flera departe- ment, bör däremot inte specialregleras utan i stället omfattas av den generella regleringen i dataskyddslagen.

I syfte att undersöka om det behövs kompletterande föreskrifter för de verksamheter som inte har en registerförfattning har Socialdataskydd- utredningen haft särskilda möten med experterna från de myndigheter som omnämns i utredningsdirektiven, dvs. Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Socialdata- skyddsutredningen har bedömt att det inte framkommit att dessa myndig- heter utför någon myndighetsspecifik behandling av personuppgifter som är tillåten i dag men som behöver författningsregleras för att vara tillåten när personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. De behandlingar som dessa myndigheter har redogjort för är i stället i de flesta fall sådana som till sin natur är gemensamma för många myndigheter och organisationer. Det är därför inte motiverat att reglera behandlingen särskilt utan denna bör i stället omfattas av den generella regleringen.

Genom tilläggsdirektiv har Socialdataskyddsutredningen även fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och om- sorgsanalys.

Remissinstansernas synpunkter

Datainspektionen ifrågasätter utredningens bedömning av följande anled- ningar. När dataskyddsförordningen blir tillämplig är den det primära regelverket. I vissa fall krävs enligt dataskyddsförordningen komp- letterande nationell lagstiftning för att det ska vara tillåtet att behandla personuppgifter. Dataskyddsförordningen ställer enligt artikel 6.3 krav på att den rättsliga grunden måste vara fastställd i unionsrätt eller nationell rätt för att tillämpa de rättsliga grunderna i artikel 6.1 c och e. Om den rättsliga grunden är en rättslig förpliktelse (artikel 6.1 c) ska dessutom syftet med behandlingen vara fastställd i den nationella rätten. Nationell rätt som fastställer de rättsliga grunderna i artikel 6.1 c och e ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges att en rättslig grund bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter. Den före- slagna kompletterande dataskyddslagen innehåller inte ett fastställande av den rättsliga grunden. Däremot kan den rättsliga grunden vara tillräck- ligt tydligt reglerad i myndigheternas uppdrag. Det måste emellertid be- dömas för varje aktuell behandling. Även artikel 9 om känsliga personuppgifter ställer krav på unionsrättslig eller nationell reglering. I

Prop. 2017/18:171

Prop. 2017/18:171 betänkandet till den kompletterande dataskyddslagen (SOU 2017:39 s. 162) anges kravet på stöd i nationell rätt innebära att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Datainspektionens bedömning är att verksam- heter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd i nationell rätt än vad som föreskrivs i den föreslagna kompletterande dataskyddslagen.

Datainspektionen framför även att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av person- uppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information.

I betänkandet saknas tillräckliga redogörelser och analyser för att kunna bedöma om det behöver införas särskilda nationella dataskyddsbe- stämmelser för de myndigheter som i dag saknar egna registerförfatt- ningar. Datainspektionen anser att sådana analyser behöver göras i det fortsatta lagstiftningsärendet.

Verksamheter inom Socialdepartementets område är ofta sådana att be- handling av stora mängder känsliga personuppgifter är nödvändig, såsom till exempel hos Folkhälsomyndigheten. Datainspektionen har i flera remissyttranden och i en skrivelse till Socialdepartementet framfört syn- punkter på att det saknas särskilda bestämmelser för den personuppgifts- behandling som utförs av Folkhälsomyndigheten, tidigare Smittskydds- institutet och Statens folkhälsoinstitut (Datainspektionens ärenden 937- 2009, remissyttrande S2009/4733/FH; 1087-2010, remissyttrande S2010/4398/FH; 989-2006, tillsynsbeslut beträffande Smittskydds- institutet och skrivelse till Socialdepartementet och 1654-2012, remiss- yttrande S2012/7860/FS).

Barnombudsmannen (BO) behandlar i sin verksamhet både generella och känsliga personuppgifter i såväl den faktiska verksamheten som i myndighetsutövandet. De känsliga personuppgifter som behandlas i den faktiska verksamheten gäller bl.a. uppgifter som inkommer till myndig- heten genom att enskilda tar kontakt med myndigheten via t.ex. webb- formulär samt uppgifter som myndigheten själv inhämtar i frivilliga samtal med barn. I utredningen saknas det belysning av vilka andra myndigheter, däribland BO, som saknar registerförfattningar. Inte heller finns det någon redogörelse för vilken granskning som gjorts av de myndigheter som inte har registerförfattning eller deras behandling av personuppgifter. BO anser därför att utredningen inte har analyserat frågan tillräckligt ingående.

Detta lagstiftningsärendes avgränsning

Socialdataskyddsutredningen bedömer att det inte har framkommit att några myndigheter eller verksamheter inom Socialdepartementets verk- samhetsområde som inte har en registerförfattning behöver komp- letterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Regeringen är medveten om att det för olika myndigheter och verk-

samheter finns önskemål om att ändra gällande registerförfattningar och

att det eventuellt kan finnas behov av ändringar i författningar av be- tydelse för olika myndigheters och verksamheters behandling av person- uppgifter. Orsakerna till önskemålen och behoven skiljer sig åt och kan t.ex. avse att myndigheter och aktörer inom verksamheter vill ha föränd- ring av sina förutsättningar för att behandla personuppgifter för att för- bättra eller underlätta informationshanteringen inom myndigheten eller inom verksamheter eller mellan olika myndigheter eller andra verksam- heter.

För att utreda behov av särskilda registerförfattningar krävs det mycket omfattande arbete med att noga genomlysa förekomsten av all sorts personuppgiftsbehandling hos sådana myndigheter och inom verksam- heter som även kan bedrivas av andra än myndigheter, t.ex. privata ut- förare. Förutom att genomlysa den faktiska personuppgiftsbehandlingen krävs det analys av de föreskrifter som reglerar eller har betydelse för myndigheternas eller verksamheternas bedrivande (t.ex. lagar, förord- ningar, myndighetsföreskrifter och regleringsbrev). Det är således fråga om att ta del av omfattande skriftligt material för att förstå den verksam- het som bedrivs och sedan för att kunna bedöma behovet av nya eller ändrade regler. Det är viktigt att myndigheten själv försöker göra sina be- dömningar av den personuppgiftsbehandling som utförs och att det finns stöd för den.

Med anledning av dataskyddsförordningen har myndigheterna och andra aktörer att primärt utgå från dataskyddsförordningen och sedan den generella lagen som kompletterar dataskyddsförordningen samt eventuellt andra författningar som kan komplettera dataskyddsförord- ningen eller gäller i stället för den generella lagen.

För att genomföra författningsändringar behövs noggranna analyser av hur sådana ändringar förhåller sig till bl.a. den grundlagsskyddade personliga integriteten. I detta ligger att göra en proportionalitetsbedöm- ning mellan behovet av att på visst sätt behandla personuppgifter och det intrång som görs i den personliga integriteten. Behovet av uppgifter be- höver vägas mot den enskildes intresse av skydd för sin personliga inte- gritet. Detta kräver att noggranna och välavvägda analyser görs av hur ändringarna ska förhålla sig till den grundlagsskyddade rättigheten, dataskydds- och sekretessförfattningar.

Det inte ovanligt att myndigheter och andra aktörer mer eller mindre tydligt framför behov av en särskild registerförfattning. I vissa fall är det oklart om dessa själva har gjort några närmare analyser om behoven. Om en myndighet eller annan aktör anser att de behöver en särskild register- författning eller andra regeländringar, kan dessa exempelvis inkomma med skrivelse om behovet, men lämpligast är att dessa först har analyserat behovet och tydligt beskriver de bedömningar de har gjort.

Enligt regeringens mening får detta lagstiftningsärende avgränsas till att avse de anpassningar i författningar som i nuläget bedöms behövas med anledning av dataskyddsförordningen. I fråga om de myndigheter eller verksamheter som inte har en särskild registerförfattning så får det i tillämpningen visa sig om det behövs ytterligare regleringar avseende behandling av personuppgifter.

Frågan om registerförfattning för Inspektionen för socialförsäkringen hanteras inte i detta lagstiftningsärende utan bereds i särskild ordning inom Regeringskansliet.

Prop. 2017/18:171

Prop. 2017/18:171 6	Allmänna överväganden
6.1	Nationella bestämmelser anpassar
	tillämpningen av bestämmelserna i
	dataskyddsförordningen

Regeringens bedömning: Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestäm- melserna i EU:s dataskyddsförordning när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (artikel 6.2 i EU:s data- skyddsförordning).

Den rättsliga grund för behandlingen som i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen (artikel 6.3).

När den rättsliga grunden för behandlingen är att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsupp- gift av allmänt intresse eller som ett led i den personuppgiftsansvari- ges myndighetsutövning, kan och bör specifika bestämmelser i registerförfattningar som begränsar myndigheters och enskildas möjligheter till behandling av personuppgifter behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen delar inte utredningens bedömning att det är tillåtet att begränsa myndigheters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till dataskyddsförordningen. Dataskyddsförordningen har tillkommit för att ytterligare harmonisera EU-medlemsstaternas reglering av behandling av personuppgifter. EU- förordningar är direkt tillämpliga i medlemsstaterna. Om dataskydds- förordningen i sig ger stöd att behandla personuppgifter, finns det inte utrymme för att ställa ytterligare krav i nationell rätt, om dataskyddsför- ordningen inte medger det. Att det är möjligt att i nationell rätt reglera behandling av personuppgifter mer detaljerat i förhållande till artikel 6.1 c och e framgår av artikel 6.2 och 6.3.

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig och detta innebär att det i vissa fall är otillåtet att in- skränka rätten att behandla personuppgifter eller ålägga skyldigheter vid behandling utöver vad som följer av dataskyddsförordningen.

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna be- hålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av bestämmelserna i dataskyddsförordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa bl.a. en laglig och rättvis behandling när det gäller behand- ling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel

6.1 c) eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse och att grunden ska fastställas. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e (dvs. behandling som är nödvändig för att utföra en arbets- uppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning), vara nödvändigt för att utföra en upp- gift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Den rättsliga grund för behandlingen som enligt artikel 6.3 i data- skyddsförordningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behand- ling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland behandling i andra särskilda situationer enligt kapitel IX.

Enligt skäl 45 i dataskyddsförordningen ska man dessutom kunna precisera kraven för att fastställa vem den personuppgiftsansvarige är. Medlemsstaternas nationella rätt bör, enligt det skälet, också reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårds- tjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

I artikel 6.3 andra styckets sista mening stadgas att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Genom dataskyddsförordningens artikel 6.3 är det i vissa fall inte längre – till skillnad från vad som tidigare gällt enligt dataskydds- direktivet och personuppgiftslagen – möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen.

Behandling som utförs av såväl myndigheter som privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stöder sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse (artikel 6.1 c) eller utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Dataskyddsförordningen hindrar således inte att medlemsstaterna i nationell rätt inför mer specifika bestämmelser för att anpassa tillämpningen av förordningens bestämmelser för såväl sina egna myndigheters respektive en- skilda/privata utförares behandling av personuppgifter. Det innebär att det är möjligt att i registerförfattningarna behålla bestämmelser som på olika sätt begränsar möjligheterna till behandling av personuppgifter (jfr artikel 6.3 andra stycket i dataskyddsförordningen och skäl 45).

Prop. 2017/18:171

Prop. 2017/18:171 6.2		Registerförfattningarnas tillämpningsområde
	Regeringens bedömning: Bestämmelser i registerförfattningar om
	inom vilken verksamhet samt på vilka typer av behandlingar och upp-
	gifter författningen ska tillämpas påverkas inte av EU:s dataskydds-
	förordning och bör inte ändras.
	Om registerförfattningen omfattar verksamhet som faller under
	tillämpningsområdet för det nya dataskyddsdirektivet, krävs det dock
	särskilda överväganden.

	Socialdataskyddsutredningens bedömning: Överensstämmer med
	regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens bedömning.
	Pensionsmyndigheten anför att bestämmelsen om tillämpningsområdet
	i socialförsäkringsbalken inte behövs.
	Skälen för regeringens bedömning: Av artikel 2.1 i dataskyddsför-
	ordningen framgår att förordningen ska tillämpas på sådan behandling av
	personuppgifter som helt eller delvis företas på automatisk väg samt på
	annan behandling än automatisk av personuppgifter som ingår i eller
	kommer att ingå i ett register. Ett register är enligt definitionen i artikel
	4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter
	som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är
	centraliserad, decentraliserad eller spridd på grundval av funktionella
	eller geografiska förhållanden. Med personuppgifter avses enligt artikel
	4.1 i dataskyddsförordningen varje upplysning som avser en identifierad
	eller identifierbar fysisk person, varvid en identifierbar fysisk person är
	en person som direkt eller indirekt kan identifieras särskilt med hänvis-
	ning till en identifierare som ett namn, ett identifikationsnummer, en
	lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som
	är specifika för den fysiska personens fysiska, fysiologiska, genetiska,
	psykiska, ekonomiska, kulturella eller sociala identitet.
	Tillämpningsområdet anges i det nu gällande dataskyddsdirektivet i
	relevanta delar på samma sätt som i dataskyddsförordningen. I 5 §
	personuppgiftslagen används inte ordet register, utan en modifierad
	formulering av dataskyddsdirektivets definition av ett register, nämligen
	en strukturerad samling av personuppgifter som är tillgängliga för sök-
	ning eller sammanställning enligt särskilda kriterier. Enligt 3 § person-
	uppgiftslagen avses med personuppgifter all slags information som direkt
	eller indirekt kan hänföras till en fysisk person som är i livet.
	Registerförfattningarna omfattar i allmänhet samma typer av behand-
	lingar och personuppgifter som dataskyddsdirektivet, personuppgifts-
	lagen och dataskyddsförordningen. Ibland är tillämpningsområdet in-
	skränkt till att avse bara viss typ av behandling, t.ex. automatiserad, eller
	typ av personuppgift och ibland är tillämpningsområdet utvidgat till att
	avse ytterligare uppgifter, t.ex. uppgifter om avlidna eller juridiska per-
	soner. Registerförfattningar reglerar vidare bara behandling inom en viss
	i författningen angiven verksamhet.
	Dataskyddsförordningen hindrar inte att medlemsstaterna fritt be-
70	stämmer	tillämpningsområdet för nationell lagstiftning. Frågor som

ligger utanför dataskyddsförordningens tillämpningsområde kan således Prop. 2017/18:171 regleras i en författning som kompletterar dataskyddsförordningen, och

en sådan författning behöver inte reglera alla typer av behandlingar eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförord- ningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer. Att med- lemsstaterna får fastställa bestämmelser för behandlingen av personupp- gifter avseende avlidna personer framgår dessutom av skäl 27 i data- skyddsförordningen.

De registerförfattningar som i dag gäller för uppgifter om avlidna per- soner eller juridiska personer kan således även fortsättningsvis tillämpas på sådana uppgifter. Socialdataskyddsutredningens slutsats är att be- stämmelser i registerförfattningar som reglerar vilka typer av behand- lingar och uppgifter författningen ska tillämpas på inte behöver ändras med anledning av dataskyddsförordningen. Regeringen instämmer i denna bedömning.

I fråga om författningen som omfattar behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten så ska enligt artikel 2.2 d i dataskyddsförordningen förordningen inte tillämpas. I stället ska dataskyddsdirektivet tillämpas. Det innebär att det finns myndigheter som kommer att behöva tillämpa regleringen i dataskyddsförordningen, och den kompletterande nationella lagstiftningen, för behandling av personuppgifter. Det gäller framför allt myndigheterna inom rättskedjan men även andra myndigheter kan ha uppdrag som i någon del innebär brottsbekämpning, lagföring eller verk- ställigheten av påföljder. Hur denna gränsdragningsfråga bör hanteras redogörs för i avsnitten 6.3, 7.1 och 7.4.

6.3Registerförfattningarnas förhållande till annan dataskyddsreglering

Regeringens bedömning: Registerförfattningarna bör innehålla en upplysning om att författningarna kompletterar EU:s dataskyddsför- ordning.

Dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen bör gälla, om inte annat följer av registerförfatt- ningen eller föreskrifter som har meddelats med stöd av den.

Dataskyddsförordningen tillämpas inte när det är fråga om person- uppgiftsbehandling som en behörig myndighet utför i syfte att före- bygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt före- bygga och förhindra hot mot den allmänna säkerheten (artikel 2.2 d i EU:s dataskyddsförordning).

Prop. 2017/18:171	Socialdataskyddsutredningens bedömning: Överensstämmer i allt
	väsentligt med regeringens. Utredningens förslag innehåller dock inte
	formuleringen föreskrifter som har meddelats i anslutning till data-
	skyddslagen.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens bedömning.
	Datainspektionen anser att samma terminologi bör användas i all
	nationell reglering som rör behandling av personuppgifter, vilket även
	innefattar vilken förkortning som används. I författningsförslagen i be-
	tänkandet används förkortningen Europaparlamentets och rådets förord-
	ning (EU) nr 2016/679. Datainspektionen konstaterar att i förslaget till
	den kompletterande dataskyddslagen används förkortningen dataskydds-
	förordningen, jfr 1 kap. 1 § förslaget till kompletterande dataskyddslag.
	I den mån både dataskyddsförordningen och brottsdatalagen kan bli
	tillämplig inom en viss verksamhet är det av stor vikt att lagstiftaren tyd-
	liggör för verksamheterna vilka bestämmelser som ska tillämpas i vilken
	situation. Inom hälso- och sjukvården och inom socialtjänsten finns det
	delar av verksamheten som utgör verkställighet av påföljder inom rätts-
	väsendet. Den personuppgiftsbehandling som utförs för dessa ändamål
	omfattas inte av dataskyddsförordningen utan i stället av ett direktiv, som
	i Sverige genomförs genom en brottsdatalag. Detta kommer att ställa
	stora krav på verksamheterna i deras arbete med personuppgiftsbehand-
	ling. Behandlingen av personuppgifter inom dessa verksamheter måste
	vid varje givet tillfälle vara i enlighet med det regelverk som är
	tillämpligt på den behandling som utförs just då. Lagstiftaren bör mot
	bakgrund av detta söka tydliggöra för verksamheterna och de registrerade
	vilket regelverk som är tillämpligt när, och i den mån det är möjligt,
	harmonisera regelverken för att underlätta en korrekt behandling. I den
	mån en författning innehåller bestämmelser om dels verksamheten som
	sådan, dels personuppgiftsbehandling måste det vara tydligt vilka be-
	stämmelser som har sin grund i dataskyddsförordningen.
	Även Justitiekanslern har anfört att det är mycket angeläget att samma
	allmänna utgångspunkter tillämpas och likartade lagtekniska lösningar
	väljs för alla de författningar som tillkommer eller ses över med anled-
	ning av EU:s dataskyddsreform. Det gäller t.ex. en sådan fråga som i
	vilken mån det behövs upplysningsparagrafer som hänvisar till data-
	skyddsförordningens bestämmelser och hur sådana ska utformas.
	Skälen för regeringens bedömning
	Upplysningsbestämmelser om förhållandet till annan
	dataskyddsreglering
	I registerförfattningarna finns det ofta en bestämmelse som anger hur
	författningen förhåller sig till personuppgiftslagen. I samband med att
	dataskyddsförordningen och den föreslagna dataskyddslagen börjar till-
	lämpas kommer personuppgiftslagen att upphävas.
	I propositionen Ny dataskyddslag (avsnitt 5.1.3) föreslår regeringen i
	dataskyddslagen (1 kap. 6 §) att om en annan lag eller en annan förord-
	ning innehåller bestämmelse som avviker från den lagen tillämpas den
	bestämmelsen. Dataskyddslagen kommer därmed att vara subsidiär i
72	förhållande till annan lagstiftning om behandling av personuppgifter.

Regeringen betonar att bestämmelsen om subsidiaritet kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § personupp- giftslagen, även om dess innebörd är densamma. Detta beror på att data- skyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförord- ningen och reglerar bara vissa frågor. Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte utrymmet för att göra nationella undantag från de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (prop. 2017/18:105 s. 27).

Registerförfattningarna kommer endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en tydligare uppfattning av vilken reglering som gäller bör en bestämmelse med en upplysning om att data- skyddsförordningen gäller tas in i registerförfattningarna. Hänvisningen till dataskyddsförordningen ska vara dynamisk och gälla oavsett lydelse. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hän- visningsteknik och redovisas för var och en av de hänvisningar som görs (prop. 2015/16:156 s. 34). Eftersom dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen i det här fallet endast är att upp- lysa om att dataskyddsförordningen gäller, framstår det som lämpligast att tillämpa en dynamisk hänvisning.

På Socialdepartementets verksamhetsområde finns det ingen register- författning som gäller i stället för personuppgiftslagen, utan författ- ningarna gäller utöver den lagen och innehåller bara de särbestämmelser som ansetts nödvändiga på det aktuella området. Den regleringstekniken

– att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter – kan och bör behållas.

Eftersom dataskyddslagen som nämnts är tänkt att vara subsidiär be- hövs ingen materiell bestämmelse för att uppnå detta. Registerförfatt- ningarna innehåller dock ändå ofta en bestämmelse om förhållandet till den generella lagen (tidigare personuppgiftslagen som kommer att er- sättas av dataskyddslagen). Normalt är det en upplysning om att den generella personuppgiftslagen gäller om inte annat följer av register- författningen eller föreskrifter som har meddelats i anslutning till författ- ningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, anser regeringen att det är lämpligt att uttryckligen upplysa om inte bara att registerförfattningen kompletterar dataskyddsförordningen utan också att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller före- skrifter som har meddelats i anslutning till den. Registerförfattningarna bör därför innehålla en sådan upplysning. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Detta innebär att eventuella förordnings- bestämmelser om undantag från dataskyddslagens tillämplighet gäller.

Bestämmelser om förhållandet till dataskyddsförordningen och data- skyddslagen har i flera lagstiftningsärenden som avser anpassningar till

Prop. 2017/18:171

EU:s dataskyddsförordningen fått följande utformning: Denna lag inne- håller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser om förhållandet till personuppgiftslagen finns även i vissa författningar som i huvudsak innehåller reglering av en viss verk- samhet men som i anslutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. Även sådana be- stämmelser bör ändras i enlighet med vad som anges ovan. Socialdata- skyddsutredningen bedömer att eftersom dessa typer av författningar även reglerar annat än behandling av personuppgifter, bör det dock läggas till att lagen i dessa fall kompletterar dataskyddsförordningen endast vid behandling av personuppgifter. Regeringen anser dock att ett sådant tillägg inte behövs utan att detta framgår av bestämmelsens ovan angivna utformning.

Förhållandet till nya dataskyddsdirektivet och den föreslagna brottsdatalagen

Vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten gäller inte dataskyddsförordningen utan det nya dataskyddsdirektivet (artikel 2.2 d i dataskyddsförordningen).

Regeringen föreslår i lagrådsremissen Brottsdatalag att EU:s nya data- skyddsdirektiv i huvudsak ska genomföras genom en ny ramlag, brotts- datalagen. Den föreslagna ramlagen gäller vid behandling som utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrätts- liga påföljder. Den nya lagen ska vara generellt tillämplig inom det område som direktivet reglerar. Särregler i annan lag eller förordning ska dock gälla framför den nya lagen.

I lagrådsremissen Brottsdatalag avsnitt 6.7, redovisas gränsdragnings- frågor som hör till tillämpningsområdet. Vid bedömning av om en viss personuppgiftsbehandling faller under ramlagens eller dataskyddsförord- ningens tillämpningsområde har det avgörande betydelse om den som behandlar personuppgifter är en behörig myndighet och i vilket syfte uppgiften behandlas. Mot bakgrund av den gränsdragning som EU valt att göra mellan dataskyddsdirektivets och dataskyddsförordningens till- lämpningsområden, där syftet med en behandling av personuppgifter är avgörande, är det ofrånkomligt att båda regelverken kommer att kunna bli tillämpliga i samma arbetsmoment för olika syften. Sammantaget

delar regeringen de bedömningar som Utredningen om 2016 års data- Prop. 2017/18:171 skyddsdirektiv gjort när det gäller tillvägagångssätt i gränsdragnings-

frågor. Ytterligare vägledning kring gränsdragningsfrågor finns i delbe- tänkandet (SOU 2017:29). Regeringen gör bedömningen att frågor om gränsen mellan dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde aktualiseras vid viss personuppgiftsbehandling inom Socialdepartementets verksamhetsområde. Detta gäller patientdatalagen (2008:355), se vidare avsnitt 7.1, och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, se vidare avsnitt 7.4. Regeringen anser att patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten inte bör bli subsidiära i förhållande till den före- slagna brottsdatalagen, om det inte finns starka skäl för att ha en sådan reglering. För den som behandlar personuppgifter inom exempelvis hälso- och sjukvården eller socialtjänsten i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot det allmänna, skulle det knappast underlätta bedömningen av vilken lag- stiftning som gäller för en viss behandling. För sådan personuppgiftsbe- handling bör den föreslagna brottsdatalagen tillämpas.

Behandling av personuppgifter som inte omfattas av dataskyddsförordningen och nya dataskyddsdirektivet

Det förekommer vidare behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet. Ett exempel är behandling av personuppgifter inom hälso- och sjukvård i vissa delar av Försvarsmaktens verksamhet.

I propositionen Ny dataskyddslag föreslår regeringen att bestämmel- serna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och data- skyddslagen ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksam- het som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (1 kap. 2 § dataskyddslagen).

Bestämmelserna i 1 kap. 2 § gäller inte i verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdata- lagen (2010:361), (1 kap. 3 § dataskyddslagen).

En författning som reglerar behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskydds- direktivet kommer i många fall att kompletteras av dataskyddsförord- ningen på grund av bestämmelsen i 1 kap. 2 § dataskyddslagen.

6.4	Principer för personuppgiftsbehandling

Regeringens bedömning: De grundläggande principerna för behand-
ling av personuppgifter är tvingande och gäller t.ex. även när det av en
registerförfattning framgår att personuppgifter får behandlas för ett
visst ändamål (artikel 5 i EU:s dataskyddsförordning).		75

Prop. 2017/18:171 Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: I artikel 5 i dataskydds- förordningen finns ett antal principer som gäller för all behandling av personuppgifter. Det rör sig om principen om laglighet, korrekthet och öppenhet (a), principen om ändamålsbegränsning (b), principen om uppgiftsminimering (c), principen om korrekthet (d), principen om lagringsminimering (e) och principen om integritet och konfidentialitet

(f). Principerna motsvarar i stort sett de principer som framgår av artikel 6 i dataskyddsdirektivet och de grundläggande krav på behandling av personuppgifter som gäller enligt 9 § personuppgiftslagen.

Dataskyddsförordningen är direkt tillämplig och tvingande i de delar den inte tillåter nationell reglering. Enligt artikel 23 i dataskyddsförord- ningen är det under vissa förutsättningar möjligt att införa en nationell lagstiftningsåtgärd som begränsar tillämpningsområdet för artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Om någon begränsning inte har införts i den nationella lagstiftningen, ska dock artikel 5 tillämpas även när en regi- sterförfattning är tillämplig.

Att artikel 5 i dataskyddsförordningen gäller vid sidan av regleringen i en registerförfattning innebär ingen förändring i förhållande till vad som gäller i dag. Även om personuppgiftslagen är subsidiär i förhållande till registerförfattningarna, har utgångspunkten för de allra flesta registerför- fattningar varit att 9 § personuppgiftslagen huvudsakligen ska tillämpas. Att det av en registerförfattning framgår att personuppgifter får behand- las för ett visst ändamål, innebär således inte att t.ex. irrelevanta eller onödigt många personuppgifter får behandlas för ändamålet. Oavsett om ändamålet för behandling av personuppgifter har fastställts i författning eller inte är det alltid den personuppgiftsansvarige som enligt artikel 5.2 i dataskyddsförordningen ansvarar för och ska kunna visa att principerna i artikel 5 följs.

	6.5	Rättslig grund för behandling av
		personuppgifter
	6.5.1	Laglig behandling av personuppgifter vid rättslig
		förpliktelse, allmänt intresse och
		myndighetsutövning

	Regeringens bedömning: Ändamålsbestämmelser i registerförfatt-
	ningar som grundar sig på en rättslig förpliktelse eller en arbetsuppgift
	av allmänt intresse eller som ett led i myndighetsutövning har stöd i
	EU:s dataskyddsförordning. Det krävs inte ytterligare analys av vilket
	stöd redan befintliga ändamål har för att konstatera att behandlingen är
	laglig och har nödvändigt författningsstöd. Ändamålsbestämmelser i
	registerförfattningar som tillåter behandling av personuppgifter kan
76	och bör behållas.
76

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att luta sig mot bedömningar som har gjorts för länge sedan enligt ett annat regelverk utan att ta hänsyn till de omständigheter som råder i dag. Det är inte tillräckligt att hänvisa till de proportionalitetsbedöm- ningar som utförts i tidigare lagstiftningsarbete, utan att det sker någon bedömning av dessa. Eftersom det är frågan om inskränkning i den enskildes rättigheter som bara får ske under förutsättning att den är pro- portionell, krävs det en aktiv bedömning. Vidare finns det förändringar mellan dataskyddsdirektivet och dataskyddsförordningen såsom exem- pelvis att det i vissa fall krävs en i nationell rätt fastställd rättslig grund (artikel 6.3 första stycket), att intresseavvägning inte kan användas som rättslig grund för myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket) och att det är tydligare i dataskyddsförordningen att möj- ligheten för offentlig verksamhet att använda samtycke är mycket be- gränsad (skäl 43).

Socialstyrelsen delar utredningens uppfattning att de ändamål som fastställts i befintliga registerförfattningar med stöd av artikel 7 c och e i dataskyddsdirektivet i samband med tidigare författningsarbeten har be- dömts relevanta och proportionerliga i förhållande till det integritets- intrång de kan innebära och att det finns mål av allmänt intresse. För vissa registerförfattningar finns inte några förarbetsuttalanden att tillgå och att det i andra författningar finns förarbetsuttalanden som är från den tid då dataskyddsdirektivet genomfördes i svensk rätt. Det är därför önskvärt med förtydliganden i det fortsatta lagstiftningsarbetet vad gäller de olika registerförfattningarnas förenlighet med kraven på proportiona- litet i artikel 6.3 andra stycket sista meningen och kraven i skäl 41 i dataskyddsförordningen. Myndigheten ska inte behöva göra dessa be- dömningar när det redan finns författningsstöd.

Pensionsmyndigheten anför att myndighetens verksamhet regleras av instruktionen, socialförsäkringsbalken, lagen och förordningen om den officiella statistiken och annan offentligrättslig reglering såsom förvalt- ningslagen, arkivlagen och bestämmelser om offentlighet och sekretess samt särskilda regeringsbeslut. Den samlade regleringen uppställer tyd- liga ramar för vad myndigheten har för uppgifter och hur de ska utföras. Den behandling av personuppgifter som myndigheten utför har sin grund i en uppgift av allmänt intresse, myndighetsutövning och i vissa fall en rättslig skyldighet. En tillämpning av det sammantagna regelverket, till- sammans med artikel 5 i förordningen, gör det möjligt att enkelt fastställa tydliga och lagenliga ändamål för behandlingen av personuppgifter. Någon särskild, kompletterande författningsreglering av ändamålen för myndighetens behandling av personuppgifter behövs inte. Bestämmel- serna i 114 kap. 7–9 §§ socialförsäkringsbalken är inte sådana nationella mer specifika bestämmelser som avses i artikel 6.2 i dataskyddsförord- ningen, utan får betraktas som upplysningsbestämmelser om den uppgift av allmänt intresse som slås fast i andra föreskrifter. Artikel 5 i data- skyddsförordningen gäller oavsett förekomsten av nationell reglering av tillåtna ändamål. Detta medför att Pensionsmyndigheten har en indirekt

Prop. 2017/18:171

Prop. 2017/18:171 lagprövningsskyldighet av de nationellt reglerade ändamålen jämfört med vad som framgår av regelverket för myndighetens verksamhet och artikel 5. Den nuvarande regleringen av tillåtna ändamål för personupp- giftsbehandling inom ramen för socialförsäkringens administration inne- bär att utgångspunkten är att behandlingar av personuppgifter är tillåten endast om det i lag eller annan författning är uttryckligen tillåtet. De tillåtna ändamålen finns angivna huvudsakligen i 114 kap. 7–9 §§ social- försäkringsbalken. Dessa ändamålsbestämmelser är mycket allmänt hållna och ger i allt väsentligt enbart uttryck för den uppgift av allmänt intresse som kan utläsas enligt de materiella författningar som gäller för Pensionsmyndighetens verksamhet. De ger inte en tillämpare någon närmare vägledning vid fastställandet av om det finns en rättslig grund i form av uppgift av allmänt intresse som en behandling av person- uppgifter kan baseras på. Vid beslut om att utföra en viss typ av behand- ling av personuppgifter efter den 25 maj 2018 kommer Pensionsmyndig- heten ändå att behöva fastställa närmare ändamål enligt artikel 5 för att behandlingen ska anses tillåten.

Örebro läns landsting delar utredningens bedömning att registerförfatt- ningarna uppfyller de nya krav på rättslig grund för behandling av personuppgifter som ställs i dataskyddsförordningen.

Datainspektionen anser att det är av stor vikt att lagstiftaren tar ställ- ning till om en allmän konsekvensbedömning ska utföras av lagstiftaren och att den i sådana fall följer kraven på hur en konsekvensbedömning ska genomföras enligt artikel 35.

Örebro läns landsting, Östergötlands läns landsting och Inera AB anser att konsekvensbedömningar behöver inte alls göras vid personupp- giftsbehandling inom registerförfattningarnas tillämpningsområde, såsom patientdatalagen. Detta bör klargöras så att det inte kommer råda någon osäkerhet.

Skälen för regeringens bedömning

Rättslig grund för behandling av personuppgifter

Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

b)Behandling är nödvändig för att fullgöra ett avtal i vilket den regi-

strerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk

person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutöv- ning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter eller friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. Europeiska unionens domstol har uttalat att begreppet nödvändigt i dataskyddsdirektivet har en unionsrättslig innebörd. Kravet på nödvändighet enligt dataskyddsdirektivet har inte ansetts innebära att det ska vara omöjligt att utföra en uppgift om inte personuppgifter behandlas. Trots att en uppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behandlingen anses nöd- vändig om den innebär effektivitetsvinster (dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724, och SOU 2017:39 s. 105–106).

Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak de- samma som anges i artikel 7 i dataskyddsdirektivet och som genomförts i svensk rätt genom 10 § personuppgiftslagen. En skillnad är dock att myndigheter enligt dataskyddsförordningen inte får behandla person- uppgifter med stöd av en intresseavvägning när de fullgör sina uppgifter (artikel 6.1 andra stycket i dataskyddsförordningen).

Uppräkningen i artikel 6 är uttömmande. Om inget av villkoren är till- lämpliga så är behandlingen inte laglig och får inte utföras. Flera av vill- koren är överlappande och flera kan vara tillämpliga avseende samma behandling av personuppgifter. Utöver det grundläggande kravet på att behandling av personuppgifter måste vara laglig enligt nämnda artikel så gäller också andra krav som följder av dataskyddsförordningen. De grundläggande principerna för behandling av personuppgifter, dvs. de allmänna krav som gäller för all personuppgiftsbehandling som anges i artikel 5.1 i dataskyddsförordningen ska också följas, se avsnitt 6.4.

Regeringen redogör i propositionen Ny dataskyddslag närmare för artiklarna 5 och 6 i dataskyddsförordningen, bl.a. att de är grundläggande och kumulativa samt dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas (prop. 2017/18:105 s. 48).

Grunden för behandlingen ska ha stöd i rättsordningen

Den grund för behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (allmänt intresse och myndighetsutövning) i dataskyddsförordningen ska enligt artikel 6.3 fastställas i enlighet med EU-rätten eller den nationella rätt som den personuppgiftsansvarige omfattas av.

Regeringen anför i propositionen Ny dataskyddslag (avsnitt 8.2) bl.a. följande. När det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e) måste det emellertid även finnas ett annat stöd i rättsordningen än det som ges i dataskyddsförordningen. I artikel 6.3 första stycket i dataskyddsförord- ningen anges det nämligen att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas

Prop. 2017/18:171

Prop. 2017/18:171 av. I skäl 45 i dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet (prop. 2017/18:105 s. 49).

Det bör emellertid betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legali- tetsprincipen är en av de principer som kännetecknar Sverige som rätts- stat. Principen är grundlagsfäst genom 1 kap. 1 § regeringsformen, förkortad RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen (prop. 2017/18:105 s. 50).

Syftet med behandlingen

Enligt artikel 6.3 andra stycket ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämp- ningen av bestämmelserna i denna förordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ända- målsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I fråga om rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförord- ningen krävs enligt artikel 6.3 i dataskyddsförordningen att syftet med behandlingen är fastställt i den rättsliga grunden. Det framgår inte av dataskyddsförordningen att syftet ska vara fastställt i en registerförfatt- ning som reglerar behandling av personuppgifter utan syftet kan även finnas i exempelvis den författning som reglerar själva verksamheten.

För behandling av personuppgifter för att utföra arbetsuppgifter av all-

mänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i

dataskyddsförordningen finns det inget krav på att syftet med behand- lingen av personuppgifter ska framgå av den rättsliga grunden i stället ska syftet enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.

I fråga om bestämmelse artikel 6.3 andra stycket sista meningen konstaterar regeringen i propositionen Ny dataskyddslag att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Den personuppgiftsansvarige behöver därmed inte göra någon proportiona- litetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden och följa de grundläggande principerna i artikel 5. Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen, där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägen- heter som kan antas uppstå för den som åtgärden riktas mot (prop. 2017/18:105 s. 50).

Av skäl 41 i dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta är ett uttryck för legalitetsprincipen och utgör således inte någon nyhet inom den svenska offentliga förvaltningen.

Vilken grad av tydlighet och precision som krävs i fråga om den rätts- liga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den person- liga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden, krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF (prop. 2017/18:105 s. 51).

Prop. 2017/18:171

Registerförfattningarna inom Socialdepartementets verksamhetsområde

I registerförfattningarna inom Socialdepartementets verksamhetsområde anges inom vilka verksamheter eller för vilka ändamål personuppgifter behandlas. Av författningarna framgår vilka personuppgifter som får be- handlas.

Socialdataskyddsutredningen anser att det får förutsättas att man under författningsarbetet har funnit stöd för behandling av personuppgifter enligt ändamålen i artikel 7 i dataskyddsdirektivet och att ändamålen nu har motsvarande stöd i dataskyddsförordningen. De ändamål som anges i registerförfattningarna har ofta stöd i någon av grunderna rättslig för- pliktelse, allmänt intresse eller myndighetsutövning. Grunderna är ibland överlappande på så sätt att ett ändamål kan ha stöd i mer än en grund. Exempelvis kan en rättslig förpliktelse att föra ett visst register även anses utgöra en arbetsuppgift av allmänt intresse. Socialdataskyddsutred- ningen anser att någon ytterligare analys av vilket stöd redan befintliga ändamål, som grundar sig på en rättslig förpliktelse, allmänt intresse eller myndighetsutövning (artikel 7 c och e i dataskyddsdirektivet), har i data- skyddsförordningen, krävs därför inte för att konstatera att behandlingen är laglig enligt dataskyddsförordningen.

Regeringen anser att de ovan återgivna bedömningarna om legalitets- principen och Europakonventionen i propositionen Ny dataskyddslag gör sig lika mycket gällande i fråga om de sektorsspecifika registerförfatt- ningarna inom Socialdepartementets verksamhetsområde som i fråga om överväganden om reglering på generell nivå. Detta innebär att det dels finns grund för behandlingar av personuppgifter i den nationella rätten, dels även att kravet på proportionalitet är uppfyllt.

Grunden för behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myn- dighetsutövning mot enskild är redan fastställd i nationell rätt. Rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. I vissa fall kan den rättsliga förpliktelsen framgå av registerförfattningen, t.ex. bestämmelser om att ett visst register ska föras, att personuppgifter ska gallras, att uppgifter ska lämnas ut eller att patientjournaler ska föras. När behandling som tillåts enligt en registerförfattning grundas på en rättslig förpliktelse eller myndighetsutövning får det förutsättas att författningsstödet för för- pliktelsen respektive myndighetsutövningen hade identifierats när be- handlingen tilläts. Det gör att den personuppgiftsansvarige kan utgå från att nödvändiga författningsbestämmelser finns när behandling har tillåtits i en registerförfattning med stöd av artikel 7 c eller, när det gäller myn- dighetsutövning, artikel 7 e i dataskyddsdirektivet. Ändamålsbestämmel- ser i registerförfattningar inom Socialdepartementets verksamhetsområde grundar sig ofta på arbetsuppgifter av allmänt intresse eller rättslig förpliktelse. Arbetsuppgifterna härrör mestadels från uppdrag och

åligganden som framgår av olika verksamhetsorienterade författningar, t.ex. hälso- och sjukvårdslagen (2017:30), läkemedelslagen (2015:315), socialtjänstlagen (2001:453), socialförsäkringsbalken och myndigheters instruktioner. Arbetsuppgifterna kan också anges i regeringsbeslut såsom regleringsbrev och andra regeringsuppdrag. Den rättsliga grunden för be- handling av personuppgifter för arbetsuppgifter av allmänt intresse är således i de allra flesta fall fastställd genom någon annan rättsakt än registerförfattningen. Skulle så inte vara fallet, är den rättsliga grunden i vart fall fastställd genom registerförfattningens ändamålsbestämmelse.

Regeringen instämmer därmed i Socialdataskyddsutredningens slut- satser om att det får förutsättas att t.ex. de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare för- fattningsarbeten har bedömts vara relevanta och proportionerliga i för- hållande till det integritetsintrång personuppgiftsbehandlingen kan inne- bära. Detta gäller även i de fall registerförfattningar saknar förarbeten i den meningen att t.ex. förarbetena inte tydligt redovisar bedömningarna eller om det är fråga om en förordning, som ju i regel saknar förarbeten. Regeringen anser till skillnad från Pensionsmyndigheten att bestämmel- serna i t.ex. 114 kap. 7–9 §§ socialförsäkringsbalken är sådana nationella mer specifika bestämmelser som avses i artikel 6.2 i dataskyddsförord- ningen. Regeringen anser att myndigheter och andra aktörer inte ska behöva göra dessa bedömningar i de fall det finns författningsstöd för behandling av personuppgifter i befintliga författningar.

Konsekvensbedömningar

Enligt artikel 35 i dataskyddsförordningen kommer den personuppgifts- ansvarige att vara skyldig att göra en konsekvensbedömning före en be- handling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. I vissa fall måste även för- handssamråd ske med tillsynsmyndigheten. Detta är en ny skyldighet för den personuppgiftsansvarige.

Socialdataskyddsutredningen anser att skyldigheten har störst betydel- se när verksamheten inte omfattas av särskild registerlagstiftning. En konsekvensbedömning enligt artikel 35.10 i dataskyddsförordningen behöver nämligen som regel inte göras vid behandling som utförs med stöd av artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse, allmänt intresse eller myndighetsutövning) när en konsekvensutredning redan har genomförts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen.

Remissinstanserna Datainspektionen, Örebro läns landsting, Östergötlands läns landsting och Inera AB framför att de ser behov av klargöranden av om konsekvensbedömningar behöver göras vid person- uppgiftsbehandling inom registerförfattningarnas tillämpningsområde.

Regeringen anser att det får förutsättas att de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare för- fattningsarbeten har bedömts vara relevanta och proportionerliga i för- hållande till det integritetsintrång personuppgiftsbehandlingen kan inne- bära. Regeringen anser att det i sådana fall inte är nödvändigt för den

Prop. 2017/18:171

Prop. 2017/18:171 personuppgiftsansvarige att göra ytterligare konsekvensbedömningar i de fall behandlingen av personuppgifter har stöd i befintliga registerförfatt- ningar.

6.5.2Samtycke som rättslig grund

Regeringens bedömning: Bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas. Om bestämmelsen omfattar behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e i EU:s dataskyddsförordning, krävs dock särskilda överväganden.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen bedömer att särskilda över- väganden krävs för bestämmelser som omfattar enskildas behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen efterfrågar noggranna överväganden kring bestäm- melser i registerförfattningar om samtycke som rättslig grund för behand- ling av personuppgifter. Övervägandena måste bl.a. beakta kravet på att ett samtycke måste vara frivilligt och att dataskyddsförordningen inte ger mandat till nationella bestämmelser avseende samtycke som rättslig grund. Utredningen har angett att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas, men om den rättsliga grunden inte utgörs av rättslig förpliktelse enligt artikel 6.1 c eller allmänt intresse eller myndighetsutövning enligt artikel 6.1 e krävs särskilda överväganden om det avser enskildas behandling. Dataskyddsförordningen är utformad så att offentlig verksamhet förväntas få stöd från lagstiftaren för den behandling av personuppgifter som verksamheterna behöver utföra, se bl.a. skäl 47. Såsom anges i betänkandet bör samtycke inte heller utgöra rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgifts- ansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt (skäl 43). Många verksamheter inom Socialdepartementets område har i uppgift att ge stöd, vård och omsorg till personer som är i behov av det. Det är således verksamheter där det oftast råder ojämlikhet mellan den registrerade och den personuppgiftsansvarige, t.ex. läkare och patient respektive socialsekreterare och mottagare av bistånd. Utrymmet för att samtycke ska kunna utgöra den rättsliga grunden är mycket snäv. Medlemsstaterna har, enligt artikel 6.2, enbart stöd för att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen gällande artikel 6.1 c och e. Samtycke som rättslig grund ger inte medlemsstaterna utrymme för egen nationell reglering enligt artikel 6.3. Datainspektionen delar bedöm- ningen att bestämmelser om samtycke som rättslig grund kräver särskilda överväganden, men anser att det krävs för alla verksamheter inom

Socialdepartementets område oavsett om de bedrivs av enskilda aktörer eller myndigheter.

Datainspektionen anser vidare att de registerförfattningar som inne- håller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation där den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar sam- tycke kan ges och hur samtycket påverkar övriga regler i aktuell register- författning. Det saknas sådana överväganden i betänkandet, exempelvis hänvisas beträffande 6 § apoteksdatalagen och 4 § andra stycket lagen om receptregister enbart till avsnitt 9.10.2. I avsnitt 10.1.6 avseende 2 kap. 3 § första stycket patientdatalagen anges att enligt den bedömning utredningen har gjort i avsnitt 9.10.2 behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av person- uppgifter på samtycke inte göras. Utredningen konstaterar därefter att bestämmelsen kan behållas.

Regler från dataskyddsförordningen som inte ska eller får regleras nationellt, får enligt skäl 8 enbart införlivas i nationell rätt om det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Datainspektionen anser att såsom de aktuella bestämmelserna är utformade kan det ge verksamheterna en felaktig uppfattning om att samtycke kan utgöra den rättsliga grunden på ett betydligt vidare sätt än vad dataskyddsförordningen avsett för offentlig verksamhet. Det är inte heller möjligt att, utifrån registerförfattningarna, förstå att särskilda förhållanden råder till de övriga reglerna i register- författningen när den rättsliga grunden är samtycke. Bestämmelserna om samtycke som rättslig grund ökar således inte begripligheten och kan därför, enligt Datainspektionen, inte behållas i sin nuvarande utformning.

Örebro läns landsting anser att kraven på samtycke synes ha skärpts något i dataskyddsförordningen. Det är dock svårt att överblicka hur stor denna förändring egentligen är och vilka konsekvenserna kan bli exempelvis inom hälso- och sjukvårdens område samt att en sådan analys hade kunnat vara av intresse för rättstillämpningen.

Skälen för regeringens bedömning: Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter.

Av artikel 6.1 a i dataskyddsförordningen och artikel 7 a i dataskydds- direktivet följer att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4.11 i dataskydds- förordningen som varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett ut- talande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Definitionen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.

I artikel 7 om villkor för samtycke och 8 om villkor som gäller barns samtycke avseende informationssamhällets tjänster i dataskyddsförord- ningen finns vissa ytterligare bestämmelser om samtycke som rättslig

Prop. 2017/18:171

Prop. 2017/18:171 grund för behandling av personuppgifter, som inte har någon uttrycklig

	motsvarighet i dataskyddsdirektivet och personuppgiftslagen.
	I skäl 42 i dataskyddsförordningen anges följande. När behandling sker
	efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa
	att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet
	vid skriftliga förklaringar som rör andra frågor bör det finnas
	skyddsåtgärder som säkerställer att de registrerade är medvetna om att
	samtycke ges och om hur långt samtycket sträcker sig. I enlighet med
	rådets direktiv 93/13/EEG bör en förklaring om samtycke som den
	personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig
	och lätt tillgänglig form, med användning av ett klart och tydligt språk
	och utan oskäliga villkor. För att samtycket ska vara informerat bör den
	registrerade känna till åtminstone den personuppgiftsansvariges identitet
	och syftet med den behandling för vilken personuppgifterna är avsedda.
	Samtycke bör inte betraktas som frivilligt om den registrerade inte har
	någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller
	ta tillbaka sitt samtycke.
	I skäl 43 i dataskyddsförordningen anges följande. För att säkerställa
	att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för
	behandling av personuppgifter i ett särskilt fall där det råder betydande
	ojämlikhet mellan den registrerade och den personuppgiftsansvarige,
	särskilt om den personuppgiftsansvarige är en offentlig myndighet och
	det därför är osannolikt att samtycket har lämnats frivilligt när det gäller
	alla förhållanden som denna särskilda situation omfattar. Samtycke anses
	inte vara frivilligt om det inte medger att separata samtycken lämnas för
	olika behandlingar av personuppgifter, trots att det är lämpligt i det en-
	skilda fallet, eller om genomförandet av ett avtal – inbegripet tillhanda-
	hållandet av en tjänst – är avhängigt av samtycket, trots att samtycket
	inte är nödvändigt för ett sådant genomförande.
	Några motsvarande skrivningar finns inte i skälen i dataskyddsdirek-
	tivet.
	Socialdataskyddsutredningen anför att det inte kan uteslutas att kraven
	på samtycke i vissa situationer när samtycke utgör den rättsliga grunden
	för behandling av personuppgifter har skärpts något i förhållande till vad
	som anses gälla i dag, jämför skäl 171 i dataskyddsförordningen som
	innehåller skrivningar som verkar förutsätta att ett samtycke enligt data-
	skyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen.
	Örebro läns landsting anser att kraven på samtycke synes ha skärpts
	något i dataskyddsförordningen. Det är dock svårt att överblicka hur stor
	denna förändring egentligen är och vilka konsekvenserna kan bli
	exempelvis inom hälso- och sjukvårdens område.
	Regeringen anser att om kraven på samtycke har skärpts i dataskydds-
	förordningen så är det en fråga som får hanteras i rättstillämpningen.
	Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden avseende
	dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I
	yttrandet anges att typen av registeransvarig kan vara avgörande för valet
	av rättslig grund för behandling av personuppgifter. Detta gäller framför
	allt registeransvariga inom den offentliga sektorn, där behandlingen av
	personuppgifter normalt är knuten till fullgörandet av en rättslig för-
	pliktelse eller utförandet av en arbetsuppgift av allmänt intresse. Att
86	använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är

särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt (Yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13 f.).

Även enligt Datainspektionen kan det starkt ifrågasättas om kravet på att samtycket lämnats frivilligt är uppfyllt om myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige stödja be- handlingen av personuppgifter på någon annan grund (Samtycke enligt personuppgiftslagen – Datainspektionen informerar s. 6). Samtycke kan dock enligt ovan nämnda yttrande från Artikel 29-gruppen i undantags- fall vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är till- räckligt frivilligt.

Regeringen betonar att bestämmelsen i artikel 6.1 a i dataskyddsförord- ningen om att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål är direkt tillämplig och inte försedd med någon möj- lighet till nationell begränsning. Det är därför inte tillåtet att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a) och personuppgifter om lagöverträdelser (artikel 10). Detta motsvarar vad som gäller i dag.

Regeringen anser att det inom Socialdepartementets verksamhets- område framför allt är andra grunder såsom rättslig förpliktelse (artikel 6.1 c) eller allmänt intresse eller led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e) som utgör rättslig grund för behand- ling av känsliga personuppgifter. Att använda grunden samtycke är där- med inte särskilt vanligt inom Socialdepartementets verksamhetsområde.

Regeringen instämmer i vad Socialdataskyddsutredningen anför om att kravet på frivillighet gäller även enligt dataskyddsdirektivet, dvs. detta är inget nytt krav. Det som anförs i skäl 42 och 43 motsvarar en del av vad som anges i uttalandena från Artikel 29-gruppen. Det torde i varje specifikt fall få bedömas om det råder sådan betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla för- hållanden som denna särskilda situation omfattar, dvs. kravet på frivillig- het inte är uppfyllt. Även i de fall det är en myndighet så torde det finnas utrymme för samtycke som rättslig grund t.ex. om den registrerade har fri valmöjlighet eller utan problem kan vägra eller ta tillbaka sitt samtycke, jfr slutet av skäl 42. För det fall behandlingen av personuppgifter hos en myndighet grundar sig på samtycke så krävs det särskilda överväganden för att bedöma om den grunden kan utgöra stöd för behandlingen.

I vissa registerförfattningar förekommer det att myndigheter och en- skilda uttryckligen förbjuds möjligheten att behandla personuppgifter

Prop. 2017/18:171

Prop. 2017/18:171 med stöd av samtycke. Det förekommer också bestämmelser i register- författningar där det tillåts att med stöd av samtycke behandla person- uppgifter för andra ändamål eller i andra fall än de i författningen an- givna. Detta gäller exempelvis 2 kap. 3 § patientdatalagen (avsnitt 7.1.3) och 6 § andra stycket apoteksdatalagen (avsnitt 7.2.2) samt 4 § andra stycket lagen om receptregister (se avsnitt 7.7.3). Även sådana bestäm- melser kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a (om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationell rätt föreskriver att förbudet inte kan upphävas av den registrerade) i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Eftersom det anses att den registrerades samtycke inte ger rätt att behandla personuppgifter i strid med de grundläggande kraven på behandling i artikel 5 i dataskyddsför- ordningen, gäller dock att bestämmelsen inte kan ge stöd för att t.ex. be- handla sådana personuppgifter som inte är korrekta i förhållande till de ändamål som anges i författningen eller som samtycket avser (artikel 5.1 d).

Det förekommer även bestämmelser i registerförfattningar om att en behandling för vissa ändamål bara får utföras med den registrerades samtycke trots att den behandling som författningen reglerar stöder sig på en annan rättslig grund än samtycke, t.ex. en arbetsuppgift av allmänt intresse, exempelvis 3 § andra stycket lagen om läkemedelsförteckning. En sådan begränsning anser regeringen är tillåten för myndigheter och (till skillnad från Socialdataskyddsutredningens bedömning) även en- skilda. Om de angivna ändamålen för den behandling av personuppgifter som regleras i registerförfattningen är sådana som avses i artikel 6.1 c eller e i dataskyddsförordningen (dvs. rättslig förpliktelse eller arbets- uppgift av allmänt intresse eller som ett led i myndighetsutövning), får bestämmelserna anses tillåtna såsom preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelser som innebär krav på sam- tycke för en viss åtgärd, t.ex. direktåtkomst, när den behandling som för- fattningen reglerar stöder sig på en annan rättslig grund kan utgöra en integritetshöjande åtgärd, dvs. ett slags skyddsåtgärd, se exempelvis be- stämmelser i 4 och 6 kap. patientdatalagen.

6.5.3Finalitetsprincipen

Regeringens bedömning: Bestämmelser i registerförfattningar som innebär att personuppgifter som behandlas för i författningen angivna ändamål får behandlas också för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, bör behållas i sak.

Socialdataskyddsutredningens bedömning: Överensstämmer huvud- sakligen med regeringens. Utredningens bedömning avser en annan formulering av bestämmelserna, nämligen bestämmelser i registerför- fattningar med innebörden att personuppgifter, som behandlas för i för-

fattningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen (DI) avstyrker den föreslagna formuleringen som hänvisar till finalitetsprincipen, dvs. till artikel 5.1 b i dataskyddsförord- ningen. DI anser att det är bra att det i de föreslagna bestämmelserna hänvisas till artikeln, men att den föreslagna formuleringen är miss- visande. I den föreslagna lydelsen framstår det som att det alltid är tillåtet att behandla personuppgifter för andra ändamål enligt artikel 5.1 b. Det är dock inte korrekt eftersom den artikeln anger ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än det ändamål för vilket de samlades in. Artikel 5.1 b gäller direkt och får enligt skäl 8 i förordningen regleras i nationell rätt om det innebär ett förtydligande.

Dataskydd.net anser att en del av författningsförslagen innebär fel- aktiga upprepningar av artikel 5.1 b.

Skälen för regeringens bedömning: Av 9 § första stycket d person- uppgiftslagen framgår att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I flera registerförfattningar förekommer hänvisningar till denna s.k. finalitetsprincip i personuppgiftslagen. Principen finns även i data- skyddsförordningen. Av artikel 5.1 b framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ända- målen. Artikel 89.1 i dataskyddsförordningen utgör en precisering av principen om uppgiftsminimering som regleras i artikel 5.1 och de allmänna bestämmelserna om skyddsåtgärder i dataskyddsförordningen (se vidare i avsnitt 4.9.1). Av skäl 50 i dataskyddsförordningen framgår att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamling- en av personuppgifter medgavs. Detta är en nyhet i förhållande till data- skyddsdirektivet.

Finalitetsprincipen kommer således att finnas kvar även i dataskydds- förordningen som kommer att vara direkt tillämplig. I och med att det i registerförfattningar finns ändamålsbestämmelser kan det uppstå oklar- heter om huruvida artikel 5.1 b ska tillämpas eller om tillämpnings- området med avsikt är begränsat till att utesluta sådan behandling. Det finns därför av tydlighetsskäl anledning att i förekommande fall behålla någon form av hänvisning till finalitetsprincipen i registerförfattningarna.

Datainspektionen avstyrker den formulering med en hänvisning till finalitetsprincipen som Socialdataskyddsutredningen har föreslagit. DI motiverar det med att formuleringen är missvisande, eftersom det finns ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än det ändamål för vilket de samlades in. Enligt regeringens bedömning kommer de bestämmelser som reglerar tillåtna ändamål och finalitetsprincipen i registerförfattning- arna att utgöra en sådan ändamålsbegränsning som avses i artikel 6.3 i

Prop. 2017/18:171

Prop. 2017/18:171 dataskyddsförordningen. Reglerna blir därför enligt regeringens mening inte missvisande och det finns inte heller skäl att ange vilken artikel i

	dataskyddsförordningen som förtydligas genom bestämmelserna i
	registerförfattningarna. Regeringen menar också, i likhet med Socialdata-
	skyddsutredningen, att det saknas skäl att i bestämmelsen hänvisa till
	artikel 89.1 i	dataskyddsförordningen.	Den	personuppgiftsansvarige
	måste enligt dataskyddsförordningen som är direkt tillämplig beakta
	såväl artikel 89.1 som övriga bestämmelser i dataskyddsförordningen.
	Det gäller bl.a. de grundläggande principerna i artikel 5 om uppgiftsmini-
	mering m.m. och bestämmelserna i artikel 13.3 och 14.4 som innebär att
	de registrerade som huvudregel på förhand måste informeras om åter-
	användning av personuppgifter.
	Regeringens förslag till bestämmelser som rör finalitetsprincipen på
	Socialdepartementets område finns i 2 kap. 5 § patientdatalagen (avsnitt
	7.1.4), 9 § apoteksdatalagen (avsnitt 7.2.3), 9 § lagen om behandling av
	personuppgifter i ärenden om licens för läkemedel				(avsnitt 7.3.2),
	114 kap. 10 §	socialförsäkringsbalken (avsnitt		7.5.5),	7 § lagen om
	receptregister (avsnitt 7.7.4) samt 6 § lagen om register över nationella
	vaccinationsprogram (avsnitt 7.10.2).
	Det kan noteras att i vissa författningar finns bestämmelser som före-
	skriver att behandlingen endast får utföras för vissa angivna ändamål och
	att finalitetsprincipen därmed inte gäller.
	Personuppgifter i nationella och regionala kvalitetsregister får enligt
	7 kap. 6 § patientdatalagen inte behandlas för några andra ändamål än de
	som anges i 7 kap. 4 och 5 §§. Det innebär att det inte är tillåtet att be-
	handla personuppgifter i nationella och regionala kvalitetsregister för
	andra ändamål även om dessa inte är oförenliga med det ändamål för
	vilket uppgifterna har samlats in. Finalitetsprincipen gäller därmed inte
	vid behandling av personuppgifter i nationella eller regionala kvalitets-
	register. Däremot kan personuppgifter behandlas för andra ändamål än de
	som räknas upp i dessa bestämmelser med stöd av patientens samtycke.
	Detta följer av den allmänna bestämmelsen i 2 kap. 3 § patientdatalagen.
	I 3 § lagen om läkemedelsförteckning anges att läkemedelsförteck-
	ningens dokumentation av köp av förskrivna läkemedel endast får använ-
	das för vissa angivna ändamål. Av bl.a. 5 kap. 5 § lagen om biobanker
	inom hälso- och sjukvården m.m. följer att PKU-registret endast får an-
	vändas för vissa angivna ändamål. Av 16 § lagen om blodsäkerhet följer
	att registret med uppgifter om blodverksamheten, blodgivare, blod-
	mottagare och gjorda kontroller av blod och blodkomponenter endast får
	ha till ändamål att göra det möjligt att spåra blod och blodkomponenter
	och att förhindra att smittat blod och blodkomponenter överförs till
	människor. Register som förs enligt		21 § lagen om		kvalitets- och
	säkerhetsnormer vid hantering av mänskliga vävnader och celler får ha
	till ändamål att endast säkerställa spårbarhet av mänskliga vävnader och
	celler för att förhindra överföring av sjukdomar. I dessa fall gäller inte
	finalitetsprincipen.
	I andra lagar där det saknas bestämmelser om finalitetsprincipen får
	den personuppgiftsansvarige bedöma utifrån lagarnas ändamålsbestäm-
	melsers utformning eller andra bestämmelser, som reglerar t.ex. utläm-
	nande eller åtkomst till personuppgifter, huruvida en senare behandling
90	är förenlig eller oförenlig med de ändamål uppgifterna samlades in för.

Vid den personuppgiftsansvariges bedömning behöver bestämmelserna i Prop. 2017/18:171 artikel 5.1 b och artikel 6.4 a–e i dataskyddsförordningen särskilt be-

aktas. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen bör inte anses vara oförenlig med de ursprungliga ändamålen.

6.6Känsliga personuppgifter

6.6.1Förbud mot att behandla känsliga personuppgifter och möjligheterna till undantag

Regeringens bedömning: Det är möjligt att bara delvis tillåta be- handling av känsliga personuppgifter som omfattas av något av undan- tagen i artikel 9.2 i EU:s dataskyddsförordning som kräver stöd i nationell rätt.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: Av artikel 9.1 i dataskydds- förordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter.

I propositionen Ny dataskyddslag anför regeringen i fråga om be- greppet känsliga personuppgifter att begreppet är väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i för- fattningstext. Regeringen anser därför att benämningen känsliga person- uppgifter bör användas i dataskyddslagen som en samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen (prop. 2017/18:105 s. 75).

Motsvarande förbud att behandla känsliga personuppgifter finns i artikel 8.1 i dataskyddsdirektivet. Dataskyddsdirektivets förbud har kommit till uttryck i 13 § personuppgiftslagen, som innehåller en upp- räkning av samma kategorier som i dataskyddsdirektivet. Artikel 9.1 i dataskyddsförordningen innehåller dock något fler kategorier av person- uppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har till- kommit. Som anges i avsnitt 6.6.6 innebär införandet av begreppet sexuell läggning dock inte någon egentlig utvidgning från svenskt perspektiv eftersom detta i svensk rätt har ansetts ingå i ”sexualliv”.

Huvudregeln är enligt artikel 9.1 i dataskyddsförordningen att behand- ling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras

Prop. 2017/18:171	med ett antal undantag i artikel 9.2, som anger när behandling av
	känsliga personuppgifter trots allt kan tillåtas.
	Känsliga personuppgifter kan behandlas med stöd av samtycke (a) och
	för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten
	och på områdena social trygghet och socialt skydd i den omfattning detta
	är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal (b). Det är
	också tillåtet att behandla känsliga personuppgifter om behandlingen är
	nödvändig för att skydda en fysisk persons grundläggande intressen när
	den registrerade är förhindrad att ge sitt samtycke (c). Ideella verksam-
	heter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla
	känsliga personuppgifter om sina medlemmar och vissa andra personer
	(d).
	Vidare får känsliga personuppgifter behandlas om behandlingen rör
	uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade
	(e). Ytterligare ett undantag avser behandling som är nödvändig för att
	fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av
	domstolarnas dömande verksamhet (f). Behandling av känsliga person-
	uppgifter får ske av hänsyn till ett, på grundval av EU-rätten eller
	nationell rätt, viktigt allmänt intresse (g).
	Behandling av känsliga personuppgifter får också ske i anslutning till
	hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av
	EU-rätten eller medlemsstaternas nationella rätt under förutsättning att
	uppgifterna behandlas av eller under ansvar av bl.a. en yrkesutövare som
	omfattas av tystnadsplikt (h och artikel 9.3).
	Även ett allmänt intresse på folkhälsoområdet, på grundval av EU-
	rätten eller nationell rätt, ger rätt att behandla känsliga personuppgifter
	(i). Slutligen får känsliga personuppgifter behandlas för arkivändamål av
	allmänt intresse, vetenskapliga eller historiska forskningsändamål eller
	statistiska ändamål (j).
	Medlemsstaterna får behålla eller införa ytterligare villkor, även
	begränsningar, för behandlingen av genetiska eller biometriska uppgifter
	eller uppgifter om hälsa (artikel 9.4). En fråga är om möjligheterna att i
	nationell rätt göra undantag från förbudet att behandla känsliga person-
	uppgifter måste utnyttjas fullt ut i den nationella rätten för att kunna
	användas. I artikel 9.4 anges att medlemsstaterna får behålla eller införa
	ytterligare villkor, även begränsningar, men endast för behandling av
	vissa kategorier av känsliga personuppgifter, nämligen genetiska eller
	biometriska uppgifter eller uppgifter om hälsa. Detta skulle kunna tyda
	på att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier
	av känsliga personuppgifter. En sådan tolkning synes dock enligt Social-
	dataskyddsutredningen inte vara rimlig. Dataskyddsförordningens
	huvudregel om förbud mot behandling av känsliga personuppgifter har
	tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Att
	det då endast ska vara möjligt att ha en nationell reglering som antingen
	helt förbjuder behandling av sådana uppgifter eller tillåter all behandling
	som kan tillåtas enligt någon av de möjligheter till nationellt grundade
	undantag som finns i artikel 9.2 a–j synes inte förenligt med intresset av
	att skydda den personliga integriteten. När det gäller behandling som
	sker med stöd av någon av de rättsliga grunderna fullgörande av rättslig
	förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller
92	som ett led i myndighetsutövning framgår det dessutom av artikel 6.2

och 6.3 att medlemsstaterna får ha särskilda bestämmelser om bl.a. Prop. 2017/18:171 vilken typ av uppgifter som ska behandlas. Socialdataskyddsutredningen

anser att det därför är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Regeringen instämmer i Socialdataskydds- utredningens bedömning. Det är möjligt att behålla sökbegränsningar och andra skyddsåtgärder som avser känsliga personuppgifter och att tillåta behandling av bara vissa kategorier av känsliga personuppgifter.

6.6.2Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd

I artikel 9.2 b i dataskyddsförordningen anges att känsliga personupp- gifter får behandlas om behandlingen är nödvändig för att den person- uppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldig- heter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grund- läggande rättigheter och intressen fastställs.

Områdena social trygghet respektive socialt skydd är nya i förhållande till artikel 8.2 b i dataskyddsdirektivet, och det framgår inte av artikeln eller av skälen i dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området.

Dataskyddsutredningen gör bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivar- eller arbetstagarorganisationer ska kunna erbjuda eller förmedla pen- sioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäk- ringar. Denna bedömning görs mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd förekommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten (SOU 2017:39 s. 169 f.). Socialdataskyddsutredningen har inte anledning att göra en annan bedömning än den Dataskyddsutredningen gör.

I propositionen Ny dataskyddslag föreslår regeringen i 3 kap. 2 § att känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den person- uppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldig- heter och utöva sina särskilda rättigheter inom arbetsrätten och inom om- rådena social trygghet och socialt skydd. Personuppgifter som behandlas får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryck- ligen har samtyckt till utlämnandet (prop. 2017/18:105 s. 77 f.).

Prop. 2017/18:171 6.6.3

Undantag för viktiga allmänna intressen

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i EU:s data- skyddsförordning och kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att förutsätta att proportionalitetsbedömningar har gjorts. Det är inte heller förenligt med dataskyddsförordningen att förutsätta att be- handlingen är nödvändig av hänsyn till ett allmänt intresse och att kraven i artikel 9 för undantag till förbudet att behandla känsliga personuppgifter är uppfyllda. Vissa av undantagen, exempelvis en behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g, kräver stöd i unionsrätten eller medlemsstaternas nationella rätt. Unionsrätten eller medlemsstaternas nationella rätt ska då stå i proportion till det efter- strävade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åt- gärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I det fortsatta lagstiftningsarbetet måste de analyser som krävs enligt artikel 9 göras, och det måste säkerställas att den nationella regleringen som föreslås innehåller bestämmelser om lämpliga och sär- skilda åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen.

Socialstyrelsen anser att det är önskvärt med förtydliganden vad gäller olika registerförfattningarnas förenlighet med kraven på proportionalitet i artikel 6.3 andra stycket sista meningen och kraven i skäl 41 i data- skyddsförordningen. En behandling av känsliga personuppgifter måste ha en rättslig grund i artikel 6 i dataskyddsförordningen. Om medlemsstater reglerar detta i nationell rätt med stöd av artikel 6.1 c eller e måste en sådan reglering uppfylla kraven i artikel 6.2 och 6.3 i dataskyddsförord- ningen. Av särskild vikt är då kravet på proportionalitet men även skäl 41 måste beaktas.

Läkemedelsindustriföreningen (LIF) anser att även om EU-rätten vilar på ett grundläggande krav på proportionalitet är det olyckligt att utred- ningen inte presenterar någon närmare bedömning av om de bestämmel- ser i särskilda registerförfattningar som tillåter behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen faktiskt står i proportion till det eftersträvade syftet. Om detta antagande skulle visa sig vara felaktigt, kan det få stor inverkan för LIF:s medlemsföretag och andra aktörer som behandlar känsliga personuppgifter med stöd av undantaget i artikel 9.2 g avseende viktiga allmänna intressen.

Swedish Medtech anser att det inte är tillräckligt klargjort att behand- lingen av känsliga personuppgifter med stöd av artikel 8.4 i dataskydds- direktivet är förenlig med artikel 9.2 g i dataskyddsförordningen. Det är

vidare mycket svårt att förutse vad ett sådant antagande kan komma att Prop. 2017/18:171 innebära för Swedish Medtechs medlemsföretag.

Skälen för regeringens bedömning

I artikel 9.2 g i dataskyddsförordningen anges att känsliga personupp- gifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlems- staternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Motsvarande bestämmelse finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att medlemsstaterna får besluta om undantag från förbudet att behandla känsliga personuppgifter under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse.

En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsför- ordningen kan ske i registerförfattningar, vilket ger möjlighet att göra lämpliga avvägningar på varje område.

I propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 10.4) bedömer regeringen att det behövs en generell reglering avseende myndigheters behandling vad gäller viktigt allmänt intresse.

I förslaget till 3 kap. 3 § dataskyddslag får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskydds- förordning

1.om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,

2.om behandlingen är nödvändig för handläggningen av ett ärende,

eller

3.i enstaka fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid tillämpningen ska andra än myndigheter jämställas med myndig- heter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen

(2009:400) gäller i deras verksamhet.

I syfte att begränsa de integritetsrisker som den generella bestäm- melsen kommer att medföra föreslås, som en ytterligare skyddsåtgärd, i 3 kap. 3 § dataskyddslagen också ett förbud att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Viktigt allmänt intresse och proportionerlig i förhållande till syftet

Det finns inget som tyder på att begreppet (viktigt) allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt data- skyddsdirektivet. Detta innebär att när behandling av känsliga person- uppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i data- skyddsdirektivet har det redan bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskydds- direktivet.

Prop. 2017/18:171

Socialdataskyddsutredningen anser att det utan vidare prövning bör anses att den i registerförfattningen reglerade behandlingen kan stödjas på artikel 6.1 e i dataskyddsförordningen och, under förutsättning av pro- portionalitet och bestämmelser om skyddsåtgärder i enlighet med artikel 9.2 g, innefatta känsliga personuppgifter i samma utsträckning som i dag.

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsför- ordningen stå i proportion till det eftersträvade syftet. Något uttryckligt krav på proportionalitet finns inte i dataskyddsdirektivet. Det framgår dock inte av dataskyddsförordningen hur proportionalitetsbedömningen ska gå till.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att förutsätta att proportionalitetsbedömningar har gjorts.

Regeringen anser att behandling av känsliga personuppgifter som tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskydds- direktivet (dvs. under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse) alltjämt utgör ett tillåtet undantag från förbudet att behandla känsliga personuppgifter. Mot bakgrund av att de ovan återgivna bedömningarna om legalitetsprincipen och Europa- konventionen även bör tillmätas betydelse i samband med bedömning om undantaget i artikel 9.2 g vad gäller viktigt allmänt intresse och pro- portionalitetsbedömning, anser regeringen att det får förutsättas att för- fattningar som tillåter behandling av känsliga personuppgifter uppfyller dataskyddsförordningens krav.

Förenlig med det väsentliga innehållet i rätten till dataskydd

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskydds- förordningen vara förenlig med det väsentliga innehållet i rätten till dataskydd. Något uttryckligt motsvarande krav finns inte i dataskydds- direktivet. Det framgår inte av dataskyddsförordningen vad kravet inne- bär.

Utgångspunkten vid införandet av registerförfattningar har generellt varit att i författningarna bara göra de undantag i förhållande till den generella dataskyddsregleringen i personuppgiftslagen, och därmed ock- så dataskyddsdirektivet, som ansetts nödvändiga på det aktuella området. Vid införandet av registerförfattningar har också åtagandena enligt Europarådets dataskyddskonvention behövt iakttas. Det är därför Social- dataskyddsutredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i data- skyddsdirektivet utan vidare prövning uppfyller det nya uttryckliga kravet på att vara förenliga med det väsentliga innehållet i rätten till data- skydd. Regeringen instämmer i Socialdataskyddsutredningens bedöm- ning.

Lämpliga skyddsåtgärder

Ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen förut- sätter en reglering i nationell rätt. Regleringen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av ut-

formningen av sådana åtgärder, som säkerställer den registrerades grund- Prop. 2017/18:171 läggande rättigheter och intressen, finns inte i dataskyddsförordningen.

Regeringen bedömer att det kan vara fråga om olika former av skydds- åtgärder, jfr artikel 8.4 i dataskyddsdirektivet i vilket det krävs ”lämpliga skyddsåtgärder” för att göra undantag från förbudet att behandla känsliga personuppgifter.

En nyhet i dataskyddsförordningen är dock att det krävs att det finns bestämmelser om sådana åtgärder i medlemsstatens nationella rätt. Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet innehåller regelmässigt olika uttryckliga bestämmelser om det som bedömts vara lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Det kan vara fråga om be- stämmelser om sökbegränsningar, restriktioner för elektronisk åtkomst, behörighetstilldelning och loggkontroll, restriktioner för vad som får vara mer allmänt tillgängligt i den aktuella organisationen osv.

Mot den bakgrunden instämmer regeringen i Socialdataskyddsutred- ningens bedömning att det får anses vara så att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet även uppfyller kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Bestämmelser som tillåter behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse finns också i författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anslut- ning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. När det gäller sådana författningar är det inte lika självklart att det regelmässigt finns uttryckliga bestämmelser om skyddsåtgärder. En bedömning av om sådana bestämmelser finns måste göras i dessa fall.

6.6.4Undantag för hälso- och sjukvård samt social omsorg

Regeringens förslag: Registerförfattningar kompletteras med en be- stämmelse som påminner om att behandling av personuppgifter som anges i artikel 9.1 i EU:s dataskyddsförordning (känsliga personupp- gifter) får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjuk- vård samt inom social omsorg är förenliga med EU:s dataskydds- förordning kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Prop. 2017/18:171	Datainspektionen anser att det skyndsamt bör utredas huruvida den be-
	handling av personuppgifter som sker i dag inom hälso- och sjukvård och
	social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskyddsförord-
	ningen, eller om det behöver införas en lagstadgad tystnadsplikt för de
	personuppgiftsbiträden som i dag inte omfattas av en sådan.
	Stockholms läns landsting delar Datainspektionens uppfattning och
	anser att det är av största vikt att frågan skyndsamt utreds och eventuella
	lagstiftningsåtgärder snarast vidtas.
	Sveriges Kommuner och Landsting och Inera AB förordar att det i
	patientdatalagen införs en lagstadgad tystnadsplikt för juridiska och
	fysiska personer som behandlar personuppgifter för vårdgivares räkning.
	Ett alternativ är att införa en lagstadgad tystnadsplikt för aktörer som till-
	handahåller e-tjänster inom hela den offentliga sektorn och som inne-
	fattar känsliga personuppgifter.
	Helsingborgs kommun har uppfattat att utredningen föreslår att en be-
	stämmelse om tystnadsplikt för den som behandlar känsliga personupp-
	gifter förs in i lagen om behandling av personuppgifter inom social-
	tjänsten. Enligt dataskyddsförordningen får känsliga personuppgifter
	endast behandlas av eller under ansvar av en tjänsteperson som omfattas
	av tystnadsplikt. Det finns ingen konsekvensbeskrivning i utredningen av
	vad formuleringen under ansvar av innebär. Det behövs ett förtydligande
	för att klargöra ansvarsförhållandet mellan myndighet och under-
	leverantör när en sådan behandlar känsliga personuppgifter för myndig-
	hetens räkning.
	Örebro läns landsting befarar att underbiträden och leverantörer inom
	e-hälsa inte lagligen kommer att få behandla personuppgifter utan att en
	lagstadgad tystnadsplikt gäller för deras behandling. Det behöver därför
	skyndsamt utredas om formuleringen i artikel 9.3 i dataskyddsförord-
	ningen innebär att det är tillräckligt att den personuppgiftsansvarige om-
	fattas av en lagreglerad tystnadsplikt eller om kravet även gäller person-
	uppgiftsbiträden som utför personuppgiftsbehandling för den personupp-
	giftsansvariges räkning. Om en sådan analys skulle visa att kravet även
	gäller sådana personuppgiftsbiträden, måste det införas en lagstadgad
	tystnadsplikt för dessa biträden i berörda registerförfattningar eller på
	annat lämpligt sätt. Exempelvis skulle det då kunna införas en lagstadgad
	tystnadsplikt för juridiska och fysiska personer som behandlar person-
	uppgifter för vårdgivarens räkning i patientdatalagen. Det förekommer
	att privata bolag anlitas för exempelvis drift och underhåll av nationella
	e-tjänster. Dessutom är det många privata aktörer som levererar it-
	tjänster direkt åt vårdgivarna. På så vis kan dessa privata bolag och
	aktörer komma att behandla stora mängder av personuppgifter i egenskap
	av personuppgiftsbiträde.
	Uppsala läns landsting anser att det är oklart om det är möjligt att
	överlåta hanteringen av känsliga personuppgifter till personuppgifts-
	biträden som inte omfattas av den straffrättsgrundande tystnadsplikten i
	offentlighets- och sekretesslagen. Det är oklart om texten ”under ansvar”
	innebär att det är tillräckligt att den personuppgiftsansvarige omfattas av
	tystnadsplikten i offentlighets- och sekretesslagen och att personuppgifts-
	biträden har en avtalsreglerad tystnadsplikt. En annan tolkning är att det
	också krävs att personuppgiftsbiträden omfattas av en reglerad tystnads-
98	plikt. Det senare skulle få stora konsekvenser för landstinget eftersom

uppdrag i stor omfattning utförs av privata företag. Om den senare Prop. 2017/18:171 tolkningen gäller krävs det att en lagreglerad tystnadsplikt införs även för

privata verksamma personuppgiftsbiträden.

Swedish Medtech ser en problematik i att bestämmelsen i artikel 9.3 blivit felaktigt implementerad. Dataskyddsdirektivet liksom dataskydds- förordningen kräver att den som behandlar känsliga personuppgifter omfattas av lagstadgad tystnadsplikt. Det råder en oklarhet om tillverkare av medicinteknik eller dess personal har någon i lag ålagd tystnadsplikt. Om leverantörer av medicinteknik inte anses omfattas av tystnadsplikt kan detta utgöra hinder för incidentrapportering kopplat till medicin- tekniska produkter när den nya lagen träder i kraft. Det är viktigt att möjliggöra för anställda som tillhandahåller medicinsk programvara till vården, att behandla personuppgifter även om de inte är direkt verk- samma i sjukvården.

Läkemedelsindustriföreningen anger att tillverkare av medicintekniska produkter i dag förlitar sig på 18 § personuppgiftslagen för behandling av känsliga personuppgifter i samband med incidentrapportering avseende medicintekniska produkter. Då motsvarande bestämmelse i artikel 9.2 h i dataskyddsförordningen förutsätter att uppgifterna behandlas av någon som omfattas av lagstadgad tystnadsplikt, och då enskilda företag som tillverkar medicintekniska produkter inte omfattas av någon sådan tystnadsplikt, innebär det en risk för hinder för incidentrapportering kopplat till medicintekniska produkter när dataskyddsförordningen ska börja tillämpas.

Dataskydd.net anser att en del av författningsförslagen innebär onödiga upprepningar av artikel 9.3.

Skälen för regeringens förslag och bedömning

Behandling av känsliga personuppgifter får enligt artikel 9.2 h i data- skyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhanda- hållande av hälso- och sjukvård, behandling, social omsorg eller förvalt- ning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet. Motsvarande bestämmelse finns i artikel 8.3 i dataskyddsdirektivet. Där anges att känsliga person- uppgifter får behandlas när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller be- handling eller administration av hälso- eller sjukvård.

Innebörden av kravet på att behandlingen ska vara nödvändig är dock enligt regeringens bedömning densamma i artikel 9 som i artikel 6, se propositionen Ny dataskyddslag (prop. 2017/18:105 s. 75 f.).

De verksamheter som avses

Några ytterligare verksamhetstyper – förebyggande yrkesmedicin, be- dömningen av en arbetstagares arbetskapacitet, social omsorg och förvaltning av social omsorg och av deras system – har lagts till i undan- taget för hälso- och sjukvård m.m. i dataskyddsförordningen, i jämförelse

Prop. 2017/18:171 med regleringen i dataskyddsdirektivet. Detta är en utvidgning jämfört

	med dataskyddsdirektivet.
	Vad som avses med social omsorg framgår inte av dataskyddsförord-
	ningen. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 93) gör
	regeringen bedömningen att begreppet social omsorg omfattar uppgifter
	som utförs inom socialtjänsten, men att det dock i avsaknad av praxis är
	svårt att närmare avgränsa innebörden av begreppen.
	Socialdataskyddsutredningen anser att social omsorg innefattar sådan
	verksamhet som avses i 2 § lagen (2001:454) om behandling av person-
	uppgifter inom socialtjänsten. I detta sammanhang anser regeringen att
	det bör uppmärksammas att det finns skillnader mellan medlemsstaterna i
	frågan om huruvida vissa insatser t.ex. för äldre personer eller personer
	med funktionsnedsättning hör till insatser inom socialtjänsten eller till
	vård inom hälso- och sjukvården. I vissa fall kan insatserna och vården
	till sitt innehåll överlappa varandra eller i vart fall vara svåra att särskilja.
	Begreppet social omsorg kan i förhållande till hur begreppet omsorg
	använts i Sverige uppfattas som snävare än vad som torde vara avsikten
	jämfört med dataskyddsförordningen. Den närmare EU-rättsliga inne-
	börden av begreppet får dock överlämnas till praxis att utveckla.
	Begreppet vård eller behandling har ersatts med begreppet tillhanda-
	hållande av hälso- och sjukvård. Skälen i dataskyddsförordningen ger
	inte någon ledning i frågan om huruvida någon ändring i sak är avsedd.
	Begreppet tillhandahållande av hälso- och sjukvård anses innefatta det
	som avses med vård eller behandling enligt dataskyddsdirektivet.
	Begreppet administration av hälso- och sjukvård har ersatts med
	förvaltning av hälso- och sjukvårdstjänster och deras system. I skäl 53 i
	dataskyddsförordningen finns det en uppräkning av vad som ska anses
	innefattas i detta begrepp: ”[…] behandling som utförs av förvaltningen
	och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för
	syften som hör samman med kvalitetskontroll, information om förvalt-
	ningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårds-
	systemet och systemet för social omsorg och säkerställande av
	kontinuitet inom hälso- och sjukvård och social omsorg samt gräns-
	överskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör
	samman med övervakning samt varningssyften eller för arkivändamål av
	allmänt intresse, vetenskapliga eller historiska forskningsändamål eller
	statistiska ändamål som baseras på unionsrätten eller på medlems-
	staternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt
	studier som genomförs av allmänt intresse på folkhälsoområdet.”
	Mot bakgrund av den ganska omfattande uppräkningen synes i vart fall
	det som innefattades i begreppet administration av hälso- och sjukvård
	omfattas.
	Eftersom uppräkningen av verksamheter inte har inskränkts utan utvid-
	gats i förhållande till dataskyddsdirektivets reglering, är tidigare bedöm-
	ningar av vilka verksamheter det är tillåtet att göra undantag för fort-
	farande relevanta. I förarbeten till läkemedelslagstiftningen har det
	ansetts rimligt att inte ge bestämmelsen i 18 § första stycket personupp-
	giftslagen, som innehåller samma uppräkning som i dataskyddsdirektivet,
	en alltför snäv räckvidd varvid det har angetts att även aktiviteter med
	bäring på hälso- och sjukvård utanför det primära vårdområdet måste
100	kunna inbegripas (prop. 2005/06:70 s. 44).

Formuleringen i dataskyddsdirektivet om att behandlingen ska vara nödvändig med hänsyn till de i artikeln uppräknade verksamheterna har i artikel 9.2 h i dataskyddsförordningen ersatts med att behandlingen ska vara nödvändig av skäl som hör samman med dessa verksamheter.

Av skäl 53 i dataskyddsförordningen framgår att avsikten är att harmonisera villkoren för behandling av uppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen utförs för vissa hälso- relaterade syften. Den ändrade formuleringen tydliggör att behandlingen måste ske för ändamål som hör samman med någon av dessa verksam- heter.

Stöd i lagstiftningen

Regeringen framför i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 75) bl.a. att det, som Dataskyddsutredningen också på- pekar, inte är helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten har eller vilken betydelse det har att de utformats på olika sätt. Enligt regeringens mening är det dock upp- enbart att det vid behandling av känsliga personuppgifter i de situationer som beskrivs i nämnda bestämmelser krävs ett annat stöd i rättsord- ningen, utöver det som dataskyddsförordningen ger. De särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste nämligen vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgifts- ansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller för behandling av andra personuppgifter i samma situa- tion. Detta innebär dock inte att undantagen i sig måste genomföras i svensk rätt för att vara tillämpliga.

Den aktuella verksamheten ska utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverk- samma på hälsoområdet. Denna förutsättning är enligt regeringens be- dömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 94) uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslag- stiftningen på de aktuella områdena, t.ex. hälso- och sjukvårdslagen, socialtjänstlagen och andra relevanta författningar. Det är i dessa författ- ningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter utan den registrerades samtycke.

Tystnadsplikt krävs

En ytterligare förutsättning för att behandling av känsliga personupp- gifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt.

Datainspektionen anser att det skyndsamt bör utredas huruvida den behandling av personuppgifter som sker i dag inom hälso-och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskydds-

Prop. 2017/18:171

101

Prop. 2017/18:171 förordningen, eller om det behöver införas en lagstadgad tystnadsplikt

	för de personuppgiftsbiträden som i dag inte omfattas av en sådan.
	I en hemställan ifrågasätter Datainspektionen det rimliga i att avvakta
	avgöranden från Europeiska unionens domstol för att få en uttolkning av
	artikel 9.3. Att det finns en i nationell rätt reglerad tystnadsplikt som
	uppfyller kravet i artikel 9.3 måste vara en fråga för lagstiftaren.
	Formuleringen i artikel 9.3 att uppgifterna ska behandlas av eller under
	ansvar av en yrkesutövare som omfattas av tystnadsplikt skulle kunna
	tolkas så att det är tillräckligt att den personuppgiftsansvarige omfattas
	av en lagreglerad tystnadsplikt. Gränsen för personuppgiftsansvaret och
	ansvaret för sekretess skiljer sig emellertid åt, vilket bl.a. framgår av JO:s
	beslut från den 9 september 2014, dnr 3032–2011. JO konstaterar i
	beslutet att utlämnande av journaluppgifter till ett personuppgiftsbiträde
	eller personal hos biträdet ska prövas på vanligt sätt enligt offentlighets-
	och sekretesslagen (2009:400), förkortad OSL. JO:s bedömning i ärendet
	var att vårdgivaren i det fallet inte hade rättsligt stöd för att lämna ut
	sekretessbelagda uppgifter om patienter då mottagaren endast omfattades
	av en avtalsreglerad tystnadsplikt. Efter JO:s beslut uppstod en debatt om
	myndigheters möjlighet att anlita personuppgiftsbiträde om det innebär
	att sekretessbelagda uppgifter lämnas ut. Frågan har utretts av Pensions-
	myndigheten i regeringsuppdraget Molntjänster i staten En ny generation
	av outsourcing, avsnitt 11.5 och bilaga 1 Juridisk analys av myndigheters
	informationshantering i molnet. Pensionsmyndigheten konstaterar i
	rapporten, på samma sätt som JO, att offentlighets- och sekretesslagens
	bestämmelser kan hindra myndigheter från att lämna ut vissa typer av
	sekretessbelagda uppgifter till privata it-leverantörer eftersom det saknas
	straffrättsligt sanktionerade tystnadsplikter för anställda hos sådana
	aktörer. Det handlar t.ex. om uppgifter av särskilt integritetskänsligt slag
	som rör enskilda och som inte bedöms kunna lämnas ut ens om
	leverantören och dess anställda ingår en avtalsrättslig tystnadspliktsför-
	bindelse. Bland Pensionsmyndighetens förslag till regeringen finns
	förslaget att regeringen låter utreda närmare om det är lämpligt och
	ändamålsenligt att införa en lagreglerad och straffsanktionerad tystnads-
	plikt för privata leverantörer av it-tjänster (dnr Ju2017/06035/L6).
	Inera AB framför bl.a. följande. Inera hanterar känsliga personupp-
	gifter, patientuppgifter, i stor omfattning som personuppgiftsbiträde. En
	fråga är om Inera också får behandla personuppgifter på samma grunder
	som yrkesutövare inom hälso- och sjukvården. Inera är ingen vårdgivare.
	Inera är ett kommunalt bolag som ägs av SKL Företag AB samt landets
	landsting. Inom en snar framtid även av Sveriges alla kommuner.
	Landsting och kommuner kommer att ha ett rättsligt bestämmande in-
	flytande över Ineras verksamhet, varför Inera ska betraktas som myndig-
	het i OSL:s mening (jfr 2 kap. 3 § OSL). Det innebär att Inera åberopar
	det led i artikel 9.3 som berör tystnadsplikt för annan person som be-
	handlar känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål. I
	första hand kan sekretess råda i Ineras verksamhet enligt 40 kap. 5 OSL,
	men också 21 kap. 1 § OSL kan bli tillämplig. Emellertid förhåller det
	sig så att Inera anlitar ett flertal privata bolag för drift och underhåll av
	de nationella e-tjänster som bolaget förvaltar. Inom vårdområdet är det
	vidare många privata aktörer som levererar it-tjänster direkt åt vårdgivare
102	och på så sätt behandlar stora mängder personuppgifter i egenskap av

personuppgiftsbiträde. Med anledning av kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen för att få behandla personuppgifter inom vårdområdet, hyser Inera allvarliga farhågor att bolagets under- biträden samt leverantörer inom eHälsa inte får lagligen behandla person- uppgifterna utan att en lagstadgad tystnadsplikt gäller för deras behand- ling. Inera förordar att det i patientdatalagen införs en lagstadgad tyst- nadsplikt för juridiska och fysiska personer som behandlar personupp- gifter för vårdgivares räkning. Ett alternativ är att införa en lagstadgad tystnadsplikt för aktörer som tillhandahåller sådana e-tjänster inom hela den offentliga sektorn som innefattar känsliga personuppgifter.

Kravet på reglerad tystnadsplikt enligt artikel 9.3 omfattar inte personuppgiftsbiträden

Regeringen anser att tolkningen av artikel 9 i dataskyddsförordningen primärt måste göras utifrån dess ordalydelse. Av artikel 9.2 h följer att det är fråga om behandling som är nödvändig av skäl som hör samman med vissa verksamheter inom hälso- och sjukvård och social omsorg. Verksamheten ska vila på grundval av unionsrätten eller medlems- staternas nationella rätt eller enligt avtal med yrkesverksamma på hälso- området. Vidare finns krav på att villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda.

I artikel 9.3 i dataskyddsförordningen stadgas att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

I skäl 53 i dataskyddsförordningen anges bl.a. följande: ”Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort… …Denna förordning bör därför innehålla harmoniserade villkor för be- handling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade yrkesmässig tystnadsplikt.”

I engelska språkversionen av skäl 53 anges bl.a. följande: “Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole… …Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy…”.

I den engelska språkversionen lyder artikel 9.2 h: “processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical

Prop. 2017/18:171

103

Prop. 2017/18:171 diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of

	Union or Member State law or pursuant to contract with a health
	professional and subject to the conditions and safeguards referred to in
	paragraph 3”.
	I den engelska språkversionen lyder artikel 9.3: “Personal data referred
	to in paragraph 1 may be processed for the purposes referred to in point
	(h) of paragraph 2 when those data are processed by or under the
	responsibility of a professional subject to the obligation of professional
	secrecy under Union or Member State law or rules established by
	national competent bodies or by another person also subject to an
	obligation of secrecy under Union or Member State law or rules
	established by national competent bodies.”.
	Regeringen anser att det bör uppmärksammas att artikel 9.3 hänvisar
	till behandlingen för de ändamål som anges i 9.2 h. Dataskyddsförord-
	ningen förklarar inte vad som avses med en yrkesutövare eller en annan
	person i den svenska språkversionen eller med ”professional subject”
	eller ”another person” som det uttrycks i den engelska språkversionen.
	Ledning för tolkningen av begreppet bör göras utifrån dess språkliga
	innebörd och dess kontext.
	I den svenska språkversionen lyder artikel 8.3 i dataskyddsdirektivet:
	”Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med
	hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser,
	vård eller behandling eller administration av hälso- eller sjukvård eller
	när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på
	hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller
	bestämmelser som antagits av behöriga nationella organ är underkastad
	tystnadsplikt eller av en annan person som är ålagd en liknande
	tystnadsplikt”.
	I den engelska språkversionen lyder artikel 8.3: “Paragraph 1 shall not
	apply where processing of the data is required for the purposes of
	preventive medicine, medical diagnosis, the provision of care or
	treatment or the management of health-care services, and where those
	data are processed by a health professional subject under national law or
	rules established by national competent bodies to the obligation of
	professional secrecy or by another person also subject to an equivalent
	obligation of secrecy”.
	Socialdataskyddsutredningen har bedömt följande vad gäller att tyst-
	nadsplikt krävs. Syftet med artikel 9.3 i dataskyddsförordningen får antas
	vara att de personer i bl.a. hälso- och sjukvårdsverksamhet som – dvs.
	behandlar – känsliga personuppgifter ska ha tystnadsplikt enligt t.ex.
	nationell rätt, eller i vart fall arbeta under någon som har sådan tystnads-
	plikt. Den fysiska personen behöver inte själv vara personuppgifts-
	ansvarig. Däremot måste den personuppgiftsansvarige se till att en per-
	son som omfattas av tystnadsplikt är den som antingen själv behandlar
	uppgifterna eller åtminstone ansvarar för behandlingen (SOU 2017:66
	s. 247).
	Regeringen instämmer huvudsakligen med Socialdataskyddsutred-
	ningens bedömning. Det är den personuppgiftsansvarige som ansvarar
	för att behandling sker i enlighet med dataskyddsförordningen, exempel-
104	vis att behandling av känsliga personuppgifter för de ändamål som avses

i artikel 9.2 h bara sker av eller under ansvar av en yrkesutövare som omfattas av sådan tystnadsplikt som avses i artikel 9.3. Detta gäller oavsett om behandlingen sker hos den personuppgiftsansvarige själv eller hos ett personuppgiftsbiträde.

Regeringen bedömer emellertid att kravet i artikel 9.3 om att tystnads- plikten ska vara reglerad i unionsrätten eller nationell rätt inte omfattar personuppgiftsbiträden, så länge den personuppgiftsansvarige omfattas av en sådan reglerad tystnadsplikt. Ett personuppgiftsbiträde behandlar endast personuppgifter för den personuppgiftsansvariges räkning och under dennes ansvar. Vid sådan behandling gäller i och för sig de krav som uppställs i artikel 28 och 29 i dataskyddsförordningen. Enligt artikel 28.3 b följer exempelvis att personuppgiftsbiträdets hantering av person- uppgifter ska regleras i ett avtal som särskilt ska föreskriva att person- uppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt (jfr engelska språkversionens lydelse av artikel 28.3 b ”statutory obligation of confidentiality”). Om avsikten var att kravet på reglerad yrkesmässig tystnadsplikt enligt artikel 9.3 också skulle gälla generellt för personuppgiftsbiträden torde detta vara en nyhet i dataskyddsförordningen som i så fall borde ha reglerats tydligare (jfr skäl 53). Om ett personuppgiftsbiträde överträder regle- ringen i dataskyddsförordningen genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet dock anses vara personuppgiftsansvarig med avseende på den behandlingen (artikel 28.10). Ett personuppgiftsbiträde kan vidare i egenskap av rollen som biträde under vissa förutsättningar bli ersättningsskyldig vid behandling i strid med förordningen enligt artikel 82.

I likhet med såväl Socialdataskyddsutredningen som Dataskyddsutred- ningen kan regeringen konstatera att bestämmelser om tystnadsplikt för personer verksamma inom hälso- och sjukvården redan finns i t.ex. 25 kap. OSL och patientsäkerhetslagen. För författningsreglerad social omsorg gäller sekretess enligt 26 kap. OSL och tystnadsplikt enligt 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade. Det finns således redan tystnads- plikt enligt författning.

Sammanfattande bedömning i fråga om tystnadsplikt för personuppgiftsbiträden

Regeringen bedömer att kravet på en reglerad yrkesmässig tystnadsplikt i artikel 9.3 i dataskyddsförordningen inte omfattar personuppgifts- biträden. Av dataskyddsförordningen följer dock att personuppgifts- biträdets hantering av personuppgifter ska regleras i ett avtal som särskilt ska föreskriva att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig (lagstadgad) tystnadsplikt.

Datainspektionen har i sin hemställan dels uppmärksammat att det i nationell lagstiftning finns skillnader i gränsen för personuppgiftsansvar och ansvaret för tystnadsplikt, dels att det finns en inhemsk debatt om myndigheters möjligheter att anlita personuppgiftsbiträde i fall där det är fråga om att lämna ut sekretessbelagda uppgifter. Dessa förhållanden be-

Prop. 2017/18:171

105

Prop. 2017/18:171

106

dömer regeringen inte är föranledda av dataskyddsförordningen. Huru- vida det skulle finnas behov av att ändra i lagstiftning till följd av det ställningstagande som JO gjort i ovannämnda beslut bedöms inte primärt vara en fråga som rör dataskyddsförordningen. Detta kräver analyser utifrån dataskyddsreglering men även utifrån grundlagen, t.ex. 2 kap. 6 och 20 §§ regeringsformen, förkortad RF, samt regleringar av sekretess och tystnadsplikt. Detsamma gäller Inera AB:s synpunkter att det i patientdatalagen bör införs en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivares räkning.

Regeringen anser att frågan om en lagstadgad tystnadsplikt för person- uppgiftsbiträden (såväl fysiska som juridiska personer) inom hälso- och sjukvård och social omsorg i detta lagstiftningsärende inte föranleder någon ytterligare åtgärd.

Behov av tystnadsplikt för tillverkare av medicintekniska produkter

Swedish Medtech har framfört att det är oklart om tillverkare av medicin- tekniska produkter omfattas av lagstadgad tystnadsplikt, och Läke- medelsindustriföreningen har framfört att tillverkare av medicintekniska produkter inte omfattas av sådan tystnadsplikt. Båda föreningarna har framfört att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen innebär en risk för hinder för incidentrapportering kopplat till medicin- tekniska produkter när dataskyddsförordningen ska börja tillämpas.

Det kan konstateras att den anmälningsplikt från hälso- och sjukvården till tillverkare av medicintekniska produkter avseende negativa händelser som finns i 6 kap. 2 och 3 §§ Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjuk- vården inte bryter den sekretess och tystnadsplikt som gäller i hälso- och sjukvården. Det kan ifrågasättas om hälso- och sjukvården ska lämna känsliga personuppgifter i de aktuella incidentrapporterna. Om det skulle finnas behov av att ändra i lagstiftning på detta område, är det inte primärt en fråga som rör anpassning av svenska regler till dataskydds- förordningen. Detta kräver analyser utifrån dataskyddsreglering men även utifrån grundlagen, t.ex. 2 kap. 6 och 20§§ RF samt regleringar av sekretess och tystnadsplikt. Swedish Medtechs och Läkemedelsindustri- föreningens synpunkter om tystnadsplikt för tillverkare av medicin- tekniska produkter föranleder därför inte någon ytterligare åtgärd i detta lagstiftningsärende.

Upplysningsbestämmelser som påminner om kravet på tystnadsplikt bör lämpligen införas i registerförfattningar

Regeringen instämmer i den bedömning Socialdataskyddsutredningen gör att den nationella regleringen blir tydligare om kravet på tystnads- plikt framgår också av berörda registerförfattningar. Bestämmelser som påminner om det kravet bör därför tas in i registerförfattningar för hälso- och sjukvårdsområdet och socialtjänsten som tillåter behandling av kän- sliga personuppgifter med stöd av undantaget i artikel 9.2 h i dataskydds- förordningen.

Regeringens förslag till sådana bestämmelser finns i 2 kap. 7 a § patientdatalagen (avsnitt 7.1.6), 7 kap. 8 § patientdatalagen (avsnitt 7.1.8), 9 a § apoteksdatalagen (avsnitt 7.2.4), 9 a § lagen om behandling

av personuppgifter i ärenden om licens för läkemedel (avsnitt 7.3.3), 7 § Prop. 2017/18:171 lagen om behandling av personuppgifter inom socialtjänsten (avsnitt

7.4.3), 8 a § lagen om receptregister (avsnitt 7.7.2) och 4 a § lagen om läkemedelsförteckning (avsnitt 7.8.2).

Det bör av lagförslagen framgå tydligare än vad Socialdataskydds- utredningen föreslår att kravet på tystnadsplikt enligt artikel 9.3 i data- skyddsförordningen avser de situationer där känsliga personuppgifter får behandlas för de ändamål som avses i artikel 9.2 h i dataskyddsförord- ningen. Det bör uppmärksammas att stöd för att behandla känsliga personuppgifter även kan finnas i andra grunder i artikel 9.2 och i så fall gäller inte kravet på tystnadsplikt enligt artikel 9.3. Regeringen föreslår därför en annan utformning än Socialdataskyddsutredningen som är mer lik den som finns i förslaget till 3 kap. 5 § andra stycket dataskyddslagen.

Hänvisningen till artikel 9.3 i dataskyddsförordningen bör vara dyna- misk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom det rör sig om en ren upplysning om att en annan, direkt tillämplig, bestämmelse gäller.

6.6.5Undantag för folkhälsoområdet

Regeringens bedömning: Ytterligare bestämmelser i registerförfatt- ningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i i EU:s dataskyddsförordning bedöms i nuläget inte krävas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt
väsentligt med regeringens.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens bedömning.
Folkhälsomyndigheten avstyrkte Dataskyddsutredningens förslag om
att inte införa ett folkhälsoundantag i den föreslagna nya dataskydds-
lagen. Folkhälsomyndigheten vidhåller fortsatt att ett folkhälsoundantag
bör införas, alternativt att det bör utredas hur undantaget kan införas i
annan lagstiftning för att möjliggöra för myndigheten att fortsätta med de
undersökningar som inte bedöms kunna inrymmas under undantagen för
statistik eller forskning.
Skälen för regeringens bedömning: Enligt artikel 9.2 i i dataskydds-
förordningen får personuppgifter behandlas om behandlingen är nöd-
vändig av skäl av allmänt intresse på folkhälsoområdet. Det ska då ske på
grundval av unionsrätten eller medlemsstaternas nationella rätt, där
lämpliga och specifika åtgärder för att skydda den registrerades rättig-
heter och friheter fastställs, särskilt tystnadsplikt.
Dataskyddsdirektivet innehåller inte någon bestämmelse som särskilt
tar sikte på folkhälsoområdet. Behandling av känsliga personuppgifter på
folkhälsoområdet sker i dag med stöd av bestämmelser som har sin grund
i artikel 8.4 (allmänt intresse) eller artikel 8.3 (hälso- och sjukvård) i
dataskyddsdirektivet.
I artikel 9.2 i i dataskyddsförordningen ges exempel på behandling som
är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det kan
enligt artikeln röra sig om behov av att säkerställa ett skydd mot all-
varliga gränsöverskridande hot mot hälsan eller att säkerställa höga	107
	107

Prop. 2017/18:171 kvalitets- och säkerhetsnormer för vård och läkemedel eller medicin- tekniska produkter. Av skäl 54 i dataskyddsförordningen framgår att begreppet folkhälsa bör tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008, nämligen så att det avser alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, in- begripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, till- handahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Artikel 9.2 i i dataskyddsförordningen innehåller ett krav på att be- handlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt. Enligt regeringens bedömning behöver undantaget i sig inte föreskrivas i nationell rätt för att behandling av känsliga personuppgifter ska kunna ske med stöd av artikel 9.2 i. Kravet på att behandlingen av personuppgifter ska ske på grundval av unions- rätten eller medlemsstaternas nationella rätt innebär enligt regeringens bedömning att den personuppgiftsansvarige ska ha stöd i rättsordningen för att utföra en uppgift på folkhälsoområdet. Detta rättsliga stöd ska enligt artikel 9.2 i innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Enligt regeringens bedömning är förutsättningarna för att behandling ska få ske enligt artikel 9.2 i uppfyllda om de känsliga personuppgifterna är sekretessreglerade i verksamheten. Om sekretessreglering saknas kan det däremot inte tas för givet att dataskyddsförordningens krav på lämpliga och specifika skyddsåtgärder för att skydda den registrerades rättigheter och friheter är uppfyllda.

Vad lämpliga och specifika skyddsåtgärder kan bestå i framgår av avsnitt 6.9.2. Oavsett hur kravet på att behandlingen ska ske på grundval av nationell rätt ska tolkas, bedömer regeringen att det inte är oförenligt med dataskyddsförordningen att reglera ett undantag som grundar sig på artikel 9.2 i i dataskyddsförordningen i nationell lagstiftning (se SOU 2017:66 s. 249). Bestämmelser i registerförfattningar som tillåter be- handling av känsliga personuppgifter med stöd av folkhälsoundantaget får enligt regeringens mening anses, om inte nödvändiga så ändå tillåtna som nationella preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförord- ningen, under förutsättning att den behandling av personuppgifter som regleras i registerförfattningen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 6.1 och 6.2).

Mot bakgrund av det ovan anförda bedömer regeringen att införandet av ett generellt folkhälsoundantag eller ytterligare bestämmelser i regi- sterförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i i dataskyddsförordningen i nuläget inte krävs.

108

6.6.6

Fler uppgifter blir känsliga personuppgifter

Prop. 2017/18:171

Regeringens bedömning: Bestämmelser i särskilda registerförfatt- ningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition behandlas bör även avse nya kategorier av känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning. De nya känsliga personuppgifterna får endast behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen.

Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten bör någon eller några av de nya kategorierna få behandlas.

Bestämmelser i särskilda registerförfattningar om s.k. skyddsåtgär- der med restriktioner för behandling av känsliga personuppgifter enligt nuvarande definition bör som utgångspunkt utvidgas till att avse också de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att skyddsåtgärderna inte omfattar någon av de nya kategorierna av uppgifter bör den kategorin undantas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten. Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs. Ett exempel är att det föreslås att behandling av samtliga kategorier av känsliga personuppgifter ska få behandlas enligt socialförsäkringsbalken utan någon analys av om dessa uppgifter har varit nödvändiga att behandla i verksamheten sedan tidigare eller om ett sådant behov kan tänkas uppstå. I det fortsatta lagstiftningsarbetet måste det säkerställas att varje bestämmelse som ska utgöra ett undantag från förbudet i artikel 9.1 överensstämmer med de krav som framgår av artikel 9.2 och avseende hälso- och sjukvård och social omsorg även artikel 9.3.

109

Prop. 2017/18:171

110

Skälen för regeringens bedömning

Dataskyddsförordningen innebär att fler kategorier av uppgifter än enligt dataskyddsdirektivet blir att betrakta som känsliga personuppgifter, som det enligt huvudregeln är förbjudet att behandla.

Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet ”sexualliv” och införandet av det begreppet i förordningen innebär således inte någon egentlig utvidg- ning från svenskt perspektiv (se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården, prop. 2000/01:126 s. 31 och propositionen Ett starkare skydd mot diskriminering, prop. 2007/08:95 s. 125–129). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen.

Flera av de uppgifter som ryms inom de nya kategorierna är redan i dag att betrakta som känsliga personuppgifter, eftersom de ryms inom någon av de nuvarande kategorierna. Kategorierna av känsliga person- uppgifter kommer därmed i viss mån att överlappa varandra. Tillägget av nya kategorier medför dock en begränsning av möjligheterna att be- handla personuppgifter i jämförelse med vad som gäller enligt data- skyddsdirektivet för sådana uppgifter som inte redan omfattas av någon av de befintliga kategorierna av känsliga personuppgifter. De personupp- gifter som ryms inom de nya kategorierna kommer, liksom övriga kate- gorier av känsliga personuppgifter, endast att få behandlas under de för- utsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförord- ningen.

Bestämmelser som tillåter behandling av känsliga personuppgifter

Är enligt registerförfattningen behandling av samtliga kategorier av känsliga personuppgifter tillåten, enligt nuvarande definition, bör enligt Socialdataskyddsutredningens mening behandling också av de nya kate- gorierna tillåtas utan vidare utredning av behovet. Har det vid införandet av registerförfattningen gjorts bedömningen att alla slags personuppgifter får behandlas om det är nödvändigt med hänsyn till ändamålen, bör nämligen den bedömningen godtas.

Regeringen anser att det finns anledning att i detta sammanhang beakta att de olika registerförfattningarna inom Socialdepartementets verksam- hetsområde skiljer sig åt i sin utformning. I vissa registerförfattningar

preciseras det vilka uppgifter som får behandlas, inklusive känsliga personuppgifter. Detta gäller lagen (1996:1156) om receptregister, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (särskilt vad gäller PKU-registret), lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blodsäkerhet, lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och lagen (2012:453) om register över nationella vaccinationsprogram. Detsamma kan sägas om lagen (1998:543) om hälsodataregister för vilken preciseringen av vilka personuppgifter som får behandlas i de olika hälsodataregistren följer av förordningar meddelade med stöd av lagen. Vidare kan det preciseras i lag vilken kategori av känsliga person- uppgifter som får behandlas, se lagen (2006:1570) om skydd mot internationella hot mot människors hälsa. I lagen (2006:351) om genetisk integritet finns vad som får ses som en precisering av vissa uppgifter som ska dokumenteras i journal, dvs. tillåtligheten av behandlingen bedöms följa av patientdatalagen. I alkohollagen (2010:111) och lagen (2012:526) om kvalitets- och säkerhetsnormer vid hantering av mänsk- liga organ regleras behandling av personuppgifter som enligt regeringens bedömning inte inkluderar känsliga personuppgifter. Regeringen anser inte att det i dessa fall krävs några ytterligare analyser om vad utvidgningen av nya kategorier skulle kunna medföra.

Vidare finns det lagar som tillåter behandling av alla slags personupp- gifter. Sådana bestämmelser finns när det gäller socialtjänsten (lagen [2001:454] om behandling av personuppgifter inom socialtjänsten), hälso- och sjukvården (patientdatalagen [2008:355]), socialförsäkringens administration (114 kap. socialförsäkringsbalken), öppenvårdsapotekens detaljhandel med läkemedel (apoteksdatalagen [2009:367]) och ärenden om licens för läkemedel (lagen [2016:526] om behandling av person- uppgifter i ärenden om licens för läkemedel). Lagarna innehåller inte uppräkningar av olika kategorier av känsliga personuppgifter utan anger att personuppgifter får behandlas under vissa förutsättningar, eller vad gäller socialförsäkringsbalken och lagen om behandling av personupp- gifter inom socialtjänsten att hela gruppen känsliga personuppgifter får behandlas under vissa förutsättningar. I avsnitt 6.6.3 redogör regeringen för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter för viktiga allmänna intressen i artikel 9.2 g i data- skyddsförordningen och i avsnitt 6.6.4 redogör regeringen för vad som omfattas av undantaget från förbudet att behandla känsliga person- uppgifter vid hälso- och sjukvård och social omsorg i artikel 9.2 h i data- skyddsförordningen. Regeringen bedömer att behandlingen av känsliga personuppgifter enligt socialförsäkringsbalken och de fyra ovannämnda lagarna ryms inom artikel 9.2 g respektive 9.2 h. Dataskyddsförord- ningen kräver inte uttryckligen preciseringar i nationell rätt av vilka kategorier av känsliga personuppgifter som får behandlas i en viss verk- samhet. Det kan konstateras att de aktuella lagarna innehåller skydds- åtgärder. Främst kan nämnas preciserade ändamålsbestämmelser men också t.ex. bestämmelser om tilldelning av behörighet och sökbegräns- ningar. Det finns också mer allmänna skyddsåtgärder i svensk rätt som t.ex. bestämmelser om sekretess och tystnadsplikt för de aktuella områdena. Tystnadsplikt är ett särskilt krav enligt artikel 9.2 h och artikel 9.3 i dataskyddsförordningen. Även kravet på tystnadsplikt behandlas i

Prop. 2017/18:171

111

Prop. 2017/18:171 avsnitt 6.6.4 där regeringen bl.a. konstaterar att det finns bestämmelser om sekretess och tystnadsplikt för personer som är verksamma inom hälso- och sjukvård och författningsreglerad social omsorg i t.ex. 25 kap. OSL och 6 kap. patientsäkerhetslagen respektive 26 kap. OSL och 15 kap. socialtjänstlagen.

Regeringen anser därför att de bestämmelser som tillåter behandling av alla kategorier av känsliga personuppgifter i socialförsäkringsbalken, lagen om behandling av personuppgifter inom socialtjänsten, patientdata- lagen, apoteksdatalagen och lagen om behandling av personuppgifter i ärenden om licens för läkemedel, även kan avse nya kategorier av känsliga personuppgifter enligt den utvidgade definitionen i dataskydds- förordningen.

Det följer direkt av dataskyddsförordningen att de nya kategorierna av känsliga personuppgifter endast får behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen. Regeringen anser att de nya utvidgade kategorierna av känsliga person- uppgifter bör få behandlas om de är nödvändiga för att kunna fullgöra den verksamhet som bedrivs och inom de ändamål som finns för att be- handla personuppgifter. Detta gäller under förutsättning att behandlingen av uppgifterna uppfyller de grundläggande principerna i artikel 5 i data- skyddsförordningen.

Bestämmelser om skyddsåtgärder för känsliga personuppgifter

De skyddsåtgärder som förekommer i registerförfattningarna är ibland begränsade till att avse behandling av känsliga personuppgifter eller vissa av de nuvarande kategorierna av känsliga personuppgifter, t.ex. i fråga om sökbegränsningar. Enligt regeringens bedömning bör utgångspunkten vara att även de nya kategorierna av känsliga personuppgifter ska omfattas av dessa skyddsåtgärder.

Bara om det är nödvändigt för en ändamålsenlig behandling av person- uppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. En bedömning av om det är nödvändigt behöver göras i för- hållande till den verksamhet som är aktuell.

Hänvisa till definitionen i dataskyddsförordningen

För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör en hänvisning göras till artikel 9.1 i data- skyddsförordningen. En sådan hänvisning bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom termino- login som används i den nationella reglering som kompletterar data- skyddsförordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.

112

6.7

Uppgifter om lagöverträdelser

Prop. 2017/18:171

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör behållas. Myndigheters möjligheter att behandla sådana uppgifter påverkas inte av EU:s dataskyddsförordning.

Bestämmelser i registerförfattningar som begränsar möjligheten att behandla uppgifter om lagöverträdelser enligt nuvarande definition kan och bör behållas. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. I annat fall är det endast tillåtet att begränsa behandling av sådana uppgifter om lagöverträdel- ser som omfattas av den nya definitionen i artikel 10 i dataskydds- förordningen.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen ser positivt på förslaget att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska be- hållas, men aktuella begränsningar måste ha stöd i dataskyddsförord- ningen. Detta gäller även för begränsningar av myndigheters behandling.

Skälen för regeringens bedömning

Allmänt om dataskyddsförordningen och den tidigare regleringen i dataskyddsdirektivet

Enligt artikel 10 i dataskyddsförordningen får behandling av personupp- gifter som rör fällande domar i brottmål och överträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Bestämmelsen i dataskyddsförordningen skiljer sig något från artikel 8.5 i dataskyddsdirektivet. Enligt dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser som innefattar brott, brottmålsdomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella be- stämmelser som innehåller lämpliga och specifika skyddsåtgärder. Data- skyddsdirektivets reglering omfattar således även uppgifter om friande brottmålsdomar. I fråga om register över fällande domar i brottmål är regleringen densamma. Därutöver anges i dataskyddsdirektivet att medlemsstaterna får föreskriva att uppgifter som rör administrativa sank- tioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet. I dataskyddsförordningen saknas denna skrivning.

113

Prop. 2017/18:171 Bestämmelsen i dataskyddsdirektivet har kommit till uttryck i 21 § personuppgiftslagen. Där anges att det är förbjudet för andra än myndig- heter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden.

Ändringen från brottmålsdomar till fällande domar i brottmål innebär en begränsning av bestämmelsens tillämpningsområde till att omfatta en- bart fällande brottmålsdomar. Det utökar möjligheterna för andra än myndigheter att behandla uppgifter om brottmålsdomar, men påverkar inte myndigheternas möjligheter.

Vad gäller ändringen från lagöverträdelser till överträdelser gör Dataskyddsutredningen bedömningen att någon förändring i sak inte har varit avsedd genom det justerade ordvalet (SOU 2017:39 s. 193). Social- dataskyddsutredningen gör samma bedömning. Dataskyddsförordningens bestämmelse medför således inte någon förändring av möjligheterna att behandla personuppgifter om lagöverträdelser i förhållande till vad som gällt enligt dataskyddsdirektivet.

Propositionen Ny dataskyddslag

Regeringen föreslår i propositionen Ny dataskyddslag, (prop. 2017/18:105 avsnitt 11) att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrif- ter om arkiv (3 kap. 8 §).

Regeringen eller den myndighet som regeringen bestämmer föreslås får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor (3 kap. 9 § dataskyddslagen).

Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig. Det är emellertid inte tydligt vad be- greppet under kontroll av myndighet innebär för svenskt vidkommande. Begreppet skulle kunna tolkas som att behandlingen ska ske av ett organ som anförtrotts uppgifter som ankommer på den offentliga sektorn. Regeringen bedömer att bestämmelsen i artikel 10 i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet. Det är angeläget att tydliggöra detta, eftersom det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Det finns således ett visst utrymme att förtydliga innebörden av artikel 10 i svensk rätt. Som Dataskyddsutredningen föreslår bör det därför ut- tryckligen framgå av dataskyddslagen att personuppgifter som rör lag- överträdelser får behandlas av myndigheter (prop. 2017/18:105 s. 99).

Enligt artikel 10 i dataskyddsförordningen får behandling ske utan

kontroll av myndighet då behandlingen är tillåten enligt unionsrätten

114

eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fast- ställs. Regleringen i artikel 10 syftar således till att säkerställa att det i unionsrätten eller den nationella rätten finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, när behandling utförs av andra än myndigheter. Enligt regeringens mening är det inte lämpligt att i dataskyddslagen ange vilka skyddsåtgärder som bör finnas vid behandling av uppgifter om lagöverträdelser. I stället bör detta övervägas i särskild ordning där behovet kan analyseras särskilt från fall till fall. Regeringen föreslår därför i likhet med Dataskyddsutredningen att regeringen eller den myndighet regeringen bestämmer ska ges befogen- het att meddela föreskrifter som tillåter andra än myndigheter att be- handla personuppgifter som rör lagöverträdelser. Regeringen har för avsikt att, som utredningen föreslår, vidaredelegera denna normgivnings- kompetens till tillsynsmyndigheten. Eftersom dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar, kommer det även i fortsättningen att finnas utrymme för särreglering som tillåter behandling av personuppgifter som rör lagöverträdelser. Det bör dock noteras att det inte krävs en uttrycklig undantagsreglering för att behand- ling av uppgifter som rör lagöverträdelser ska vara tillåten (prop. 2017/18:105 s. 99 f.).

Överväganden avseende Socialdepartementets registerförfattningar

Personuppgifter om lagöverträdelser får således behandlas av en myndig- het under förutsättning att det finns lagligt stöd för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Det krävs inga särskilda ställnings- taganden för myndigheters behandling av personuppgifter som avser lag- överträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund för behandling av personuppgifter vad gäller myndig- heter.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder utan kontroll av en myndighet kan enligt artikel 10 i dataskyddsförordningen tillåtas i den nationella rätten om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett krav på lämpliga och specifika skyddsåtgärder finns också i artikel 8.5 i dataskyddsdirektivet. Kraven på skyddsåtgärder får enligt regeringens bedömning anses innebära detsamma i dataskyddsförordningen och data- skyddsdirektivet. För att andra personuppgiftsansvariga än myndigheter fortsättningsvis ska få behandla sådana uppgifter som anges i artikel 10 gäller således samma förutsättningar som i dag. Någon ny analys av tillämpliga skyddsåtgärder krävs därför inte. Bestämmelser som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör därför behållas.

Datainspektionen ser positivt på förslaget att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska be- hållas, men att aktuella begränsningar måste ha stöd i dataskyddsförord- ningen. Detta gäller även för begränsningar av myndigheters behandling.

Registerförfattningar innehåller inte så sällan, såsom lämpliga och specifika skyddsåtgärder i de fall enskildas behandling omfattas, be- stämmelser som begränsar möjligheterna att behandla sådana uppgifter

Prop. 2017/18:171

115

Prop. 2017/18:171 om lagöverträdelser som avses i 21 § personuppgiftslagen. Det kan t.ex. röra sig om sökbegränsningar. Dessa begränsningar omfattar även upp- gifter om friande domar i brottmål och administrativa frihetsberövanden. Trots att det för myndigheters behandling inte finns något motsvarande krav på skyddsåtgärder omfattas även dessa av begränsningarna i de fall registerförfattningen tillämpas på såväl myndigheters som enskildas behandling. För sådana behandlingar anser regeringen att det är fråga om specifika bestämmelser som det enligt artikel 6.2 och 6.3 i dataskydds- förordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndig- hetsutövning (artikel 6.1 e).

Regeringen instämmer i Socialdataskyddsutredningens bedömning att det är svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter som de hittills inte har bedömts ha behov av att behandla bara därför att dataskyddsförordningen gör det möjligt. Även för sådana behandlingar anser regeringen att det är fråga om specifika bestämmelser som det enligt artikel 6.2 och 6.3 i data- skyddsförordningen är tillåtet att ha i nationell rätt för att reglera behand- ling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en upp- gift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Det är därför under dessa förutsättningar tillåtet att behålla begräns- ningarna för de uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen men som inte omfattas av artikel 10 i dataskydds- förordningen. Av samma skäl kan även bestämmelser om skyddsåtgärder behållas. Begränsningar av enskildas behandling av personuppgifter, som omfattas av artikel 10 i dataskyddsförordningen, är dessutom tillåtna i form av skyddsåtgärder enligt samma artikel.

Bestämmelser i registerförfattningar som begränsar möjligheten att be- handla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsbe- rövanden kan och bör därför behållas, trots att definitionen av uppgifter om lagöverträdelser i registerförfattningarna inte blir enhetlig med den som finns i dataskyddsförordningen och den föreslagna dataskyddslagen. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen har en sådan rättslig grund att det är tillåtet med mer specifika bestämmelser. Om så inte är fallet, får begräns- ningarna inte gälla för uppgifter om friande domar i brottmål eller administrativa frihetsberövanden, eftersom sådana uppgifter inte om- fattas av dataskyddsförordningens krav på begränsningar.

Bestämmelser som reglerar behandling av uppgifter om lagöverträdel- ser m.m. som avses i 21 § personuppgiftslagen finns i 2 kap. 7 och 8 §§ samt 7 kap. 8 § patientdatalagen (avsnitt 7.1.5) och 114 kap. 12 § social- försäkringsbalken (avsnitt 7.5.6).

116

6.8

Den registrerades rättigheter

Prop. 2017/18:171

6.8.1Utökade rättigheter för registrerade

Regeringens bedömning: Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av EU:s dataskyddsförordning kan och bör behållas om den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör komp- letteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Bestämmelser i registerförfattningar som hänvisar till personupp- giftslagens bestämmelser om rättelse bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Örebro läns landsting, Sveriges Kommuner och Landsting och Inera AB anser att det med stöd av artikel 23 i dataskyddsförordningen behöver införas en bestämmelse i patientdatalagen som gör det möjligt för vård- givare att fatta automatiserade beslut, inbegripet profilering, för individ- nära vård och behandling. Inom intensivvården på sjukhus används i dag övervakningssystem i form av medicintekniska produkter som monito- rerar en patients blodtryck, hjärta, blodvärden m.m. I dagsläget används det visserligen inte några helautomatiska system som både övervakar vitalparametrar och som baserat på tröskelvärden automatiskt injicerar läkemedel. Det utesluter dock inte tillkomsten av sådana lösningar i en nära framtid. Ett autonomt system kan anses fatta beslut i dataskyddsför- ordningens mening. En annan fråga är om maskinen ”profilerar”. Enligt artikel 22.4 i dataskyddsförordningen råder ett förbud för automatiserade beslut, inbegripet profilering, som innefattar känsliga personuppgifter, t.ex. patientuppgifter, såvida inte artikel 9.2 a (uttryckligt samtycke) eller g (viktigt allmänt intresse) är tillämplig och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Hälso- och sjukvård är en arbetsuppgift av allmänt intresse, men inte ett sådant allmänt intresse som är ”viktigt”. Det är tveksamt om en vårdgivare får behandla känsliga patientuppgifter inom ramen för automatiserade beslut inklusive profilering med stöd av bestämmelserna i patientdatalagen om individinriktad vård och behandling.

Swedish Medtech anser att det råder oklarhet om huruvida artikel 22.1 i dataskyddsförordningen enbart är grundad på profilering. Swedish Medtechs tolkning är att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, däri inbegripet, dvs. inklusive, profilering. Då det sker en väldigt snabb utveckling kring automatiserat beslutsfattande baserat på

117

Prop. 2017/18:171 individuella data inom vården i dag, framhåller Swedish Medtech att behov finns att få till stånd ett klargörande.

Skälen för regeringens bedömning

Information som ska lämnas självmant

Regleringen i dataskyddsförordningen

I dataskyddsförordningen har den registrerades rättigheter förstärkts i syfte att ge denne ökad kontroll över sina personuppgifter.

Av artikel 13.1 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om den personuppgiftsansvarige, dataskyddsombudet, ändamål och rättslig grund för behandlingen, de intressen som en eventuell behandling som sker med stöd av en intresseavvägning enligt artikel 6.1 f baseras på, mottagarna eller de kategorier av mottagare som ska ta del av person- uppgifterna samt uppgifter om överföring till tredjeland eller en internationell organisation.

Vidare följer av artikel 13.2 i dataskyddsförordningen att information ska lämnas om lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behand- ling och dataportabilitet, rätten att – om behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a – när som helst återkalla samtycket utan att detta påverkar lagligheten av behandling som skett innan samtycket återkallades, rätten att inge klagomål till en tillsyns- myndighet, uppgift om huruvida den registrerade är skyldig att tillhanda- hålla personuppgifterna och följderna av att uppgifterna inte lämnas samt uppgift om automatiserat beslutsfattande, inbegripet profilering.

Om den personuppgiftsansvarige avser att ytterligare behandla person- uppgifterna för ett annat syfte än det för vilket de samlades in, ska den personuppgiftsansvarige enligt artikel 13.3 i dataskyddsförordningen före den behandlingen ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

Punkterna 1, 2 och 3 ska enligt artikel 13.4 i dataskyddsförordningen inte tillämpas om den registrerade redan förfogar över informationen.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Utöver den information som anges i artikel 13 ska även information om de kategorier av personuppgifter som behandlingen gäller lämnas (artikel 14.1 d). I stället för information om skyldigheten att tillhandahålla personuppgifterna gäller att information ska lämnas om varifrån uppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor (artikel 14.2 f).

När det gäller den tidpunkt inom vilken informationen ska lämnas anges i artikel 14.3 i dataskyddsförordningen att den personuppgifts- ansvarige ska lämna informationen inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas. Det finns också möjlighet att lämna information först vid tid-

118

punkten för den första kommunikationen med den registrerade eller först när personuppgifterna lämnas ut för första gången.

Av artikel 14.5 framgår att information inte behöver lämnas om den registrerade redan har tillgång till informationen. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån informationsskyldigheten sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgifts- ansvarige vidta lämpliga skyddsåtgärder. Om erhållande eller utläm- nande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, behöver informa- tion inte heller lämnas. Information ska inte heller lämnas om personupp- gifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lag- stadgade sekretessförpliktelser.

Av artikel 12.1 i dataskyddsförordningen följer att den personuppgifts- ansvarige ska tillhandahålla informationen som avses i artiklarna 13 och 14 i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

Regleringen i den föreslagna dataskyddslagen

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 13) att artiklarna 13–15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller författning eller enligt beslut som har meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400), se förslag till 5 kap. 1 § dataskyddslagen.

Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen

Dataskyddsförordningens bestämmelser om information är mer utförliga än de som finns i artikel 10 och 11 i dataskyddsdirektivet. Den regi- strerade har således en rätt att få mer information än vad som gäller enligt dataskyddsdirektivet. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett sam- tycke och rätten att inge klagomål är exempel på information som tillkommit. En annan nyhet är att den personuppgiftsansvarige är skyldig att informera innan denne ytterligare behandlar personuppgifterna för ett annat syfte än det för vilket de samlades in.

Prop. 2017/18:171

119

Prop. 2017/18:171 Regleringen av vid vilken tidpunkt information ska lämnas om be- handling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet är att informationen ska lämnas vid tiden för registreringen, medan data- skyddsförordningen föreskriver att det ska ske inom en rimlig tid från er- hållandet av uppgifterna. Enligt dataskyddsförordningen finns det också möjlighet att informera först i samband med den första kommunikationen med den registrerade.

Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form information ska lämnas saknar motsvarighet i dataskyddsdirektivet.

Bestämmelser i registerförfattningar om att information utöver vad som följer av dataskyddsförordningen ska lämnas självmant

Det förekommer att det i registerförfattningar finns bestämmelser som preciserar personuppgiftslagens reglering av vilken information den personuppgiftsansvarige självmant på ett eller annat sätt ska lämna till den registrerade. Bestämmelserna har införts för att det ska bli tydligare vilken information som ska lämnas (se t.ex. prop. 2008/09:145 s. 363 och prop. 2007/08:126 s. 208).

Regeringen anser i likhet med Socialdataskyddsutredningens bedöm- ning att sådana bestämmelser i registerförfattningar som innebär att den information som ska lämnas till registrerade ska innehålla fler upplys- ningar än vad som följer av dataskyddsförordningen kan behållas i de fall den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning (se avsnitt 6.1).

Om bestämmelserna kräver att informationen ska innehålla sådana upplysningar som ska lämnas enligt dataskyddsförordningens bestäm- melser om information, så bör enligt regeringens bedömning dessa krav tas bort. Att bestämmelserna rensas på informationskrav innebär inte någon skillnad i sak, eftersom samma krav gäller enligt dataskydds- förordningen. För att bestämmelserna om information i registerförfatt- ningarna inte ska leda till den felaktiga slutsatsen att de reglerar all den information som behöver lämnas självmant, bör bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen. Hänvisningen till dataskyddsförord- ningens bestämmelser om information bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelserna, eftersom det bara gäller en upplysning och dataskyddsförordningen är direkt tillämplig.

Information som ska lämnas på begäran (registerutdrag)

Regleringen i dataskyddsförordningen

Den registrerades rätt till tillgång regleras i artikel 15 i dataskyddsförord- ningen. Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. Den registrerade har också rätt till viss information om ändamålen med be-

handlingen, de kategorier av personuppgifter som behandlingen gäller,

120

mottagarna eller de kategorier av mottagare till vilka personuppgifterna lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet, varifrån uppgifterna kommer samt automatiserat beslutsfattande, inbegripet profilering.

I artikel 15.2 stadgas att om personuppgifterna överförs till tredjeland eller till en internationell organisation ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

Den personuppgiftsansvarige ska enligt artikel 15.3 i dataskyddsför- ordningen förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form, ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Av skäl 63 i dataskyddsförordningen framgår bl.a. att den registrerade bör kunna utöva sin rätt att få tillgång med rimliga intervall.

Enligt artikel 12.1 i dataskyddsförordningen ska informationen till- handahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhanda- hållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. I artikel 12 i dataskyddsförordningen finns även vissa andra krav som den personuppgiftsansvarige ska iaktta, bl.a. avseende den tid inom vilken information ska lämnas till den registrerade. Där finns också en bestämmelse om att den personuppgiftsansvarige har möjlighet att ta ut en avgift eller vägra att tillmötesgå en begäran enligt artikel 15 i dataskyddsförordningen, om denna är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art.

Regleringen i den föreslagna dataskyddslagen

Regeringen föreslår i propositionen Ny dataskyddslag (avsnitt 13) att artikel 15 i EU:s dataskyddsförordning inte gäller personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller inte om uppgifterna har lämnats ut till tredje part eller om de behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning (5 kap. 2 § dataskyddslagen).

Rätten till rättelse, radering och begränsning av behandling

Den registrerade har enligt dataskyddsförordningen rätt till rättelse (artikel 16), rätt till radering (artikel 17) och rätt till begränsning av behandling (artikel 18). Det finns inte någon definition av begreppet radering i dataskyddsförordningen. Det finns inte heller något i skälen till dataskyddsförordningen om vad som avses med begreppet. Begreppet får

Prop. 2017/18:171

121

Prop. 2017/18:171 enligt vanligt språkbruk anses innebära samma sak som begreppet utplåning som används i dataskyddsdirektivet. Rätten till radering är dock betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet.

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett komp- letterande utlåtande. Rätten till komplettering är ny i förhållande till data- skyddsdirektivet.

Rätten till radering, också kallad rätten att bli bortglömd, följer av artikel 17 i dataskyddsförordningen. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personupp- gifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a)Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon

annan rättslig grund för behandlingen.

c)Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d)Personuppgifterna har behandlats på olagligt sätt.

e)Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f)Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

I artikel 17.2 anges att om den personuppgiftsansvarige har offentlig- gjort personuppgifterna och enligt punkt 1 är skyldig att radera person- uppgifterna, ska den personuppgiftsansvarige med beaktande av tillgäng- lig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

Rättigheten är inte obegränsad. Av artikel 17.3 följer att punkterna 1 och 2 i artikel 17 inte ska gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a)För att utöva rätten till yttrande- och informationsfrihet.

b)För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c)För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

122

d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, vilket har ersatt den åtgärd som enligt dataskyddsdirektivet benämns som blockering. Den registrerade har rätt att kräva att behand- lingen begränsas om han eller hon bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga (artikel 18.1 a). Begränsning kan också krävas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning (artikel 18.1 b). Om den personupp- giftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, kan den registrerade kräva att behandlingen begränsas om han eller hon behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 18.1 c). Slutligen kan begränsning krävas om den registrerade har invänt mot behandling i enlighet med artikel 21.1 i dataskyddsförordningen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).

Av artikel 18.2 i dataskyddsförordningen följer att om behandlingen har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller för- svara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmän- intresse för unionen eller för en medlemsstat. Vidare anges i artikel 18.3 i dataskyddsförordningen att en registrerad som har fått behandling begränsad ska underrättas av den personuppgiftsansvarige innan be- gränsningen av behandlingen upphör. Bestämmelserna innebär i för- hållande till dataskyddsdirektivet bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.

Slutligen, enligt artikel 19 i dataskyddsförordningen, ska den person- uppgiftsansvarige underrätta varje mottagare till vilken personuppgift- erna har lämnats ut om eventuell rättelse eller radering av personupp- gifter eller begränsning av behandling som skett i enlighet med artikel 16, 17.1 och 18 i dataskyddsförordningen, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Det motsvarar i huvudsak vad som gäller enligt dataskyddsdirektivet. Den person- uppgiftsansvarige ska på den registrerades begäran dessutom informera den registrerade om dessa mottagare. Detta är en nyhet i förhållande till dataskyddsdirektivet.

I artikel 12 i dataskyddsförordningen finns det bestämmelser om bl.a. tidsfrister för att informera den registrerade om vad som hänt med anled- ning av en begäran om en åtgärd.

Prop. 2017/18:171

123

Prop. 2017/18:171 Dataskyddsdirektivets reglering av dessa rättigheter är inte alls lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att med- lemsstaterna ska säkerställa att varje registrerad har rätt att i före- kommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga. Enligt artikel 12 c i dataskydds- direktivet ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor an- strängning. Dataskyddsdirektivets bestämmelser har kommit till uttryck i 28 § personuppgiftslagen som anger att personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen, på begäran av den registrerade snarast ska rättas, blockeras eller utplånas.

Registerförfattningar innehåller sällan några särskilt utformade bestäm- melser om rättelse utan hänvisar i stället till personuppgiftslagens bestämmelser. När registerförfattningarna hänvisar till personuppgifts- lagens bestämmelser om rättelse avses även åtgärderna blockering och utplåning. Skälet till att det i registerförfattningar ofta finns en hänvis- ning till personuppgiftslagens bestämmelser om rättelse är att bestäm- melserna annars inte skulle vara tillämpliga, eftersom 28 § personupp- giftslagen enligt sin ordalydelse endast gäller personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. För att bestämmelserna ska vara tillämpliga även när personuppgifter behandlats i strid med registerförfattningar, krävs därför att de anges gälla på motsvarande sätt vid behandling av personuppgifter enligt den aktuella författningen.

Bestämmelser i registerförfattningar med hänvisningar till personupp- giftslagens bestämmelser om rättelse kan inte behållas när person- uppgiftslagen upphävs. Eftersom dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga och inte specifikt begränsade till behandling i strid med dataskyddsför- ordningen, behövs det ingen hänvisning till dessa bestämmelser. Bestäm- melser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Rätten att göra invändningar

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling är nödvändig för att utföra uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges respektive myndighetsutövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen,

124

rättigheter och friheter eller om det sker för fastställande, utövande eller Prop. 2017/18:171 försvar av rättsliga anspråk.

En betydande skillnad mellan dataskyddsförordningen och dataskydds- direktivet är möjligheten att i nationell rätt reglera undantag från rätten att motsätta sig behandlingen. Enligt dataskyddsdirektivet gäller rätten att motsätta sig behandling utom när den nationella lagstiftningen före- skriver något annat. Några särskilda villkor för att införa sådana begräns- ningar i nationell rätt ställs inte upp. Medlemsstaterna har, såsom vi tolkat dataskyddsdirektivet i Sverige, därför enkelt kunnat reglera bort rättigheten i nationell rätt.

Enligt artikel 23.1 dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personupp- giftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstift- ningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och ut- gör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett antal olika mål som anges i punkterna a–j.

Medlemsstaterna kan således inte längre genom generella bestämmel- ser begränsa rätten att invända mot behandling. Eventuella nationella be- gränsningar måste i stället utgå från avvägningar i fråga om nödvändig- het och proportionalitet samt grunda sig på något av de mål som anges i artikel 23.1 i dataskyddsförordningen.

Rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering

I artikel 22 i dataskyddsförordningen finns det bestämmelser om auto- matiserat beslutsfattande, inbegripet profilering. Enligt artikel 22.1 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på lik- nande sätt i betydande grad påverkar honom eller henne.

Profilering definieras i artikel 4.4 i dataskyddsförordningen som ”varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, person- liga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflytt- ningar”.

Enligt skäl 71 i dataskyddsförordningen kan det röra sig om t.ex. ”ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ’profilering’ i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situa- tion, hälsa, personliga preferenser eller intressen, pålitlighet eller beteen- de, vistelseort eller förflyttningar, i den mån dessa har rättsverkan

125

Prop. 2017/18:171 rörande honom eller henne eller på liknande sätt i betydande grad på-

	verkar honom eller henne”.
	I dataskyddsdirektivet finns motsvarande bestämmelser om automati-
	serade beslut, där kallade databehandlade beslut. Av artikel 15.1 i data-
	skyddsdirektivet framgår att medlemsstaterna ska ge varje person rätten
	att inte bli föremål för ett beslut som har rättsliga följder för honom eller
	som märkbart påverkar honom och som enbart grundas på automatisk be-
	handling av uppgifter som är avsedda att bedöma vissa personliga egen-
	skaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet,
	pålitlighet och uppträdande.
	Det framgår inte tydligt om det finns en skillnad i tillämpningsområdet
	mellan	artikel 22.1 i	dataskyddsförordningen	och artikel 15.1 i
	dataskyddsdirektivet. Artikel 15.1 i dataskyddsdirektivet omfattar enbart
	beslut som grundas på profilering medan formuleringen ”beslut som
	enbart grundas på automatiserad behandling, inbegripet profilering,” i
	artikel 22.1 i dataskyddsförordningen kan tolkas som att artikeln omfattar
	även andra beslut än sådana som grundas enbart på profilering.
	Även skäl 71 i dataskyddsförordningen är otydligt i fråga om vad som
	avses. I den uppräkning av rättigheter som kan begränsas enligt artikel 23
	i dataskyddsförordningen som finns i skäl 73 nämns däremot endast
	profileringsbaserade beslut. Enligt Socialdataskyddsutredningen tyder
	detta på att det bara är beslut grundade enbart på profilering som avses i
	artikel 22.1 i dataskyddsförordningen. Även kommissionens förslag till
	dataskyddsförordning (artikel 20) gällde endast åtgärder på grundval av
	profilering och frågans hantering därefter antyder inte att någon
	förändring i förhållande till dataskyddsdirektivet är avsedd. Socialdata-
	skyddsutredningen utgår därför från att artikel 22.1 i dataskyddsförord-
	ningen omfattar bara sådana beslut som grundas enbart på automatiserad
	behandling som inkluderar profilering.
	Enligt artikel 22.2 ska artikel 22.1 inte tillämpas om beslutet: a) är nöd-
	vändigt för ingående eller fullgörande av ett avtal mellan den registrerade
	och den personuppgiftsansvarige, b) tillåts enligt unionsrätten eller en
	medlemsstats nationella rätt som den personuppgiftsansvarige omfattas
	av och som fastställer lämpliga åtgärder till skydd för den registrerades
	rättigheter, friheter och berättigade intressen eller c) grundar sig på den
	registrerades uttryckliga samtycke.
	I de fall det är tillåtet att fatta automatiserade beslut med anledning av
	ett avtal eller med stöd av samtycke, ska den personuppgiftsansvarige
	enligt artikel 22.3 i dataskyddsförordningen genomföra lämpliga åtgärder
	för att säkerställa den registrerades rättigheter, friheter och rättsliga
	intressen, åtminstone rätten till personlig kontakt med den personupp-
	giftsansvarige för att kunna uttrycka sin åsikt och bestrida beslutet.
	Beslut får enligt artikel 22.4 i dataskyddsförordningen grunda sig på
	känsliga personuppgifter endast om behandlingen sker med stöd av
	artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) och lämpliga
	åtgärder som ska skydda den registrerades berättigade intressen har
	vidtagits.
	Lämpliga skyddsåtgärder bör enligt skäl 71 i dataskyddsförordningen
	inkludera specifik information till den registrerade och rätt till mänskligt
	ingripande, att framföra sina synpunkter, att erhålla en förklaring till det
126	beslut	som fattas efter	sådan bedömning och att	överklaga beslutet.

Vidare anges i skäl 71 ytterligare åtgärder för att skydda den registrerade: ”I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profi- lering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bl.a. diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter.”

Att ett beslut enligt dataskyddsförordningen kan fattas automatiserat med stöd av samtycke från den registrerade är en nyhet i förhållande till dataskyddsdirektivet. Begränsningen i fråga om känsliga personuppgifter är också ny i förhållande till dataskyddsdirektivet.

Dataskyddsdirektivets bestämmelser har kommit till uttryck i 29 § personuppgiftslagen, där det anges att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut har enligt paragrafens andra stycke rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.

Socialdataskyddsutredningen bedömer att i den mån det inom Socialdepartementets verksamhetsområde förekommer beslut som grundas enbart på automatiserad behandling och inkluderar profilering, krävs det att något av de undantag som anges i artikel 22.2 i dataskydds- förordningen är tillämpligt. Utredningen anser att det dock är vanligare att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt Socialdataskyddsutredningens tolkning inte av artikel 22 i dataskyddsförordningen och dataskydds- förordningen ställer inte heller i övrigt några krav på att sådant besluts- fattande regleras särskilt. Det krävs då endast att behandlingen av person- uppgifter som sådan är tillåten enligt gällande dataskyddslagstiftning.

Swedish Medtech anser att det råder oklarhet i om artikel 22.1 i data- skyddsförordningen enbart är grundat på profilering och tolkar att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, däri inbegripet, dvs. inklusive, profilering. Örebro läns landsting, Sveriges Kommuner och Landsting och Inera AB anser att det med stöd av artikel 23 i dataskydds- förordningen behöver införas en bestämmelse i patientdatalagen som gör det möjligt för vårdgivare att fatta automatiserade beslut, inbegripet profilering, för individnära vård och behandling. Inom intensivvården på sjukhus används i dag övervakningssystem i form av medicintekniska produkter som monitorerar en patients blodtryck, hjärta, blodvärden m.m. I dagsläget används det visserligen inte några helautomatiska system som både övervakar vitalparametrar och som baserat på tröskel-

Prop. 2017/18:171

127

Prop. 2017/18:171 värden automatiskt injicerar läkemedel. Det utesluter dock inte tillkom- sten av sådana lösningar i en nära framtid.

Socialdataskyddsutredningen gör bedömningen att artikel 22.1 enbart omfattar beslut baserade på profilering och att annan automatiserad beslutsfattning är tillåten. Swedish Medtech tolkar att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, inbegripet profilering, dvs. inklusive beslut baserade på profilering. Vad som anförts talar dock för att avsikten med artikel 22 i dataskyddsförordningen är att endast omfatta automatiserade beslut som innefattar profilering. Någon säker slutsats kan dock i avsaknad av praxis inte dras i denna fråga.

För den personuppgiftsbehandling som förekommer i olika verksam- heter bör den behandling som i dag är laglig kunna fortsätta. Ändringar i förutsättningar för att ytterligare behandla personuppgifter får övervägas i annan ordning. Detta lagstiftningsärende får därför avgränsas till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordning. Frågor som rör tolkningen av eller tillämpningen av dataskyddsförordningens direkt tillämpliga bestämmelser görs inte annat än i samband med resonemang kring behovet och lämplighet av kompletterande bestämmelser.

I fråga om det som remissinstanserna Örebro läns landsting, Sveriges Kommuner och Landsting och Inera AB framför att det med stöd av artikel 23 i dataskyddsförordningen behöver införas en bestämmelse i patientdatalagen, anser regeringen att detta inte kan föreslås inom ramen för detta lagstiftningsärende. Det saknas beredningsunderlag för att bedöma behovet och konsekvenserna av en sådan ändring i patientdata- lagen. Vidare kan det vara så att även andra frågor skulle behöva utredas vad gäller automatiserade beslut, inbegripet profilering, för individnära vård och behandling.

6.8.2Begränsningar av den registrerades rättigheter

Regeringens bedömning: Bestämmelser i registerförfattningar om begränsningar av andra rättigheter för registrerade än rätten att göra invändningar kan och bör behållas. Bestämmelser i registerförfatt- ningar om begränsningar av den registrerades rätt att göra invänd- ningar enligt artikel 21 i EU:s dataskyddsförordning kan och bör behållas om de efter en prövning i varje enskilt fall bedöms tillåtna enligt artikel 23.1.

	Socialdataskyddsutredningens bedömning: Överensstämmer i allt
	väsentligt med regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens bedömning.
	Datainspektionen anser att det inte är förenligt med dataskyddsförord-
	ningen att förutsätta att sådana bedömningar som krävs enligt artikel 23
	har gjorts i tidigare lagstiftningsarbeten. Utredningen utgår från att
	sådana begränsningar av registrerades rättigheter som finns i befintliga
	registerförfattningar uppfyller de krav som ställs på begränsningar av
128	registrerades rättigheter i artikel 23 i dataskyddsförordningen eftersom

dataskyddsdirektivet ställde liknande krav på begränsning av regi- Prop. 2017/18:171 strerades rättigheter. Datainspektionen anser att den tidigare avvägningen

måste identifieras och analyseras tillsammans med de befintliga om- ständigheterna för att en bedömning enligt artikel 23 i dataskyddsförord- ningen ska kunna göras.

Helsingborgs kommun anser att utredningens bedömning vad gäller begränsning av enskildas rätt att invända mot behandling av person- uppgifter i socialtjänsten är rimlig. Det finns ett starkt allmänt intresse av att ha en effektiv handläggning hos socialtjänsten, och en enskilds möjlighet att invända mot behandling av personuppgifter skulle motverka det intresset. Det allmännas intresse av att handläggningen sker effektivt bör väga tyngre när det gäller socialtjänstens verksamhet. Begränsningen av den enskildes rättigheter får därmed anses vara nödvändig och pro- portionerlig i detta fall.

Skälen för regeringens bedömning

Möjlighet till undantag

Enligt artikel 23.1 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personupp- giftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstift- ningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett antal olika mål som anges i punkterna a–j.

En begränsning enligt artikel 23.1 i dataskyddsförordningen måste dock uppfylla vissa krav. Enligt artikel 23.2 i dataskyddsförordningen ska en lagstiftningsåtgärd som begränsar rättigheter och skyldigheter som följer av dataskyddsförordningen innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, om- fattningen av de införda begränsningarna, skyddsåtgärder för att för- hindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgifts- ansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av be- handling, riskerna för de registrerades rättigheter och friheter, och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

En liknande bestämmelse om möjlighet till begränsning av omfatt- ningen av skyldigheter och rättigheter finns i artikel 13 i dataskydds- direktivet. I den bestämmelsen anges i och för sig inte något om att be- gränsningen ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna eller att åtgärden ska vara proportionell i ett demokratiskt samhälle. Det får dock förutsättas att begränsningar av den personuppgiftsansvariges skyldigheter inte heller enligt dataskydds-

129

Prop. 2017/18:171 direktivet får göras i strid med grundläggande rättigheter och friheter eller vara oproportionella.

Europakonventionen nämns också i skäl 1 i dataskyddsdirektivet. Av Europarådets dataskyddskonvention följer vidare att lagstadgade be- gränsningar måste vara en nödvändig åtgärd i ett demokratiskt samhälle.

En större skillnad mellan dataskyddsförordningen och dataskydds- direktivet är att uppräkningen av de intressen som en begränsning måste syfta till att säkerställa har utökats i dataskyddsförordningen.

Dessutom har vissa av de befintliga intressena formulerats om. Artikel 13.1 e i dataskyddsdirektivet omfattar endast viktiga ekonomiska eller finansiella intressen, medan artikel 23.1 e i dataskyddsförordningen även tar upp andra viktiga mål av generellt allmänt intresse. Uppräkningen i den punkten är inte heller längre uttömmande utan även andra mål kan omfattas. Samtidigt har ordalydelsen i 23.1 e ändrats från att en begräns- ning ska vara nödvändig med hänsyn till ett viktigt (ekonomiskt eller finansiellt) intresse till ett viktigt mål av generellt allmänt intresse. I avsaknad av ytterligare tolkningsdata går det inte att dra några säkra slutsatser om huruvida detta innebär att det krävs något annat än vad som följer av begreppet allmänt intresse som används i t.ex. artikel 6.1 e i dataskyddsförordningen. Socialdataskyddsutredningen bedömer att ut- rymmet för begränsningar enligt artikel 23.1 e i dataskyddsförordningen i vart fall är större än enligt motsvarande reglering i dataskyddsdirektivet, eftersom bestämmelsen inte längre enbart omfattar ekonomiska och finansiella intressen. Regeringen instämmer i denna bedömning.

I artikel 23.1 g i dataskyddsförordningen har, i förhållande till data- skyddsdirektivet när det gäller överträdelser av etiska regler, för- hindrande och utredning av överträdelser lagts till medan undersökning tagits bort. Begreppen utredning och undersökning torde ha samma inne- börd. Tillägget av förhindrande av överträdelser innebär en utökning i förhållande till dataskyddsdirektivet.

När det gäller tillsyns-, inspektions- eller regleringsfunktioner som nämns i artikel 23.1 h i dataskyddsförordningen har dataskyddsdirek- tivets formulering att bestämmelsen gäller även om funktionen är av övergående karaktär bytts ut mot formuleringen även i enstaka fall. Socialdataskyddsutredningen bedömer, i avsaknad av klargörande skäl, att någon ändring i sak inte är avsedd. Formuleringen i artikel 23.1 i i dataskyddsförordningen är densamma som i dataskyddsdirektivet. Regeringen instämmer i denna bedömning.

Möjligheterna att begränsa den registrerades rättigheter, när det gäller de intressen som är aktuella inom Socialdepartementets verksamhets- område, är desamma för vissa av punkterna medan de för andra punkter är något utökade jämfört med vad som gäller enligt dataskyddsdirektivet. Kravet i dataskyddsförordningen på att lagstiftningsåtgärder med be- gränsningar ska, när det är relevant, innehålla specifika bestämmelser i vissa uppräknade avseenden saknar motsvarighet i dataskyddsdirektivet.

Allmänna utgångspunkter för undantag

Som framgått får den registrerade vissa nya rättigheter med dataskydds- förordningen. De nya rättigheterna för registrerade förhindrar inte den

behandling som får ske enligt registerförfattningarna. Däremot uppställs

130

nya administrativa krav på de personuppgiftsansvariga. Dessa nya krav kan normalt sett inte anses så betungande att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Det bör därför inte finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen. När det gäller dataskyddsförord- ningens reglering av information, tillgång, rättelse, radering och be- gränsning av behandling har det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de nyheter som dataskyddsförordningen innebär. Dataskyddsförord- ningens reglering bör därför som utgångspunkt gälla. Om däremot ett nytt krav kan anses alldeles särskilt betungande för en specifik verksamhet, bör en begränsning av de nya rättigheterna övervägas.

Det förekommer bestämmelser i registerförfattningar som begränsar de rättigheter som registrerade har i dag enligt dataskyddsdirektivet och personuppgiftslagen. Det kan gälla t.ex. en begränsning av rätten till registerutdrag eller en bestämmelse om att behandling som är tillåten enligt författningen får utföras även om den registrerade motsätter sig den, dvs. en begränsning av rätten att göra invändningar.

De krav på själva begränsningen – syftet med begränsningen, nödvän- dig och proportionell åtgärd och respekt för andemeningen i de grund- läggande rättigheterna – som gäller enligt dataskyddsförordningen är som framgått i vart fall inte snävare än enligt dataskyddsdirektivet. De bedömningar som gjorts när begränsningarna infördes bör godtas. De be- stämmelser i registerförfattningar som begränsar registrerades rättigheter i förhållande till dem som finns enligt dataskyddsförordningen är tillåtna, utom när det gäller rätten till invändningar.

Begränsning av den registrerades rätt att göra invändningar

Vad gäller registerförfattningar inom Socialdepartementets verksamhets- område anser regeringen att registerförfattningar som innehåller en begränsning av den registrerades rätt att göra invändningar reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.

Ett nytt krav för begränsningar enligt dataskyddsförordningen (artikel 23.2) är att lagstiftningsåtgärden, när det är relevant, också ska innehålla specifika bestämmelser i vissa uppräknade avseenden, nämligen ända- målen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skydds- åtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

Registerförfattningar med begränsningar innehåller regelmässigt också bestämmelser i de allra flesta avseenden som räknas upp i artikel 23.2 i dataskyddsförordningen. Sådana registerförfattningar har införts efter

Prop. 2017/18:171

131

Prop. 2017/18:171 noggranna överväganden av vilka bestämmelser, utöver dem som finns i personuppgiftslagen, som är relevanta i sammanhanget. De bedömningar

	om legalitetsprincipen och Europakonventionen som görs i propositionen
	Ny dataskyddslag (prop. 2017/18:105 avsnitt 8.2) och som regeringen
	gör i denna proposition, avsnitt 6.5.1, bör tillmätas motsvarande betydel-
	se i fråga om begränsningar i rätten att göra invändningar i de sektors-
	specifika registerförfattningarna inom Socialdepartementets verksam-
	hetsområde.
	Det har ansetts att en begränsning av rätten att göra invändningar enligt
	dataskyddsdirektivet bara förutsätter att det finns en författningsbe-
	stämmelse om det. Bestämmelser i registerförfattningar om en sådan be-
	gränsning har därför normalt inte föregåtts av en sådan prövning som den
	som måste göras enligt artikel 23.1 i dataskyddsförordningen. I fråga om
	sådana bestämmelser har Socialdataskyddsutredningen genomfört en
	prövning, i de fall det enligt artikel 21 i dataskyddsförordningen finns en
	rätt till invändningar, dvs. när den reglerade behandlingen grundar sig på
	att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse
	eller som ett led i den personuppgiftsansvariges myndighetsutövning
	(eller klarar en intresseavvägning). Detta gäller patientdatalagen (avsnitt
	10.1.5 i SOU 2017:66 och i fråga om nationella och regionala kvalitets-
	register avsnitt 10.1.16 i nämnda SOU), apoteksdatalagen (avsnitt 10.5.4
	i nämnda SOU), lagen om behandling av personuppgifter i ärenden om
	licens för läkemedel (avsnitt 10.7.4 i nämnda SOU), lagen om behand-
	ling av personuppgifter inom socialtjänsten (avsnitt 10.9.4 i nämnda
	SOU), socialförsäkringsbalken (avsnitt 10.13.2 i nämnda SOU), lagen
	om receptregister (avsnitt 11.1.4 i nämnda SOU) och lagen om register
	över nationella vaccinationsprogram (avsnitt 11.7.3 i nämnda SOU).
	Socialdataskyddsutredningens prövning av om begränsning är tillåten
	enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsför-
	ordningen i förhållande till varje enskild registerförfattning har lett till
	utredningens slutsats att det även fortsättningsvis är tillåtet att begränsa
	rätten att göra invändningar på det sätt som skett. Regeringen instämmer
	i de bedömningar som gjorts avseende ovannämnda lagar.
	I fråga om patientdatalagen så bedömer regeringen i likhet med
	Socialdataskyddsutredningen att personuppgiftsbehandling i stora delar
	av lagen utförs för att fullgöra rättslig förpliktelse. I sådana fall gäller
	inte den registrerades rätt att invända enligt artikel 21.1 (se avsnitt 10.1.5,
	10.1.7, 10.1.13 samt 10.1.16 i nämnda SOU). Vad gäller skyldigheten att
	föra registret avseende biobanker så är det en rättslig förpliktelse (se
	avsnitt 12.1.2 nämnda SOU). Detta gäller även registret över blodverk-
	samhet (se avsnitt 12.3.3 nämnda SOU), register som förs enligt lagen
	om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader
	och celler (se avsnitt 12.4.3 nämnda SOU), register som förs enligt lagen
	om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ (se
	avsnitt 12.5.3 nämnda SOU), register som förs enligt patientsäkerhets-
	lagen (se avsnitt 12.6.2 nämnda SOU) och register som förs enligt
	alkohollagen (se avsnitt 12.12.2 nämnda SOU). I sådana fall gäller inte
	den registrerades rätt att invända enligt artikel 21.1.
	I andra lagar kan stödet för behandlingen av personuppgifter anses vara
	även fullgörande av rättslig förpliktelse. I sådana fall gäller inte rätten att
132	invända enligt artikel 21.1. Detta gäller apoteksdatalagen (se avsnitt

10.5.4 och 10.5.6 nämnda SOU) och lagen om läkemedelsförteckning (se avsnitt 11.3.5 och 11.3.6 nämnda SOU). Likaså gäller detta personupp- giftsbehandling i form av uppgiftsutlämnande som föreskrivs i lag eller förordning (se 6 § andra stycket lagen om behandling av personuppgifter inom socialtjänsten, jfr avsnitt 10.9.3 och 10.9.4 nämnda SOU). Det gäller också uppgiftsskyldigheter enligt lagen om receptregister (jfr avsnitt 11.1.4 och 11.1.5 nämnda SOU), lagen om register över nationella vaccinationsprogram (se avsnitt 11.7.5 nämnda SOU), lagen om biobanker i hälso- och sjukvård m.m. (se avsnitt 12.1.5 nämnda SOU) och lagen om genetisk integritet m.m. (se avsnitt 12.2.3 och 12.2.4 nämnda SOU).

Lagen om hälsodataregister och ett antal förordningar reglerar olika slag av s.k. hälsodataregister. Enligt förarbetena till lagen om hälsodata- register är avsikten att de frågor som är gemensamma för alla hälsodata- register ska regleras i en lag medan närmare föreskrifter om enskilda hälsodataregister ska meddelas av regeringen inom de ramar som lagen drar upp (prop. 1997/98:108 s. 44). I 12 § lagen om hälsodataregister be- myndigas därför regeringen att meddela föreskrifter som medför be- gränsningar av sådan behandling av personuppgifter som är tillåten enligt lagen om hälsodataregister. I förarbetena till lagen om hälsodataregister bedöms samtliga ändamål vara av ett högt samhälleligt intresse (prop. 1997/98:108 s. 48). Socialdataskyddsutredningen bedömer att ändamålen därmed får anses ha grund i ett allmänt intresse enligt artikel 6.1 e i data- skyddsförordningen. Det bör noteras att vad gäller bestämmelser om uppgiftsskyldighet i lagen om hälsodataregister och förordningarna så är det fråga om fullgörande av rättslig förpliktelse.

I hälsodataregistren finns endast en paragraf som reglerar behandlingen och frågan om den registrerades inställning. I 5 § förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län anges att personuppgifter inte får behandlas i registret om den registrerade motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. Socialdata- skyddsutredningen bedömer att bestämmelsen i 5 § förordningen inte be- höver ändras och anför bl.a. följande. Den registrerade har enligt data- skyddsförordningen rätt att invända mot behandling av personuppgifter när det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. I det här fallet har regeringen ansett att den registrerades intressen väger tyngre än Socialstyrelsens intresse av att samla in uppgifter till ett register (se avsnitt 11.6.7 nämnda SOU). Regeringen noterar att registret numera inte torde användas och det bör därför övervägas om förordningen ska upphävas.

Prop. 2017/18:171

133

Prop. 2017/18:171

134

6.9Skyddsåtgärder

6.9.1Den generella regleringen av åtgärder som begränsar behandlingen av personuppgifter

Av artikel 6.1 c i dataskyddsdirektivet framgår att behandlade person- uppgifter ska vara adekvata och relevanta och att de inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Artikeln har kommit till uttryck i 9 § e och f personuppgiftslagen. Samma princip finns i artikel 5.1 c i dataskyddsförordningen (principen om uppgiftsminimering). Där anges att personuppgifter ska vara adekvata, relevanta och inte för om- fattande i förhållande till de ändamål för vilka de behandlas.

En annan grundläggande princip enligt dataskyddsförordningen är att den personuppgiftsansvarige enligt artikel 5.1 f ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling, med invändning av lämp- liga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet).

En allmän bestämmelse om den personuppgiftsansvariges ansvar finns i artikel 24 i dataskyddsförordningen. Av den följer att den personupp- giftsansvarige, med beaktande av behandlingens art, omfattning, sam- manhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförord- ningen. Dessa åtgärder ska ses över och uppdateras vid behov. Vidare anges att om det står i proportion till behandlingen, ska åtgärderna om- fatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

En precisering av det nämnda ansvaret finns i artikel 25 i dataskydds- förordningen som handlar om inbyggt dataskydd och dataskydd som standard. Enligt den artikeln ska den personuppgiftsansvarige, med be- aktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättig- heter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder såsom pseudonymisering. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsmini- mering, och för integrering av de nödvändiga skyddsåtgärderna i behand- lingen, så att kraven i dataskyddsförordningen uppfylls och den regi- strerades rättigheter skyddas. Åtgärderna ska vidtas både vid fastställan- det av vilka medel behandlingen utförs med och vid själva behandlingen.

Enligt artikel 29 i dataskyddsförordningen gäller att personuppgifts- biträdet och personer som utför arbete under den personuppgifts- ansvariges eller personuppgiftsbiträdets överinseende, och som får till- gång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

I artikel 32 i dataskyddsförordningen anges att med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art,

omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämp- liga tekniska och organisatoriska åtgärder för att säkerställa en säkerhets- nivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a)pseudonymisering och kryptering av personuppgifter,

b)förmågan att fortlöpande säkerställa konfidentialitet, integritet, till-

gänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

c)förmågan att återställa tillgängligheten och tillgången till person- uppgifter i rimlig tid vid en fysisk eller teknisk incident,

d)ett förfarande för att regelbundet testa, undersöka och utvärdera

effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Enligt artikel 32.2 ska vid bedömningen av lämplig säkerhetsnivå särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Vidare ska enligt artikel 32.4 den personuppgiftsansvarige och person- uppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personupp- giftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Även enligt dataskyddsdirektivet gäller att den personuppgifts- ansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Enligt artikel 17 i dataskyddsdirektivet ska sådana åtgärder vidtas för att skydda personuppgifter mot bl.a. otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behand- lingen innefattar överföring av uppgifter i ett nätverk. Av artikel 16 i dataskyddsdirektivet framgår att den som får tillgång till personuppgifter med anledning av sitt arbete, får behandla uppgifterna endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag. Bestämmelserna har kommit till uttryck i 30 och 31 §§ person- uppgiftslagen.

Att integritet och konfidentialitet finns med bland de allmänna principerna i artikel 5 i dataskyddsförordningen är en nyhet i förhållande till dataskyddsdirektivet. Bestämmelserna om säkerhet i dataskydds- direktivet har liknande innehåll som de i dataskyddsförordningen men är mer allmänt hållna.

Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Åtgärderna får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som

Prop. 2017/18:171

135

Prop. 2017/18:171 inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.

Artikel 89.1 i dataskyddsförordningen preciserar de mer allmänna bestämmelserna om skyddsåtgärder som nämnts ovan, bl.a. genom att ange att den personuppgiftsansvarige i första hand ska överväga om det är möjligt att behandla sådana uppgifter som inte medger identifiering av de registrerade. Detta kan dock anses följa redan av den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt de allmänna bestämmelserna om säkerhet.

I dataskyddsdirektivet är formuleringen angående skyddsåtgärder för historiska, statistiska eller vetenskapliga ändamål något annorlunda. I artikel 6.1 b i dataskyddsdirektivet anges att senare behandling för historiska, statistiska eller vetenskapliga ändamål förutsätter att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämp- liga åtgärder för den skull upphör, kan mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskydds- förordningen (se avsnitt 6.1).

För behandling av känsliga personuppgifter med stöd av artikel 9.1 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska inne- hålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lag- stiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet. Även i artikel 87 i dataskyddsförordningen talas det om lämpliga skyddsåtgärder i fråga om behandling av ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering.

Nationell lagstiftning om skyddsåtgärder kan vidare vara nödvändig för att en begränsning av den registrerades rättigheter ska få göras (se avsnitt 6.8.2). Olika skyddsåtgärder är således inte bara något som kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.

6.9.2Bestämmelser om skyddsåtgärder i registerförfattningar

Regeringens bedömning: Bestämmelser i registerförfattningar om olika former av åtgärder som kan anses utgöra skyddsåtgärder behöver inte ändras. I fråga om enskildas behandling gäller det under förut- sättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c eller e i EU:s dataskyddsförordning eller om behandlingen av upp- gifterna grundar sig på artikel 9.2 g, i eller j eller artikel 10 i data- skyddsförordningen.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens bedömning förutom att begreppet åtgärder eller skyddsåtgärder i regel används i stället för säkerhetsåtgärd.

136

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen påpekar att skyddsåtgärder och säkerhetsåtgärder inte är synonyma begrepp. Skyddsåtgärder är ett vidare begrepp. Som exempel kan anges att det inte är en säkerhetsåtgärd att tillmäta den registrerades inställning till en behandling betydelse, medan den registrerades inställning däremot kan anses utgöra en skyddsåtgärd. Datainspektionen delar uppfattningen att den registrerades inställning till en behandling är en viktig skyddsåtgärd. Att en behandling får ske med den enskildes medgivande är integritetshöjande och används vidare än samtycke i övrigt, bl.a. ges patienten ett viktigt inflytande vid samman- hållen journalföring. Enligt bestämmelserna om sammanhållen journal- föring kan vårdpersonal tillfråga patienten om denne godtar att vård- givaren tar del av andra vårdgivares uppgifter om patienten. Det är en ojämlik situation där patienten är i beroendeställning. Enligt Datainspek- tionen hindrar det emellertid inte att samtycket används som integritets- höjande åtgärd eftersom begränsningen enligt skäl 43 att använda samtycke i ojämlika situationer avser samtycke som utgör giltig rättslig grund för behandling av personuppgifter. Eftersom vårdgivare har andra rättsliga grunder som stöd för sin behandling av patientuppgifter inom hälso- och sjukvården kan ett integritetshöjande samtycke användas oavsett att relationen är ojämlik. Det kan emellertid vara svårt för såväl den registrerade som den personuppgiftsansvarige att skilja på samtycke som utgör rättslig grund för behandling av personuppgifter och integritetshöjande samtycke. Datainspektionen anser därför att lagstifta- ren bör överväga om inte ett annat ord bör införas för det integritets- höjande samtycket såsom exempelvis godkännande, som utredningen nämner, eller medgivande, som Datainspektionen föreslog i remissvaret gällande Nationella läkemedelslistan. Oavsett vilket ord som används är det viktigt att det tydliggörs vilken form av samtycke som lagstiftaren avser. Ett integritetshöjande samtycke måste ha en annan rättslig grund och stöd för behandling av känsliga personuppgifter.

Pensionsmyndigheten anför att begreppet socialförsäkringsdatabasen på sikt bör utmönstras ur lagstiftningen då det enbart är fråga om ett teoretiskt begrepp som betecknar uppgiftsmängder till vilka Pensions- myndigheten och Försäkringskassan får ha direktåtkomst. I själva verket består socialförsäkringsdatabasen av en stor mängd personuppgifter som behandlas av båda myndigheterna inom respektive verksamhet. Dessa uppgiftsmängder är inte avgränsade på ett sådant sätt att det finns fog för att tala om en socialförsäkringsdatabas. Regleringen av respektive myndighets personuppgiftsansvar gör att begreppet framstår som än mer missvisande.

Skälen för regeringens bedömning

Begreppen skyddsåtgärd och säkerhetsåtgärd

I dataskyddsförordningen används orden skyddsåtgärd och säkerhets- åtgärd. Det saknas en definition, utan begreppen får sitt innehåll i det sammanhang där de används eller genom de åtgärder som kan vidtas för att t.ex. säkerställa uppgifternas säkerhet. I vissa artiklar används endast

Prop. 2017/18:171

137

Prop. 2017/18:171 formuleringar som lämpliga och särskilda åtgärder, t.ex. artikel 9.2 g och i i dataskyddsförordningen. Vidare används ordet säkerhetsåtgärder i artikel 10 som likvärdigt med straffprocessuella tvångsmedel.

Regeringen instämmer i Datainspektionens påpekande att skydds- åtgärder och säkerhetsåtgärder inte är synonyma, utan att skyddsåtgärder är ett vidare begrepp. Enligt regeringens mening är det därför lämpligare att i regel använda ordet skyddsåtgärder i stället för säkerhetsåtgärd.

En databas som används gemensamt i verksamheten

För vissa verksamheter har man valt att i registerförfattning knyta sär- skilda regler till viss behandling av personuppgifter som anses särskilt integritetskänslig. Exempelvis bedöms sådan behandling av personupp- gifter, som innebär att fler än ett fåtal personer har såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifterna på annat sätt, typiskt sett mer integritetskänslig än vad som är fallet när endast någon enstaka person förfogar över uppgifterna (prop. 2002/03:135 s. 47 f.)

För att avgränsa vilka personuppgifter som berörs, används ofta ett databasbegrepp. Begreppet används i juridisk mening och ansluter inte nödvändigtvis till tekniska avgränsningar eller behörighetstilldelningar.

En avgränsning av vilka personuppgifter som får behandlas i en viss databas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Samma princip, uttryckt på i sak samma sätt, finns i artikel 6.1 b i dataskyddsdirektivet. Bestämmelser i registerför- fattningar om begränsningar av användares åtkomst till personuppgifter samt om uppföljning av åtkomsten är tänkta att innebära en konkreti- sering av personuppgiftslagens bestämmelser om säkerhet. Genom att användaren endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten be- handling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.

Styrning av tilldelning och begränsning av behörigheter är sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta på eget initiativ enligt dataskyddsförordningen.

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav även fast- ställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Logguppföljning medför i sig vissa särskilda integritetsrisker som bör beaktas. Om uppföljning sker av anställdas åtgärder i ett ärende- hanteringssystem, kan exempelvis personuppgifter avseende såväl enskilda, vars uppgifter finns i ett ärende, som de anställda komma att behandlas. Det får förutsättas att en bedömning av dessa integritetsrisker i förhållande till eventuella integritetsvinster har gjorts innan befintliga bestämmelser om logguppföljning har införts i registerförfattningar.

138

Direktåtkomst och utlämnande på medium för automatiserad behandling

Utlämnande genom direktåtkomst och utlämnande på medium för auto- matiserad behandling utgör olika former av behandling av personupp- gifter och regleras ofta i registerförfattningar. I dataskyddsförordningen, dataskyddsdirektivet och personuppgiftslagen finns det inga särskilda bestämmelser som direkt rör dessa former av behandling/utlämnande utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6 i dataskyddsförordningen.

Det krävs också att åtgärder enligt artiklarna 24.1 och 32 i dataskydds- förordningen är vidtagna. Om utlämnandet avser känsliga personupp- gifter eller uppgifter om lagöverträdelser, krävs i tillämpliga fall stöd enligt artikel 9 respektive artikel 10 i dataskyddsförordningen. Mot- svarande gäller enligt dataskyddsdirektivet.

Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen, får det således ske på vilket sätt som helst så länge föreskrivna skyddsåtgärder vidtas. Artiklarna 24.1 och 32 i dataskyddsförordningen om åtgärder, som har sin motsvarighet i artikel 16 och 17 i dataskyddsdirektivet, kommer att vara direkt tillämpliga.

Sökbegränsningar

Varken dataskyddsförordningen, dataskyddsdirektivet eller personupp- giftslagen innehåller några bestämmelser som särskilt tar sikte på sökning. Sökning och sammanställning av personuppgifter är dock en form av behandling av personuppgifter som omfattas av dataskydds- regleringen. Det innebär bl.a. att en sökning måste vara förenlig med angivna ändamål för att vara tillåten.

I många registerförfattningar finns sökbegränsningar som framför allt tar sikte på användningen av känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp. Anledningen är att användningen av dessa uppgifter som sökbegrepp kan leda till att det går att skapa mycket integritetskänsliga sammanställningar med personer som har vissa egenskaper. Sökbegränsningarna inskränker också allmänhetens möjlig- heter att ta del av sammanställningen (2 kap. 3 § tredje stycket tryck- frihetsförordningen). Att förbjuda användning av t.ex. känsliga person- uppgifter och uppgifter om lagöverträdelser som sökbegrepp utgör en form av åtgärd eller skyddsåtgärd i dataskyddsförordningens mening.

Kryptering och pseudonymisering

Kryptering och pseudonymisering är åtgärder som tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen eftersom sådana åtgärder innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på kryptering och pseudonymisering uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen som anger att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder. Kryptering och pseudonymisering utgör sådana åtgärder som nämns i

Prop. 2017/18:171

139

Prop. 2017/18:171 artikel 32 i dataskyddsförordningen och som ska vidtas i den mån det är lämpligt.

Samtycke

Det förekommer bestämmelser i registerförfattningar om att en viss åtgärd, t.ex. direktåtkomst eller utlämnande på medium för automatiserad behandling, med personuppgifter som behandlas med stöd av annan rättslig grund än samtycke bara får utföras med den registrerades samtycke. En sådan bestämmelse kan anses utgöra en integritetshöjande åtgärd, dvs. ett slags skyddsåtgärd (Ds 2016:44 s. 224 f.). Eftersom registerförfattningarna inom Socialdepartementets verksamhetsområde gäller utöver personuppgiftslagen, måste samtycket uppfylla det som anges i definitionen av samtycke i 3 § personuppgiftslagen, som genomför definitionen av samtycke i artikel 2 h i dataskyddsdirektivet.

Enligt definitionen i artikel 4.11 i dataskyddsförordningen ska sam- tycket vara frivilligt, specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar den aktuella be- handlingen av personuppgifter som rör honom eller henne. Definitionen av samtycke i artikel 4.11 i dataskyddsförordningen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.

Eftersom själva definitionen av vad som utgör ett giltigt samtycke inte har ändrats i sak i dataskyddsförordningen, bedömer Socialdataskydds- utredningen att någon ytterligare analys av lämpligheten av att uppställa ett krav på samtycke för att en viss åtgärd, såsom direktåtkomst eller annat elektroniskt utlämnande, ska få utföras inte behöver göras i de fall sådana bestämmelser finns i befintliga registerförfattningar. Dataskydds- förordningens definition av samtycke föranleder således inte i sig att denna typ av integritetshöjande åtgärder behöver ändras. Regeringen instämmer i utredningens bedömning.

Det kan inte uteslutas att kraven på samtycke i vissa situationer har skärpts något i förhållande till vad som anses gälla i dag. När registerförfattningarna, sedan dataskyddsförordningen börjat tillämpas, kommer att komplettera dataskyddsförordningen i stället för att gälla utöver personuppgiftslagen, kommer regleringen av samtycke som finns i dataskyddsförordningen att gälla även för de samtycken i registerför- fattningarna som utgör integritetshöjande åtgärder.

Datainspektionen delar uppfattningen att den registrerades inställning till en behandling är en viktig skyddsåtgärd. Att en behandling får ske med den enskildes medgivande är integritetshöjande och används vidare än samtycke i övrigt. Enligt bestämmelserna om sammanhållen journal- föring kan vårdpersonal tillfråga patienten om denne godtar att vård- givaren tar del av andra vårdgivares uppgifter om patienten. Det är en ojämlik situation där patienten är i beroendeställning. Enligt Datainspek- tionen hindrar det emellertid inte att samtycket används som integritets- höjande åtgärd eftersom begränsningen enligt skäl 43 att använda samtycke i ojämlika situationer avser samtycke som utgör giltig rättslig grund för behandling av personuppgifter. Eftersom vårdgivare har andra rättsliga grunder som stöd för sin behandling av patientuppgifter inom

hälso- och sjukvården kan ett integritetshöjande samtycke användas

140

oavsett att relationen är ojämlik. Det kan emellertid vara svårt för såväl den registrerade som den personuppgiftsansvarige att skilja på samtycke som utgör rättslig grund för behandling av personuppgifter och integritetshöjande samtycke. Datainspektionen anser därför att lag- stiftaren bör överväga om inte ett annat ord bör införas för det integritets- höjande samtycket såsom exempelvis godkännande. Oavsett vilket ord som används är det viktigt att det tydliggörs vilken form av samtycke som lagstiftaren avser.

Det finns dock inte något krav enligt dataskyddsförordningen på att sådana samtycken som i registerförfattningar har föreskrivits såsom en integritetshöjande åtgärd och inte som en rättslig grund för att över huvud taget få behandla personuppgifter ska omfattas av de eventuellt skärpta kraven på samtycke. Socialdataskyddsutredningen har övervägt att använda ett annat ord, exempelvis godkännande för ett sådant samtycke som utgör en form av skyddsåtgärd. Utredningen ser dock flera nackdelar med att införa ett nytt begrepp. Ordet samtycke är inarbetat och används för att uttrycka integritetshöjande åtgärder i flera register- författningar.

Regeringen anser att ett införande av ett annat ord än samtycke inte skulle underlätta för dem som ska tillämpa sådana författningar. Vidare anser regeringen att det i vissa fall skulle kunna uppfattas såsom en försvagning av vikten av den enskildes inställning. Inom hälso- och sjukvården används ordet samtycke i t.ex. 4 kap. patientlagen (2014:821) och i 16 kap. 4 § hälso- och sjukvårdslagen (2017:30). Såsom Socialdata- skyddsutredningen framfört skulle det, om samtycke ersattes med något annat ord, bli otydligt om bestämmelsen om återkallelse av samtycke i artikel 7.3 i dataskyddsförordningen gäller. I lagen om biobanker i hälso- och sjukvården m.m. finns hänvisningar till andra bestämmelser om samtycke, varför en ändring av ordet samtycke inte bedöms vara lämplig i den författningen.

Överväganden

De bestämmelser om åtgärder eller skyddsåtgärder som finns i register- författningar är enligt regeringens bedömning sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskydds- förordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 6.1).

Vid behandling av känsliga personuppgifter som grundar sig på artikel 9.2 g (viktigt allmänt intresse), i (allmänt intresse på folkhälsoområdet) och j (arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) i dataskyddsförordningen krävs det åtgärder eller skyddsåtgärder enligt nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet. Bestämmelserna om sökbegränsningar eller andra skyddsåtgärder i registerförfattningar kan således vara inte bara tillåtna utan också nödvändiga såsom skyddsåtgärder vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser eller vid

Prop. 2017/18:171

141

Prop. 2017/18:171 begränsning av den registrerades rättigheter enligt artikel 23 i data- skyddsförordningen.

Sammanfattningsvis anser regeringen att bestämmelser i register- författningar som innehåller skyddsåtgärder inte behöver ändras med anledning av dataskyddsförordningen. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c och e (se avsnitt 4.1) eller om behandlingen av upp- gifterna grundar sig på artikel 9 g, i eller j eller artikel 10 i dataskydds- förordningen.

	6.10	Gallring och bevarande

	Regeringens bedömning: Bestämmelser i registerförfattningar om
	gallring och bevarande och bemyndiganden att meddela föreskrifter
	om bevarande behöver inte ändras i sak. Detta gäller under förutsätt-
	ning att den ursprungliga behandlingen grundar sig på en rättslig
	förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i
	myndighetsutövning enligt artikel 6.1 c eller e i EU:s dataskydds-
	förordning.
	Formuleringar i registerförfattningarna om bevarande av person-
	uppgifter för historiska, statistiska eller vetenskapliga ändamål bör
	ändras till att avse arkivändamål av allmänt intresse, vetenskapliga
	eller historiska forskningsändamål eller statistiska ändamål.

	Socialdataskyddsutredningens bedömning: Överensstämmer med
	regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens bedömning.
	Riksarkivet har inga synpunkter i fråga om betänkandets bedömning
	eftersom det inte föreslås några materiella förändringar i bestämmelser
	om gallring eller bevarande. En ståndpunkt som Riksarkivet under lång
	tid återkommit till är en för registerförfattningarna enhetlig begrepps-
	apparat som överensstämmer med förslag lämnade i betänkandet
	Myndighetsdatalag (SOU 2015:39). Där framhålls att begrepp som be-
	varande och gallring ska tolkas offentligt- och arkivrättsligt, medan be-
	grepp som behandling och utplåning ska tolkas dataskyddsrättsligt.
	Skälen för regeringens bedömning
	Arkivändamål av allmänt intresse, vetenskapliga eller historiska
	forskningsändamål eller statistiska ändamål
	I dataskyddsförordningen finns ett antal artiklar som särskilt rör person-
	uppgiftsbehandling för arkivändamål av allmänt intresse, vetenskapliga
	eller historiska forskningsändamål eller statistiska ändamål.
	Enligt artikel 5.1 b i dataskyddsförordningen gäller t.ex. att ytterligare
	behandling för arkivändamål av allmänt intresse, vetenskapliga eller
	historiska forskningsändamål eller statistiska ändamål i enlighet med
	artikel 89.1 inte ska anses vara oförenliga med de ursprungliga ända-
142	målen (ändamålsbegränsning).

I artikel 5.1 e i dataskyddsförordningen föreskrivs att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförord- ningen, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsmini- mering).

Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. Enligt artikel 9.2 j i dataskyddsförordningen får sådana uppgifter be- handlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grund- val av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål ska omfattas av lämpliga skydds- åtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymi- sering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål, får det enligt artikel 89.2 och 3 i dataskyddsförordningen före- skrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till tillgång (artikel 15), rätten till registerutdrag, rättelse (artikel 16), rätten till begränsning av behandling (artikel 18) och rätten till invändning mot behandling (artikel 21). Undantag får göras i den ut- sträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårt att uppfylla de särskilda ändamålen och sådana undan- tag krävs för att uppnå dessa ändamål. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på att den personuppgiftsansvarige ska underrätta mottagare av personupp- gifter om eventuella rättelser, raderingar eller begränsningar av behand- ling som skett (artikel 19) och rätten till dataportabilitet (artikel 20).

Prop. 2017/18:171

143

Prop. 2017/18:171

144

Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen

Regleringen i dataskyddsförordningen av gallring och bevarande skiljer sig något från motsvarande reglering i dataskyddsdirektivet. Dataskydds- direktivets reglering är inte lika utförlig och innehåller inget särskilt undantag för behandling av känsliga personuppgifter. Formuleringarna i dataskyddsförordningen och dataskyddsdirektivet är inte heller desamma. Enligt artikel 6.1 e i dataskyddsdirektivet ska medlemsstaterna föreskriva att personuppgifter förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare be- handlades. Medlemsstaterna ska enligt artikeln också vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.

Dataskyddsdirektivets bestämmelse har kommit till uttryck i 9 § första stycket i samt tredje och fjärde styckena personuppgiftslagen. Där framgår att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid, men inte längre än vad som behövs för dessa ändamål. För att uppfylla dataskyddsdirektivets krav på skyddsåtgärder anges att personuppgifter som behandlas för dessa ändamål bara får användas för att vidta åtgärder i fråga om den registrerade om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (prop. 1996/97:44 s. 63).

Enligt 8 § andra stycket personuppgiftslagen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar all- männa handlingar eller att arkivmaterial tas om hand av en arkivmyn- dighet. Det inkluderar även eventuella känsliga personuppgifter. Bestäm- melserna i 9 § första stycket i samt tredje och fjärde stycket personupp- giftslagen gäller därför inte vid en myndighets arkivering av allmänna handlingar utan har främst betydelse för enskilda arkiv. Gallring av allmänna handlingar styrs i stället av bestämmelser i arkivlagen (1990:782) samt i registerförfattningar, vars bestämmelser gäller före arkivlagen och arkivförordningen (1991:446). Detta framgår av 10 § arkivlagen och 14 § arkivförordningen. Regleringen kompletteras av myndighetsföreskrifter och myndighetsbeslut om gallring eller be- varande.

Regleringen i den föreslagna dataskyddslagen

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 14.1.3) att känsliga personuppgifter och personupp- gifter som rör lagöverträdelser får behandlas om behandlingen är nöd- vändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

Arkivlagen och andra föreskrifter om arkiv omfattar inte bara myndig- heter utan även t.ex. kommunala bolag och vissa andra utpekade enskilda organ. För dessa skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och regleringen i artikel 10 i dataskydds-

förordningen avseende behandlingen av personuppgifter som rör lagöver- Prop. 2017/18:171 trädelser. Dataskyddslagen bör därför även innehålla en bestämmelse

som, på motsvarande sätt som avseende känsliga personuppgifter, tillåter behandling av personuppgifter som rör lagöverträdelser, om behand- lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

I förslaget till dataskyddslag (3 kap. 6 §) anges att känsliga person- uppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Av förslaget till 3 kap. 8 § andra stycket dataskyddslagen följer att även andra än myndigheter får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning, (dvs. om lagöverträdelser), om behand- lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

Enligt förslaget till 4 kap. 1 § dataskyddslag ska personuppgifter som behandlas enbart för arkivändamål av allmänt intresse få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begräns- ning hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

I propositionen Ny dataskyddslag (avsnitt 14.2) redovisas förslag om bl.a. att känsliga personuppgifter får behandlas för statistiska ändamål, om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (se även 3 kap. 7 § förslag till dataskyddslag).

Överväganden när det gäller Socialdepartementets registerförfattningar

Huvudregeln enligt artikel 5.1 e i dataskyddsförordningen är att person- uppgifter inte får lagras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Huvudregeln har inte ändrats i förhållande till dataskyddsdirektivet, se artikel 6.1 e.

Bestämmelser i registerförfattningar som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är enligt regeringens bedömning sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförord- ningen när behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myn- dighetsutövning (artikel 6.1 e).

Om registerförfattningar innehåller bemyndiganden som ger regeringen eller den myndighet som regeringen bestämmer rätt att med- dela föreskrifter om att uppgifter får bevaras för en viss tid och för ett visst ändamål, berörs inte dessa av dataskyddsförordningen, eftersom de inte i sig föreskriver bevarande. Ett sådant bemyndigande får endast användas på ett sådant sätt som är tillåtet enligt dataskyddsförordningen.

145

Prop. 2017/18:171	Särskilda regler gäller enligt dataskyddsförordningen om personupp-
	gifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller
	historiska forskningsändamål eller statistiska ändamål.
	Om personuppgifter behandlas enbart för ovan angivna ändamål, får de
	lagras under längre perioder under förutsättning att de lämpliga tekniska
	och organisatoriska åtgärder som krävs enligt dataskyddsförordningen
	genomförs för att säkerställa den registrerades rättigheter och friheter. I
	artikel 89.1 i dataskyddsförordningen anges att skyddsåtgärderna ska
	säkerställa att tekniska och organisatoriska åtgärder har införts för att se
	till att särskilt principen om uppgiftsminimering iakttas (att personupp-
	gifterna är adekvata, relevanta och inte för omfattande i förhållande till
	de ändamål för vilka de behandlas). Vidare framgår av samma artikel att
	personuppgifter ska avidentifieras i den mån det är möjligt. Även enligt
	dataskyddsdirektivet ska medlemsstaterna vidta lämpliga skyddsåtgärder
	för de personuppgifter som lagras under längre perioder för historiska,
	statistiska eller vetenskapliga ändamål. Kravet på skyddsåtgärder är
	således inte nytt och principerna om uppgiftsminimering respektive
	avidentifiering finns även i dataskyddsdirektivet. Om registerförfatt-
	ningar innehåller bestämmelser om behandling av personuppgifter för
	historiska, statistiska eller vetenskapliga ändamål, får det mot bakgrund
	av detta enligt regeringens mening, i likhet med Socialdataskydds-
	utredningens bedömning, förutsättas att tillräckliga skyddsåtgärder redan
	framgår av registerförfattningarna eller de föreskrifter som medger be-
	varandet.
	Av artikel 9.2 j i dataskyddsförordningen framgår att känsliga person-
	uppgifter får behandlas för arkivändamål av allmänt intresse, veten-
	skapliga eller historiska forskningsändamål eller statistiska ändamål i
	enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av
	unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i
	proportion till det eftersträvade syftet, vara förenlig med det väsentliga
	innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga
	och särskilda åtgärder för att säkerställa den registrerades grundläggande
	rättigheter och intressen. Bestämmelsen är ny i förhållande till data-
	skyddsdirektivet och innebär att behandling av känsliga personuppgifter
	för nämnda ändamål förutsätter stöd i nationell rätt och bestämmelser om
	skyddsåtgärder. Som anges ovan föreslår regeringen i propositionen Ny
	dataskyddslag med stöd av den bestämmelsen att ett undantag avseende
	arkiverade personuppgifter ska införas i dataskyddslagen.
	I registerförfattningar finns det ibland bemyndiganden att meddela
	föreskrifter om bevarande av känsliga personuppgifter för dessa ändamål.
	Dessa bemyndiganden brukar avse att regeringen eller den myndighet
	som regeringen bestämmer meddelar föreskrifter om att personuppgifter
	får bevaras för historiska, statistiska eller vetenskapliga ändamål. Oavsett
	vad kravet på grundval i lagstiftningen i artikel 9.2 j i dataskyddsför-
	ordningen innebär kan sådana bemyndiganden kvarstå oförändrade. När
	föreskrifter om bevarande meddelas med stöd av bemyndigandena, måste
	dock föreskrifterna, i enlighet med artikel 9.2 j i dataskyddsförordningen,
	stå i proportion till det eftersträvade syftet och vara förenliga med det
	väsentliga innehållet i rätten till dataskydd samt, om så krävs, innehålla
	bestämmelser om skyddsåtgärder utöver dem som kan vara tillämpliga
146	enligt registerförfattningen.

Bestämmelser i registerförfattningar om gallring och bemyndiganden Prop. 2017/18:171 att meddela föreskrifter om bevarande för historiska, statistiska eller

vetenskapliga ändamål bedöms inte behöva ändras i sak under förut- sättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e).

Mot bakgrund av tolkningen att den ändrade formuleringen av historiska, statistiska eller vetenskapliga ändamål inte medför någon ändring i sak samt behovet av att fortsätta att anknyta till formuleringen i den generella dataskyddsregleringen, är det enligt Socialdataskyddsutred- ningen lämpligast att anpassa formuleringarna i registerförfattningarna till den som används i dataskyddsförordningen.

I propositionen Ny dataskyddslag (avsnitt 14.1.1) anför regeringen bl.a. följande. Begreppet arkivändamål av allmänt intresse definieras inte i dataskyddsförordningen. I dataskyddsdirektivet används i stället termen historiska ändamål. Det är oklart om någon skillnad i innebörd är avsedd. Den närmare innebörden av begreppet arkivändamål av allmänt intresse får därför klargöras i rättstillämpningen, särskilt i förhållande till begreppet historiska forskningsändamål som i dataskyddsförordningen ofta används i samma bestämmelser.

Regeringen anser att formuleringen i registerförfattningarna inom Socialdepartementets verksamhetsområde bör anpassas till den som används i EU:s dataskyddsförordning. Detta gäller bestämmelser i 7 kap. 10 § patientdatalagen (avsnitt 7.1.8) och 114 kap. 31 § socialförsäkrings- balken (avsnitt 7.5.9).

Riksarkivet anför att myndigheten under lång tid återkommit till frågan om en för registerförfattningarna enhetlig begreppsapparat som överens- stämmer med förslag lämnade i betänkandet Myndighetsdatalag (SOU 2015:39), där begrepp som bevarande och gallring ska tolkas offentligt- och arkivrättsligt, medan begrepp som behandling och utplåning ska tolkas dataskyddsrättsligt. Socialdataskyddsutredningen har till följd av sitt uppdrag inte haft anledning att utreda detta. Regeringen anser att det saknas förutsättningar att i detta lagstiftningsärende nu genomföra sådana ändringar av begrepp i registerförfattningar inom Socialdepartementets verksamhetsområde.

6.11Sanktioner

6.11.1Skadestånd

Regeringens bedömning: Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagens bestämmelser om skadestånd bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

147

Prop. 2017/18:171	Justitiekanslern tillstyrker utredningens förslag till ändringar i den del
	som berör skadestånd. För att det ska bli tydligt avseende vilka
	paragrafer 8 kap. 1 § i Dataskyddsutredningens förslag till dataskyddslag
	blir tillämpliga är det bra att det anges i vilken utsträckning de olika
	författningarna kompletterar dataskyddsförordningen.
	Sveriges advokatsamfund anser att reglernas komplexitet gör att den
	registrerade inte sällan kan komma i behov av juridisk vägledning, inte
	minst om det blir fråga om att föra en skadeståndstalan mot en person-
	uppgiftsansvarig myndighet angående en eventuell kränkning av den
	registrerades personliga integritet. Samtidigt ligger ersättningsbeloppen
	för skada och kränkning av den personliga integriteten på mycket blyg-
	samma nivåer enligt praxis. Möjligheten att driva skadeståndsfrågor i
	allmän domstol begränsas dessutom av reglerna om mål av mindre
	värden. Det kan befaras att skadeståndssanktionen i praktiken knappast
	kommer att få någon betydelse, vare sig som ett medel för att kompen-
	sera de registrerade eller som ett styrmedel mot de personuppgifts-
	ansvariga myndigheterna. Det är tveksamt om skadeståndstalan verkligen
	kommer att utgöra ett effektivt rättsmedel.
	Skälen för regeringens bedömning: I stället för särskilt utformade
	bestämmelser om skadestånd innehåller registerförfattningar ofta hän-
	visningar till personuppgiftslagens bestämmelser om skadestånd.
	Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige
	ska ersätta den registrerade för skada och kränkning av den personliga
	integriteten som en behandling av personuppgifter i strid med personupp-
	giftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det
	är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte
	berodde på honom eller henne. Bestämmelsen är utformad i enlighet med
	artikel 23 i dataskyddsdirektivet.
	I dataskyddsförordningen finns bestämmelser om ansvar och rätt till
	ersättning i artikel 82. Enligt artikel 82.1 i dataskyddsförordningen ska
	varje person som lidit materiell eller immateriell skada till följd av en
	överträdelse av dataskyddsförordningen ha rätt till ersättning från den
	personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna
	skadan. En nyhet är att även ett personuppgiftsbiträde kan bli
	skadeståndsskyldigt gentemot den registrerade. Varje personuppgifts-
	ansvarig som medverkat vid behandlingen ska ansvara för skada som
	orsakats av behandling som strider mot dataskyddsförordningen. Ett
	personuppgiftsbiträde ska ansvara för skada uppkommen till följd av
	behandlingen endast om denne inte har fullgjort de skyldigheter som
	specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i
	strid med den personuppgiftsansvariges lagenliga anvisningar.
	Begreppet skada bör enligt skäl 146 i dataskyddsförordningen tolkas
	brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut
	återspeglar dataskyddsförordningens mål. Vidare anges i samma skäl att
	behandling som strider mot dataskyddsförordningen omfattar även
	behandling som strider mot delegerade akter och genomförandeakter som
	antagits i enlighet med dataskyddsförordningen och medlemsstaternas
	nationella rätt med närmare specifikation av dataskyddsförordningens
	bestämmelser.
	Regeringen förtydligar detta i propositionen Ny dataskyddslag (prop.
148	2017/18:105 avsnitt 17.1.1) genom att i 7 kap. 1 § dataskyddslagen ange

att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska enligt artikel 82.3 i dataskyddsförordningen undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. Det finns i artikel 82.4 och 5 i dataskyddsförordningen bestämmelser om att skadeståndsansvaret är solidariskt om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde har medverkat vid samma behandling samt i artikel 82.6 i dataskyddsförordningen en bestämmelse om vilken domstol som är behörig att pröva en tvist om rätten till ersättning.

Till skillnad från vad som gäller enligt personuppgiftslagen är data- skyddsförordningen, inom sitt tillämpningsområde, direkt tillämplig även på sådan behandling av personuppgifter som omfattas av en register- författnings tillämpningsområde, och det behövs av den anledningen ingen hänvisning till dess bestämmelser. Dessutom föreslås som nämnts att det i dataskyddslagen ska finnas en hänvisning till dataskyddsförord- ningens skadeståndsbestämmelse, som omfattar alla författningar som kompletterar dataskyddsförordningen. Den hänvisningen kan inte anses avse annat än skada som uppkommer vid sådan behandling av person- uppgifter som omfattas av dataskyddsförordningen.

I den utsträckning en författning har bestämmelser om både sådan behandling och annat, blir således inte överträdelser av dessa andra bestämmelser förknippade med skadeståndsskyldighet enligt dataskydds- regleringen.

Några registerförfattningar inom Socialdepartementets verksamhets- område – patientdatalagen (2008:355) och 114 kap. socialförsäkrings- balken – omfattar i tillämpliga delar behandling av uppgifter om avlidna personer, som inte omfattas av dataskyddsförordningen (se skäl 27 i data- skyddsförordningen) eller den föreslagna dataskyddslagen. Bestämmel- serna om skadestånd i dessa författningar är dock inte tillämpliga vid behandling av uppgifter om avlidna personer, och dataskyddsreglering- ens skadeståndsbestämmelser kommer som framgått inte heller att gälla vid sådan behandling när dataskyddsförordningen börjar tillämpas.

Regeringen föreslår i propositionen Ny dataskyddslag i 1 kap. 2 § data- skyddslagen att bestämmelserna i EU:s dataskyddsförordning, i den ur- sprungliga lydelsen, och dataskyddslagen ska gälla även vid behandling av personuppgifter som utgör led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (dvs. verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken), dock med undantag för en del lagar. Den bestämmelsen, jämte hänvisningen till be- stämmelsen om skadestånd i dataskyddsförordningen, får anses innebära att även brott mot bestämmelser i en registerförfattning om sådan be- handling av personuppgifter som faller utanför dataskyddsförordningens tillämpningsområde men som genom den föreslagna bestämmelsen i dataskyddslagen ändå ska omfattas av dataskyddsförordningen, kan för- anleda skadestånd. Överträdelser av bestämmelser som avser sådan behandling som i och för sig omfattas av dataskyddsförordningen, men där rättigheterna går utöver vad som krävs enligt dataskyddsförord- ningen, kan också föranleda rätt till skadestånd enligt artikel 82 i data-

Prop. 2017/18:171

149

Prop. 2017/18:171 skyddsförordningen. Det handlar t.ex. om överträdelser av bestämmelser om information, där kraven på den information som ska lämnas går ut- över vad som krävs enligt dataskyddsförordningen.

Det saknas skäl att i registerförfattningar särskilt reglera vad som gäller i fråga om skadestånd vid behandling av personuppgifter.

Bestämmelser i registerförfattningar inom Socialdepartementets verk- samhetsområde som innehåller hänvisningar till personuppgiftslagens bestämmelser om skadestånd bör upphävas. Detta gäller bestämmelser i 10 kap. 1 § patientdatalagen (avsnitt 7.1.10), 15 § apoteksdatalagen (avsnitt 7.2.5), 20 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel (avsnitt 7.3.4), 9 § lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 7.4.4), 114 kap. 33 § socialförsäkringsbalken (avsnitt 7.5.11), 24 § lagen om receptregister (avsnitt 7.7.6), 13 § lagen om läkemedelsförteckning (avsnitt 7.8.6), 11 § lagen om hälsodataregister (avsnitt 7.9.2), 12 § lagen om register över nationella vaccinationsprogram (avsnitt 7.10.3), 6 kap. 2 § lagen om bio- banker i hälso- och sjukvården m.m. (avsnitt 7.11.3), 21 § lagen om blodsäkerhet (avsnitt 7.13.2), 26 § lagen om kvalitets- och säkerhets- normer vid hantering av mänskliga vävnader och celler (avsnitt 7.14.2), 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ (avsnitt 7.15.2) och 13 kap. 5 § alkohollagen (avsnitt 7.17.1).

6.11.2Administrativa sanktionsavgifter

Regeringens bedömning: EU:s dataskyddsförordning medför inget behov av nya bestämmelser om administrativa sanktionsavgifter i registerförfattningar.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning

Tillsynsmyndigheten kan som en av sina befogenheter enligt artikel 58.1–3 i dataskyddsförordningen påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter i enlighet med artikel 83 vid överträdelser av olika bestämmelser i dataskyddsförord- ningen. Detta är en ny möjlighet som införs i och med att dataskydds- förordningen ska börja tillämpas.

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 16) att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller vid tillsyn över att bestämmelserna i lagen och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs (6 kap. 1 § dataskyddslagen).

Tillsynsmyndigheten kommer att på det sätt som krävs enligt data- skyddsförordningen kunna utfärda administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen även inom registerförfattningar-

150

nas tillämpningsområden utan att det behövs särskilda bestämmelser om det i dessa författningar.

Enligt artikel 83.2 i dataskyddsförordningen ska administrativa sank- tionsavgifter, beroende av omständigheterna i det enskilda fallet, påföras utöver eller i stället för sådana åtgärder som tillsynsmyndigheten i övrigt kan vidta i form av varningar, reprimander, förlägganden, förbud etc. Olika faktorer, däribland överträdelsens karaktär, svårighetsgrad, var- aktighet, omfattning och syfte, ska beaktas både vid beslut om huruvida administrativa sanktionsavgifter ska påföras och när avgifternas belopp ska fastställas.

Överträdelser av bestämmelser i dataskyddsförordningen som kan föranleda administrativa sanktionsavgifter är kategoriserade utifrån olika svårighetsgrad. För vissa mindre allvarliga överträdelser gäller ett maxbelopp på 10 000 000 euro eller 2 procent av den globala årsom- sättningen om det gäller ett företag. För allvarligare överträdelser före- skrivs i stället ett maxbelopp på 20 000 000 euro eller 4 procent av den globala årsomsättningen.

Uppräkningen i artikel 83 i dataskyddsförordningen är uttömmande. Tillsynsmyndighetens befogenhet enligt artikel 58.2 i att ta ut admini- strativa sanktionsavgifter är begränsad till de överträdelser som anges i artikel 83. Av den artikeln framgår att sanktionsavgifter kan tas ut vid överträdelser av vissa artiklar i förordningen samt av nationella be- stämmelser som antagits på grundval av kapitel IX i dataskyddsförord- ningen. Med stöd av kapitel IX kan medlemsstaterna anta bestämmelser om t.ex. behandling av nationella identifikationsnummer (artikel 87) och behandling i anställningsförhållanden (artikel 88). Vid en överträdelse av nationella bestämmelser som inte har antagits på grundval av kapitel IX och som inte samtidigt utgör en överträdelse av dataskyddsförordningens bestämmelser, kan sanktionsavgifter således inte tas ut med stöd av bestämmelsen.

En överträdelse av en bestämmelse i nationell lagstiftning som sam- tidigt innebär en överträdelse av dataskyddsförordningens bestämmelser för vilken sanktionsavgift kan påföras med stöd av artikel 83 i data- skyddsförordningen omfattas av möjligheten att påföra administrativa sanktionsavgifter.

Vid överträdelse av flera olika bestämmelser får den administrativa sanktionsavgiftens totala belopp enligt artikel 83.3 i dataskyddsförord- ningen inte överstiga det belopp som fastställs för den allvarligaste över- trädelsen.

Medlemsstaterna har i artikel 83.7 i dataskyddsförordningen getts möjlighet att själva avgöra om och i vilken utsträckning administrativa sanktionsavgifter ska kunna påföras offentliga myndigheter och organ som är inrättade i medlemsstaterna.

Regeringen föreslår i propositionen Ny dataskyddslag (avsnitt 16.2) att sanktionsavgifter får tas ut av statliga och kommunala myndigheter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas (se vidare 6 kap. 2– 3 §§ dataskyddslagen).

Prop. 2017/18:171

151

Prop. 2017/18:171 Medlemsstaternas skyldigheter att fastställa andra sanktioner för överträdelser

Enligt artikel 84 i förordningen ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för sådana som inte är föremål för administrativa sanktionsavgifter. Sanktionerna ska enligt artikeln vara effektiva, proportionella och avskräckande. I skäl 152 anges att medlemsstaterna bör genomföra ett system med effektiva, proportionella och avskräckande sanktioner om förordningen inte harmoniserar administrativa sanktioner eller om det är nödvändigt i andra fall. Det anges också i nämnda skäl att det ska fastställas om sank- tionerna ska vara av straffrättslig eller administrativ art.

I skäl 149 anges att medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder och möjligheter att förverka den vinning som gjorts vid överträdelser av förordningen. Där erinras också om att utdömandet av sådana påföljder och administrativa sanktioner inte bör medföra ett åsidosättande av dubbelprövningsförbudet enligt EU-dom- stolens tolkning.

De sanktionsverktyg som normalt står till buds för staten är främst straff och sanktionsavgifter samt vite och återkallelse av tillstånd. För- ordningen föreskriver dock inte något sådant tillståndsförfarande som gör att återkallelse kan användas som sanktion.

Regeringen föreslår i propositionen Ny dataskyddslag (avsnitt 16.3.3) att sanktionsavgifter enligt dataskyddsförordningen ska få tas ut även vid överträdelser av förordningens bestämmelser om behandling av person- uppgifter som rör lagöverträdelser och att avgiftens storlek ska bestämmas inom ramen för den högre beloppsgräns som gäller för över- trädelser av bl.a. bestämmelserna om känsliga personuppgifter.

Regeringen bedömer dock att överträdelser av dataskyddsförordningen inte bör vara straffsanktionerade och att någon möjlighet för tillsyns- myndigheten att förena sina förelägganden med vite inte bör införas (propositionen Ny dataskyddslag, avsnitt 16.3.2). I detta lagstiftnings- ärende finns inte anledning att göra annan bedömning.

6.12Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

Regeringens bedömning: Bestämmelser om överklagande i regi- sterförfattningar som enbart avser beslut om behandling av person- uppgifter bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer delvis med regeringens. Utredningen föreslår att överklagandebestämmelser som utöver beslut om behandling av personuppgifter även avser andra beslut, ändras på så sätt att bestämmelser om överklagande av beslut om behandling av personuppgifter ersätts med en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

152

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: Regeringen föreslår i proposi- tionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 17.5) att beslut enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen). Andra beslut enligt EU:s dataskyddsförordning eller dataskyddslagen än de som avses i 2–4 §§ dataskyddslagen får inte överklagas (7 kap. 5 § dataskyddslagen).

Av propositionen Ny dataskyddslag (avsnitt 17.1.2) framgår bl.a. följande. Om den personuppgiftsansvarige är en myndighet får enligt gällande rätt vissa av de beslut som myndigheten fattar i denna egenskap överklagas till allmän förvaltningsdomstol (52 § personuppgiftslagen). Denna rätt gäller endast myndighetens beslut om information enligt 26 § personuppgiftslagen, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Bestämmelsen har inte sin grund i dataskyddsdirektivet, utan motiveras av allmänna förvaltningsrättsliga principer om att förvaltningsbeslut som direkt berör en enskild person ska kunna överprövas av domstol (prop. 2005/06:173 s. 51–53). När den personuppgiftsansvarige är en myndighet kan vissa beslut som meddelas till följd av en begäran av en registrerad anses vara ett utflöde av myndighetens myndighetsutövning. Dataskyddslagen bör därför, i likhet med personuppgiftslagen, förses med en uttrycklig bestämmelse om att vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten. Regeringen anser att beslut från regeringen, Riksdagens ombudsmän och de högsta domstolarna ska undantas från rätten att överklaga. Rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen. De bestämmelser som kan föranleda överklagbara beslut rör enligt Dataskyddsutredningens bedömning infor- mation (artikel 12.5), registerutdrag m.m. (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21). I vissa fall skulle även bestämmelsen om dataportabilitet i artikel 20 kunna föranleda beslut av en personupp- giftsansvarig myndighet och bör därför av tydlighetsskäl också anges i den föreslagna bestämmelsen om överklagande. Angående om bestäm- melserna om information i artiklarna 14.5 b–d och om automatiserade beslut i artikel 22 bör omfattas av rätten att överklaga kan regeringen konstatera att rätten till information inte omfattas av överklagande- bestämmelsen i 52 § personuppgiftslagen och att det inte finns skäl att nu införa en annan ordning. När det gäller automatiserade beslut innehåller 52 § personuppgiftslagen visserligen en hänvisning till 29 § andra stycket personuppgiftslagen, som anger att den registrerade har rätt att på begäran få information om vad som har styrt den automatiserade behandling som lett fram till beslutet. Någon sådan rätt till information finns emellertid inte enligt artikel 22 i dataskyddsförordningen. Följakt-

Prop. 2017/18:171

153

Prop. 2017/18:171 ligen bör någon rätt att överklaga beslut enligt artikel 22 inte införas i dataskyddslagen.

Dataskyddslagen kommer att gälla om inte annat följer av registerför- fattningarna eller föreskrifter som har meddelats i anslutning till register- författningarna. Det innebär att under förutsättning att det inte finns avvikande bestämmelser i registerförfattningarna, kommer bestämmel- serna i dataskyddslagen om överklagande av personuppgiftsansvariga myndigheters beslut att vara tillämpliga även inom registerför- fattningarnas tillämpningsområde, på samma sätt som personuppgifts- lagens bestämmelser är i dag.

Regeringen anser att det inte finns något skäl att reglera överklagande- möjligheten på annat sätt än vad som kommer att följa av dataskydds- lagen. Det finns inte behov av särskilda bestämmelser om överklagande i registerförfattningarna. Befintliga bestämmelser om att beslut om rättelse och information enligt 26 § personuppgiftslagen kan överklagas bör därför upphävas i de olika registerförfattningarna.

Vissa författningar innehåller dock även bestämmelser om över- klagande av andra beslut än beslut om behandling av personuppgifter. Till skillnad mot vad Socialdataskyddsutredningen bedömer anser regeringen att det i sådana författningar inte behöver införas en bestäm- melse som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av personuppgifter i den föreslagna dataskydds- lagen. Vid behandling av personuppgifter enligt registerförfattningarna finns bestämmelser som anger att den generella lagen gäller och däri finns bl.a. bestämmelser om överklagande.

Detta gäller bestämmelser i 10 kap. 2 § tredje stycket patientdatalagen (avsnitt 7.1.11), 10 § lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 7.4.5), 114 kap. 36 § socialförsäkringsbalken (avsnitt 7.5.12) och 6 kap. 7 § lagen om biobanker i hälso- och sjuk- vården m.m. (avsnitt 7.11.5).

7Särskilda överväganden och förslag som rör lagar inom Socialdepartementets verksamhetsområde

7.1Patientdatalagen (2008:355)

7.1.1Lagens tillämpningsområde

Regeringens förslag: Patientdatalagen gäller inte vid sådan behand- ling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i EU:s dataskyddsförordning.

Regeringens bedömning: Någon ändring av patientdatalagens tillämpningsområde föranleds inte av EU:s dataskyddsförordning.

	Socialdataskyddsutredningens	förslag och bedömning: Överens-
154	stämmer delvis med regeringens.	Utredningen föreslår att patientdata-

lagen kompletteras med en bestämmelse som innebär att vissa bestäm- melser i lagen inte ska tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen lämnar dock inte något förslag till vilka bestämmelser som inte ska tillämpas, utan förslaget ska ses som en markering av att det i det fortsatta lagstiftningsarbetet bör övervägas vilken anpassning av patientdatalagen som krävs med anledning av det nya dataskyddsdirektivet. Utredningen föreslår också att den föreslagna brottsdatalagen ska gälla inom rättspsykiatrisk vård i stället för data- skyddsförordningen, om inte annat följer av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Datainspektionen framför att det inom hälso- och sjukvården finns delar av verksamheten som utgör verkställighet av påföljder inom rätts- väsendet. Den personuppgiftsbehandling som utförs för dessa ändamål omfattas inte av dataskyddsförordningen utan i stället av ett direktiv, som i Sverige har föreslagits implementeras genom en brottsdatalag.

Socialstyrelsen anser att det är väsentligt att en sammanhållen reglering motsvarande patientdatalagen fortsatt kan gälla för all hälso- och sjuk- vård oavsett om grunden för vården är frivillig vård, vård enligt lagen om psykiatrisk tvångsvård eller vård enligt lagen om rättspsykiatrisk vård.

Rättsmedicinalverket delar utredningens bedömning att patientdata- lagen bör fortsätta att gälla vid behandling av personuppgifter inom rätts- psykiatrisk vård och att den föreslagna brottsdatalagen ska komplettera patientdatalagen vid sådan personuppgiftsbehandling. Rättsmedicinal- verket vill dock lyfta fram att utredningens resonemang vad gäller den hälso- och sjukvård som tillhandahålls av Kriminalvården och Statens institutionsstyrelse också blir relevant för delar av den hälso- och sjuk- vård som Rättsmedicinalverket tillhandahåller inom ramen för den rätts- psykiatriska verksamheten. Det förekommer att Rättsmedicinalverket ger vård både enligt lagen om rättspsykiatrisk vård och enligt hälso- och sjukvårdslagen till frihetsberövade personer som är intagna på en rättspsykiatrisk undersökningsenhet.

Sveriges Kommuner och Landsting, Örebro läns landsting ställer sig bakom utredningens förslag att patientdatalagen ska gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rätts- psykiatrisk vård. Det behövs klargöras vilka bestämmelser i patientdata- lagen som inte ska gälla vid behandling av personuppgifter inom rätts- psykiatrisk vård och vilka övriga anpassningar som behövs.

Sveriges advokatsamfund förutsätter att den föreslagna lagtexten kommer att kompletteras vad gäller förslaget till lag om ändring i 1 kap. 1 § patientdatalagen där det angetts att undantag för behandling av personuppgifter inom rättspsykiatrisk vård ska gälla, men inte i vilka avseenden undantagen ska gälla för sådan behandling.

Inera AB delar utredningens bedömning att patientdatalagen i huvud- sak får anses förenlig med dataskyddsförordningens bestämmelser och därför inte behöver bli föremål för några ingripande förändringar.

Uppsala läns landsting kan inte tillstyrka förslaget. Personuppgiftsbe- handlingen i den psykiatriska vården kommer att regleras av dataskydds- förordningen, dataskyddslagen, patientdatalagen. Den personuppgiftsbe- handling som sker inom den rättspsykiatriska vården kommer emellertid

Prop. 2017/18:171

155

Prop. 2017/18:171 att styras av brottsdatalagen och delar av patientdatalagen, dock att det är oklar vilka delar som avses. Olika lagstiftningar kommer att gälla för personuppgiftsbehandling på en och samma avdelning beroende på om patienten är dömd till vård eller inte, vilket medför att lagstiftningen blir svår att tillämpa.

Skälen för regeringens förslag och bedömning

Patientdatalagens tillämpningsområde behöver inte ändras till följd av dataskyddsförordningen

Patientdatalagen ska tillämpas vid vårdgivares behandling av person- uppgifter inom hälso- och sjukvården (1 kap. 1 §). Lagen är tillämplig hos såväl offentliga vårdgivare, dvs. statliga myndigheter, landsting och kommuner, som privata vårdgivare, dvs. andra juridiska personer eller enskilda näringsidkare som bedriver hälso- och sjukvård.

Dataskyddsförordningen föranleder inte någon ändring av patientdata- lagens tillämpningsområde.

Patientdatalagen ska inte tillämpas för behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning

Dataskyddsförordningen är inte tillämplig på behandling av personupp- gifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, se artikel 2.2 d i dataskyddsförordningen. Sådan behandling omfattas av den brottsdatalag som föreslås i lagrådsremissen Brottsdatalag. Behand- ling av personuppgifter för syften som ska regleras i den föreslagna brottsdatalagen kan förekomma inom patientdatalagens tillämpnings- område, t.ex. i den rättspsykiatriska vården. Patientdatalagen kommer i dessa fall inte att kompletteras av dataskyddsförordningen utan av den föreslagna brottsdatalagen.

Socialdataskyddsutredningen föreslår att vissa bestämmelser i patient- datalagen inte ska tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen lämnar dock inte något förslag till vilka bestämmelser som skulle undantas på detta sätt, utan utredningens förslag är en markering att det i det fortsatta lagstiftningsarbetet bör över- vägas vilken anpassning av patientdatalagen som krävs med anledning av det nya dataskyddsdirektivet. Socialdataskyddsutredningen föreslår ock- så att inom den rättspsykiatriska vården ska brottsdatalagen gälla om inte annat skulle följa av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen. Mot bakgrund av beredningsläget (dvs. till- räckligt underlag saknas i fråga om anpassningar av patientdatalagen till följd av nämnda direktiv och dess implementering genom brottsdata- lagen) är det inte möjligt att föreslå en sådan reglering som Socialdata- skyddsutredningen tar upp.

Regeringen håller med Socialdataskyddsutredningen om att patient- datalagen, på samma sätt som vid annan hälso- och sjukvård, bör fort- sätta att gälla vid behandling av personuppgifter inom den rättspsykia- triska vården, och håller med Socialstyrelsen om att det är väsentligt att en sammanhållen reglering motsvarande patientdatalagen fortsatt kan

gälla för all hälso- och sjukvård oavsett grunden för vården. Regeringen

156

anser att detta behövs för hälso- och sjukvårdens syften och ändamål, se t.ex. 2 kap. 4–5 §§ patientdatalagen.

I lagrådsremissen föreslogs att patientdatalagen inte gäller vid behand- ling av personuppgifter i vårdgivares verksamhet som omfattas av brotts- datalagens tillämpningsområde.

Lagrådet framför att eftersom någon lagrådsremiss med förslag till brottsdatalag ännu inte föreligger kan Lagrådet inte ta ställning till för- slaget.

Regeringen anser att förslaget till ändring i patientdatalagen i stället lämpligen kan utformas på ett sätt som anknyter till det materiella tillämpningsområdet för dataskyddsförordningen. Av artikel 2.2 d i data- skyddsförordningen följer att förordningen inte ska tillämpas på be- handling av personuppgifter som behöriga myndigheter utför i syfte att bl.a. förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder. Regeringen föreslår därför att det i 1 kap. 1 § patientdatalagen införs en bestämmelse om att lagen inte gäller vid sådan behandling som avses i artikel 2.2 d i EU:s dataskyddsförordning. Liksom i övergångsbestämmelserna i förslaget till dataskyddslag, se propositionen Ny dataskyddslag (prop. 2017/18:105), bör det framgå att det är artikel 2.2 d i den ursprungliga lydelsen som avses, dvs. en statisk hänvisning. I annat fall kan en framtida ändring av artikel 2.2 d få till följd att viss behandling personuppgiftsbehandling, under en övergångs- period, inte kommer att omfattas av någon författning alls.

Behandling av personuppgifter som avses i artikel 2.2 d i dataskydds- förordningen kommer därmed inte att omfattas av patientdatalagen utan av den kommande brottsdatalagen som föreslås träda i kraft den 1 augusti 2018.

I verksamheter som bedriver hälso- och sjukvård bedöms regleringen i den föreslagna brottsdatalagen främst komma att aktualiseras vid be- handling av personuppgifter som rör verkställigheten av påföljder. Inom rättspsykiatrisk vård kan det handla om t.ex. beslut om den rätts- psykiatriska vården och om tvångsåtgärder som fattas av chefsöver- läkaren.

När det gäller behandling av personuppgifter för hälso- och sjuk- vårdens syften omfattas sådan personuppgiftsbehandling inte av den föreslagna brottsdatalagen. Personuppgiftsbehandlingen regleras i stället av dataskyddsförordningen och av de kompletterande bestämmelserna som finns i dataskyddslagen och den sektorsspecifika patientdatalagen. Den omständigheten att t.ex. rättspsykiatrisk vård avser såväl verk- ställigheten av påföljder som hälso- och sjukvård medför att det kan förekomma fall där det finns vissa svårigheter att avgöra vilken rättslig reglering som ska tillämpas. För det fall fråga uppkommer om vilken reglering som är tillämplig kan vägledning hämtas i lagrådsremissen (och den kommande propositionen) Brottsdatalag och delbetänkandet SOU 2017:29. Har behandlingen flera syften kan de olika regelverken vara tillämpliga parallellt. Regeringen anser därför att det inte finns behov av att ha särskilda bestämmelser som reglerar behandling av personupp- gifter inom rättspsykiatrisk vård.

Prop. 2017/18:171

157

Prop. 2017/18:171 7.1.2

Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 1 kap. 4 § patientdatalagen ska innehålla en upplysning om att lagen kompletterar EU:s dataskydds- förordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av patientdatalagen eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår att inom rättspsykiatrisk vård ska i stället den föreslagna brottsdatalagen gälla om inte annat följer av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen.

Remissinstanserna: Socialstyrelsen vill betona vikten av att gräns- dragningen mellan den föreslagna brottsdatalagen och patientdatalagen tydliggörs och att dubbelreglering undviks när det gäller behandling av personuppgifter inom den rättspsykiatriska vården.

Örebro läns landsting vill framhålla att det är av stor vikt att det i det fortsatta lagstiftningsarbetet så snart som möjligt klargörs vilka bestäm- melser i patientdatalagen som inte ska tillämpas. Uppsala läns landsting anför att olika lagstiftning kommer att gälla för personuppgiftsbehand- ling på en och samma avdelning beroende på om patienten är dömd till vård eller inte, vilket medför att lagstiftningen blir svår att tillämpa. Till detta kommer att det är oklart vilka regler i patientdatalagen som blir tillämpliga på personuppgiftsbehandlingen inom den rättspsykiatriska vården. Landstinget kan inte tillstyrka förslaget.

Statens institutionsstyrelse vill framhålla att komplexiteten i den nya reglering som föreslås till följd av dataskyddsförordningen väsentligen ökar eftersom regleringen innebär att personuppgifter i samma journal- föringssystem kommer att omfattas av olika regelverk, vilket inte varit fallet tidigare.

Rättsmedicinalverket framhåller vikten av att förhållandet mellan de olika EU-rättsakterna och svensk lagstiftning inom detta område klargörs i det fortsatta lagstiftningsarbetet. Sveriges Kommuner och Landsting understryker att det är av stor vikt att det i det fortsatta lagstiftnings- arbetet så snart som möjligt klargörs vilka bestämmelser i patientdata-

	lagen som inte ska tillämpas vid rättspsykiatrisk vård.
	Skälen för regeringens förslag
	Förhållandet till dataskyddsförordningen och den föreslagna
	dataskyddslagen
	Enligt 1 kap. 4 § patientdatalagen gäller personuppgiftslagen vid sådan
	behandling av personuppgifter inom hälso- och sjukvården som är helt
	eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att
	ingå i en strukturerad samling av personuppgifter som är tillgängliga för
	sökning eller sammanställning enligt särskilda kriterier, om inte annat
	följer av patientdatalagen eller föreskrifter som har meddelats med stöd
158	av den lagen.

Som anges i avsnitt 6.3 bör även en upplysningsbestämmelse om att Prop. 2017/18:171 patientdatalagen kompletterar dataskyddsförordningen tas in i lagen.

Regeringen föreslår att 1 kap. 4 § patientdatalagen ska innehålla en upp- lysning om att patientdatalagen kompletterar dataskyddsförordningen.

Vidare bör, som anges i avsnitt 6.3, registerförfattningarna alltjämt gälla utöver den nationella generella regleringen. I patientdatalagen ska förhållandet till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen liksom i dag endast regleras för automatiserad behandling eller sådan manuell behandling där uppgifterna ingår i eller är avsedda att ingå i ett register.

Förhållandet till den föreslagna brottsdatalagen

Flera remissinstanser efterfrågar klargöranden om förhållandet mellan patientdatalagen och den föreslagna brottsdatalagen. Enligt 1 kap. 1 § tillämpas patientdatalagen vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. I förarbetena till lagen benämns tillämpningsom- rådet som vårdgivarnas kärnverksamhet och anges omfatta den individ- inriktade patientvården inom hälso- och sjukvården (prop. 2007/08:126 s. 48 f.). I 2 kap. 4–5 §§ patientdatalagen anges ändamål som personupp- gifter får behandlas för.

I avsnitt 7.1.1 föreslår regeringen att patientdatalagen inte ska gälla vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, dvs. behandling av personuppgifter som behöriga myndigheter utför i syfte att bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrätts- liga påföljder. I den mån behandling av personuppgifter som i dag om- fattas av patientdatalagen utförs för sådana syften kommer patientdata- lagen inte att gälla. Har behandlingen flera olika syften kan olika regel- verk vara tillämpliga parallellt för respektive syfte.

Aktörer som bedriver verksamhet behöver noga överväga för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.

Regeringen föreslår därför inte en sådan reglering av förhållandet till brottsdatalagen som Socialdataskyddsutredningen föreslår.

7.1.3Samtycke som grund för behandlingen

Regeringens bedömning: Bestämmelsen i 2 kap. 3 § patientdatalagen om att den registrerades samtycke kan utgöra grund för behandling av personuppgifter kan behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

den situation den registrerade befinner sig i förhållande till den person-

159

Prop. 2017/18:171 uppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de person- uppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Det saknas sådana överväganden. Avseende 2 kap. 3 § patientdatalagen anges att enligt den bedömning utredningen har gjort i visst avsnitt behöver någon ny avvägning angående huruvida det är lämpligt att grunda en be- handling av personuppgifter på samtycke inte göras. Någon kommentar gällande privata vårdgivare görs inte.

Skälen för regeringens bedömning: Som anges i avsnitt 6.5.2 före- kommer det att myndigheter och enskilda tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i för- fattningen angivna. En sådan regel finns i 2 kap. 3 § första stycket patientdatalagen, se prop. 2007/08:126 s. 227. Enligt den bedömning som redovisas i samma avsnitt kan sådana bestämmelser behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av förordningen i nationell rätt. Regeringen delar därför inte Datainspek- tionens bedömning att ytterligare analys är nödvändig.

7.1.4Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagen i 2 kap. 5 § andra meningen patientdatalagen tas bort. I stället införs en be- stämmelse där det anges att personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 2 kap. 5 § patientdatalagen hänvisas till 9 § första stycket d och andra stycket personuppgiftslagen, vilket innebär att den s.k. finalitetsprincipen gäller vid behandling enligt patientdatalagen. Hänvisningen syftar till att klargöra att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Hänvis- ningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Eftersom personuppgiftslagen kommer att upphävas, måste hänvis- ningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 6.5.3.

160

7.1.5	Personuppgifter som får behandlas i fråga om	Prop. 2017/18:171
	uppgifter om lagöverträdelser

Regeringens förslag: Hänvisningen till personuppgiftslagen i 2 kap. 7 § patientdatalagen tas bort. I stället ska det uttryckligen anges vilka uppgifter om lagöverträdelser som får behandlas. Dessa ska vara samma som i dag, dvs. personuppgifter om lagöverträdelser som inne- fattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelser i registerförfattningar som tillåter enskilda och myndigheter att behandla uppgifter om lagöver- trädelser kan och bör behållas, se avsnitt 6.7. Som också framgår av det avsnittet kan begränsningar av möjligheten att behandla uppgifter om friande brottmålsdomar och administrativa frihetsberövanden behållas för myndigheter och enskilda eftersom behandlingen inom patientdata- lagens tillämpningsområde grundar sig på artikel 6.1 c och e (rättslig för- pliktelse och allmänt intresse) i dataskyddsförordningen. Bestämmelsen i patientdatalagen bör därför omfatta samma uppgifter som i dag, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brott- mål, straffprocessuella tvångsmedel och administrativa frihetsberövan- den. Eftersom personuppgiftslagen kommer att upphöra, bör det anges i bestämmelsen vilka uppgifter det rör sig om.

7.1.6Känsliga personuppgifter

Regeringens förslag: Patientdatalagen kompletteras med en bestäm- melse som påminner om kravet enligt artikel 9.3 i EU:s dataskydds- förordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Regeringens bedömning: Behandling av känsliga personuppgifter inom patientdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i patientdatalagen.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Örebro läns landsting befarar att underbiträden och leverantörer inom e-hälsa inte lagligen kommer att få behandla personuppgifter utan att en lagstadgad tystnadsplikt gäller för deras behandling. Det behöver skynd- samt utredas om formuleringen i artikel 9.3 i dataskyddsförordningen innebär att det är tillräckligt att den personuppgiftsansvarige omfattas av

en lagreglerad tystnadsplikt eller om kravet även gäller personuppgifts-

161

Prop. 2017/18:171 biträden som utför personuppgiftsbehandling för den personuppgifts- ansvariges räkning. Om en sådan analys skulle visa att kravet även gäller sådana personuppgiftsbiträden måste det införas en lagstadgad tystnads- plikt för dessa biträden i berörda registerförfattningar eller på annat lämpligt sätt. Exempelvis skulle det då kunna införs en lagstadgad tyst- nadsplikt för juridiska och fysiska personer som behandlar personupp- gifter för vårdgivarens räkning i patientdatalagen.

Skälen för regeringens förslag och bedömning

Påminnelse om tystnadsplikt

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen.

Behandling av känsliga personuppgifter, inklusive de nya kategorierna

Känsliga personuppgifter får behandlas med stöd av 2 kap. 4, 5 och 7 §§ patientdatalagen som anger att en vårdgivare endast får behandla sådana personuppgifter som behövs för vissa uppräknade ändamål. Den regleringen ersätter bestämmelsen om behandling av känsliga personupp- gifter i 18 § personuppgiftslagen.

I avsnitt 6.6.4 redogör regeringen för vad som omfattas av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regeringen gör mot bakgrund av vad som anges där bedömningen att den behandling som sker enligt patientdatalagen ryms inom de syften som nämns i artikel 9.2 h i dataskyddsförordningen. Patientdatalagens reglering bedöms således vara förenlig med dataskyddsförordningen och känsliga personuppgifter kan även fortsättningsvis ske med stöd av ända- målsbestämmelserna.

Som anges i avsnitt 6.6.6 anser regeringen att bestämmelser i särskilda registerförfattningar på Socialdepartementets område som tillåter be- handling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med dataskyddsförordningen. Vad gäller specifikt patientdatalagen noterar regeringen också att det i lagens förarbeten be- dömdes att det skulle innebära tillämpningsproblem att närmare specifi- cera vilka personuppgifter som får behandlas, inklusive känsliga person- uppgifter. Lagen utformades därför på det sättet att ändamålsbestäm-

162

ningen ska styra över vilka personuppgifter som får behandlas (prop. Prop. 2017/18:171 2007/08:26 s. 63).

7.1.7Sökbegränsningar

Regeringens förslag: Möjligheten att använda uppgifter om hälsa som sökbegrepp ska även avse sådana genetiska uppgifter och biomet- riska uppgifter för att entydigt identifiera en fysisk person och upp- gifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa. Hänvisningar till personuppgiftslagen i 2 kap. 8 § patient- datalagen ersätts med hänvisningar till 2 kap. 7 § respektive den före- slagna 7 a § till dataskyddslagen.

Regeringens bedömning: I övrigt kan och bör bestämmelserna om sökbegrepp behållas.

Socialdataskyddsutredningens förslag: Överensstämmer i stort med regeringens. I utredningens förslag användes formuleringen biometriska uppgifter, och inte hela formuleringen biometriska uppgifter för att entydigt identifiera en fysisk person.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: I 2 kap. 8 § patient- datalagen finns det ett förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. Som sökbegrepp får inte heller uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas. Vissa undantag från förbudet anges i bestämmelsen, bl.a. får uppgifter om hälsa användas som sökbegrepp, och regeringen får meddela föreskrifter om vissa ytterligare undantag.

Som anges i avsnitt 6.9.2 utgör sökbegränsningar skyddsåtgärder enligt dataskyddsförordningen. Bestämmelser om skyddsåtgärder är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behand- ling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c eller e i dataskyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i det avsnittet, inte ändras med anledning av dataskyddsförordningen.

Regeringen anser att sökbegränsningarna, i enlighet med bedömningen i avsnitt 6.7, bör avse samma uppgifter om lagöverträdelser som i dag.

När det gäller sökbegränsningar avseende känsliga personuppgifter är det, som anges i avsnitt 6.6.6, regeringens bedömning att dessa även bör omfatta de nytillkomna kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Bara om det är nöd- vändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. Som anges i avsnitt 6.6.6 kan kategorierna av känsliga personuppgifter i viss mån överlappa varandra. Genetiska uppgifter kan t.ex. avslöja en persons hälsotillstånd. Sådana uppgifter utgör i dag uppgifter om hälsa och är

163

Prop. 2017/18:171 således tillåtna som sökbegrepp enligt regleringen i 2 kap. 8 § patient- datalagen.

Regeringen anser att det är nödvändigt för en ändamålsenlig behand- ling av personuppgifter inom hälso- och sjukvården att sådana genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa, kan fortsätta att användas som sökbegrepp. Regeringen anser till skillnad från Socialdataskyddsutredningen att detta inte behöver tydliggöras på det sätt som utredningen föreslår genom att det anges i 2 kap. 8 § att uppgifter om hälsa, inklusive genetiska och bio- metriska uppgifter och uppgifter om sexuell läggning, tillåts att användas som sökbegrepp. Regeringen anser att uppgifter om hälsa får användas som sökbegrepp även om dessa också kan avse annan känslig person- uppgift t.ex. genetiska uppgifter. Det som avgör om uppgiften är tillåten som sökbegrepp är om den hör till uppgifter om hälsa.

Även om regeringen i avsnitt 6.6.6 har bedömt att införandet av begreppet sexuell läggning i dataskyddsförordningen inte innebär någon egentlig utvidgning jämfört med nuvarande reglering är det en ny skriv- ning. Regeringen bedömer därför att det bör tydliggöras att även upp- gifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa får användas som sökbegrepp. Detta bör ske på samma sätt som för genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person.

Någon skillnad i sak är inte avsedd med de föreslagna förtydligandena utan förslaget syftar endast till att tydliggöra att samma sökningar som får göras i dag även får göras fortsättningsvis. Genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning som inte samtidigt utgör uppgifter om hälsa får däremot inte användas som sökbegrepp.

Eftersom hänvisningarna till personuppgiftslagen inte kan vara kvar när den lagen upphör, bör de ersättas med hänvisningar till definitionerna av uppgifter om lagöverträdelser och känsliga personuppgifter i 2 kap. 7 § respektive den föreslagna 7 a § patientdatalagen.

Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom detta område och inte heller att föreskriftsrätten delegeras. Möjligheten för regeringen att meddela föreskrifter kan därför behållas.

7.1.8Nationella och regionala kvalitetsregister

Information som ska lämnas självmant

Regeringens förslag: Krav på information till registrerade i 7 kap. 3 § patientdatalagen som motsvarar eller begränsar krav på information som finns i EU:s dataskyddsförordning tas bort. Därmed tas det bort att information ska lämnas om i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som person- uppgifter kan komma att lämnas ut till.

164

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgifts- ansvarig enligt 7 kap. 3 § patientdatalagen se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret, i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifter påbörjas, ska den lämnas så snart som möjligt därefter.

Bestämmelsen i 7 kap. 3 § patientdatalagen kompletterar och gäller så- ledes utöver 8 kap. 6 § patientdatalagen och – när dataskyddsförord- ningen börjar tillämpas – artikel 13 och 14 i dataskyddsförordningen.

Vilken information den personuppgiftsansvarige enligt dataskydds- förordningen är skyldig att lämna i olika situationer framgår av avsnitt 6.8.1.

Den information den personuppgiftsansvarige ska lämna till den regi- strerade enligt 7 kap. 3 § patientdatalagen är i huvudsak sådan informa- tion som ska lämnas enligt dataskyddsförordningen. Informations- skyldigheten i 7 kap. 3 § omfattar dock även en upplysning som inte om- fattas av dataskyddsförordningens reglering, nämligen information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.

Sådana bestämmelser som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas, kan i enlighet med regeringens ställningstagande i avsnitt 6.8.1 behållas, om den ursprung- liga behandlingen grundas på artikel 6.1 c eller e i dataskyddsförordning- en. Behandling av personuppgifter i nationella och regionala kvalitets- register sker med stöd av artikel 6.1 c och e i dataskyddsförordningen. Den kompletterande informationsskyldigheten kan därmed behållas.

Eftersom det rör sig om en kompletterande informationsskyldighet, kan informationen lämnas vid den tidpunkt som bedöms lämplig i nationell rätt. Bestämmelsen i 7 kap. 3 § andra stycket om när informationen ska lämnas, påverkas därför inte av dataskyddsförordningen.

Enligt 7 kap. 3 § 2 ska den registrerade få information om i vilken ut- sträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal. Att den registrerade har rätt att få information om varifrån personuppgifterna kommer, när de inte läm- nats av den enskilde själv, framgår av artikel 14.2 f i dataskyddsförord- ningen. Uppgifter i en patientjournal kommer dock inte alltid från den enskilde själv. Nuvarande reglering i patientdatalagen medför i för- hållande till dataskyddsförordningen därför en begränsning av skyldig- heten att lämna information.

I avsnitt 6.8.2 under rubriken ”Information som ska lämnas självmant” bedömer regeringen att det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de nyheter som dataskyddsförordningen innebär när det gäller den informa- tion som ska lämnas till den registrerade. Det finns därför, som anges i

Prop. 2017/18:171

165

Prop. 2017/18:171 avsnitt 6.8.2, inte anledning att överväga en begränsning av de registrera- des nya rättigheter.

Regeringen föreslår därför att nu gällande krav på information till registrerade i 7 kap. 3 § tas bort i den utsträckningen de motsvarar eller begränsar krav på information som gäller enligt dataskyddsförordningen. Därmed tas det bort att information ska lämnas om i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Personuppgifter som får behandlas

Regeringens förslag: Förbudet i 7 kap. 8 § tredje stycket patientdata- lagen mot att behandla andra känsliga personuppgifter än uppgifter som rör hälsa, om inte annat har medgetts av regeringen eller den myndighet som regeringen bestämmer i enskilda fall, ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning.

Patientdatalagen kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Hänvisningen till personuppgiftslagen i 7 kap. 8 § tredje stycket patientdatalagen ersätts med en hänvisning till 2 kap. 7 § patientdata- lagen.

Bestämmelsen om att uppgifter om lagöverträdelser får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet regeringen bestämmer i enskilda fall medger det placeras i en ny paragraf.

Regeringens bedömning: Bestämmelsen i 7 kap. 8 § patientdata- lagen om vilka personuppgifter som får behandlas kan och bör i övrigt behållas.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer huvudsakligen med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen som avser påminnelse om kravet på tystnadsplikt.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Vad gäller remissynpunkter om tystnadspliktskravet i artikel 9.3 i EU:s dataskyddsförordning, se avsnitt 6.6.4, och om att fler uppgifter blir känsliga personuppgifter, se avsnitt 6.6.6.

Skälen för regeringens förslag och bedömning

Känsliga personuppgifter

Regeringen bedömer att hälso- och sjukvården även fortsättningsvis kan behandla känsliga personuppgifter enligt artikel 9.2 h i dataskyddsförord- ningen. Bedömningen omfattar även behandlingen i de nationella kvalitetsregistren. Det är således möjligt att ha kvar bestämmelsen som

166

innebär att uppgifter om hälsa får behandlas i registren. Av samma skäl kan möjligheten för regeringen eller den myndighet regeringen bestäm- mer att i enskilda fall tillåta att behandling av andra känsliga personupp- gifter än hälsa får ske behållas.

Eftersom 7 kap. patientdatalagen innehåller en egen reglering av be- handling av känsliga personuppgifter i nationella och regionala kvalitets- register, vilket innebär att den generella regleringen i 2 kap. inte är till- lämplig, bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in även i 7 kap. 8 § patientdatalagen. Angående bestämmelsens utformning, se slutet av avsnitt 6.6.4.

Genom dataskyddsförordningen har, som redan nämnts i avsnitt 6.6.6, några nya kategorier av känsliga personuppgifter tillkommit, nämligen genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Förbudet att behandla känsliga personuppgifter bör i enlighet med den bedömning som redovisas i det nämnda avsnittet, omfatta också dessa nya kategorier av uppgifter.

Skulle det uppkomma ett behov av att behandla sådana uppgifter i ett kvalitetsregister, har regeringen, eller den myndighet regeringen be- stämmer, enligt bestämmelsen möjlighet att medge det. Det kommer även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa i kvalitetsregistren, om inte föreskrifter meddelas om att andra kategorier av uppgifter får behandlas.

Personuppgifter om lagöverträdelser

Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgifts- lagen får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det (7 kap. 8 § tredje stycket patientdatalagen). I 6 § patientdataförordningen (2008:360) anges att frågor om medgivande till behandling enligt 7 kap. 8 § tredje stycket patientdatalagen prövas av Datainspektionen efter att ha hört Socialstyrelsen.

I enlighet med den bedömning regeringen har gjort i avsnitt 6.7 kan och bör förbudet mot att behandla personuppgifter om lagöverträdelser i 7 kap. 8 § patientdatalagen även fortsättningsvis omfatta de uppgifter som avses i 21 § personuppgiftslagen. Detta eftersom bestämmelserna avser behandling som grundar sig på artikel 6.1 c och e i dataskyddsför- ordningen (rättslig förpliktelse och allmänt intresse) eller avser myndig- heters behandling. Eftersom personuppgiftslagen kommer att upphöra, måste dock hänvisningen till personuppgiftslagen ersättas med en hänvis- ning till definitionen av vilka uppgifter som avses i 2 kap. 7 § patient- datalagen.

Lagrådet anser att regleringens överskådlighet förbättras om känsliga personuppgifter och uppgifter om lagöverträdelser behandlas i var sin paragraf. Regeringen instämmer i denna bedömning och föreslår att bestämmelsen om att uppgifter om lagöverträdelser får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet regeringen bestämmer i enskilda fall medger det placeras i en ny paragraf.

Prop. 2017/18:171

167

Prop. 2017/18:171

168

Bevarande och gallring

Regeringens förslag: Bestämmelsen i 7 kap. 10 § patientdatalagen om gallring behålls i sak men befintlig formulering om historiska, statistiska eller vetenskapliga ändamål ändras till den som används i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska enligt 7 kap. 10 § första stycket patient- datalagen gallras när de inte längre behövs för det ändamål de behandlas för. En arkivmyndighet inom ett landsting eller en kommun samt regeringen eller den myndighet regeringen föreskriver får dock enligt andra och tredje stycket föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Regeringen har i likhet med Socialdataskyddsutredningen i avsnitt 6.10 kommit till den slutsatsen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) och en arbetsuppgift av allmänt intresse eller som ett led i myndig- hetsutövning (artikel 6.1 e). Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ändamål. Bestämmelserna i 7 kap. 10 § patient- datalagen kan behållas. Formuleringarna av ändamålen i andra och tredje stycket bör dock anpassas till dataskyddsförordningens lydelse.

7.1.9Rättigheter för den enskilde

Rättelse

Regeringens förslag: Bestämmelsen om rättelse i 8 kap. 3 § patient- datalagen upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 8 kap. 3 § första stycket patientdatalagen, som hänvisar till bestämmelsen om rättelse i 28 § personuppgiftslagen, kan i enlighet med vad som anges i avsnitt 6.8.1 upphävas. I 8 kap. 3 § andra stycket patientdatalagen upplyses om att uppgifter i en journalhandling enligt 3 kap. 14 § inte får utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §. Eftersom detta endast är en upplysning om vad som följer av den paragraf som kommer direkt efter, kan även bestämmelsen i 8 kap. 3 § andra stycket upphävas.

Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 8 kap. 6 § patientdatalagen kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att information ska lämnas om vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka kategorier av uppgifter som behandlas, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen, vad som gäller i fråga om bevarande och gallring samt huruvida person- uppgiftsbehandlingen är frivillig eller inte.

Hänvisningen till patientdatalagens bestämmelse om skadestånd er- sätts med en hänvisning till dataskyddsförordningen och dataskydds- lagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Upplysningsbestämmelsen i 8 kap. 6 § sista stycket patientdatalagen bör vara kvar.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Sveriges advokatsamfund anser att det finns en risk med att flera regler utgår ur patientdatalagen för att i stället hänvisa till dataskyddsförord- ningen och till de kompletterande bestämmelserna i den föreslagna data- skyddslagen. Risken består i att möjligheten att särskilt reglera ett utökat skydd för den registrerade inte utnyttjas i tillräcklig grad. Det kan t.ex. vara lämpligt att införa en mer långtgående och konkret informations- skyldighet än den som följer av dataskyddsförordningen när det gäller behandling av personuppgifter inom hälso- och sjukvården.

Skälen för regeringens förslag och bedömning: Enligt 8 kap. 6 § patientdatalagen ska den personuppgiftsansvarige se till att den regi- strerade får viss information om behandlingen av personuppgifter. Be- stämmelsen i 8 kap. 6 § utgör en precisering av 25 § personuppgifts- lagen, som anger vilken information som ska lämnas till den registrerade. I övrigt gäller bestämmelserna i 23–25 och 27 §§ personuppgiftslagen om information som ska lämnas självmant. Detta eftersom personupp- giftslagens bestämmelser gäller om inget annat sägs i patientdatalagen.

Regeringen har i avsnitt 6.8.1 redogjort för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna informa- tion till den registrerade. Regleringen av vilken information den person- uppgiftsansvarige ska lämna enligt patientdatalagen sammanfaller till stora delar med den i dataskyddsförordningen.

Informationsskyldigheten i patientdatalagen innebär dock att ett antal upplysningar som inte omfattas av dataskyddsförordningens reglering ska lämnas, nämligen den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för upp-

Prop. 2017/18:171

169

Prop. 2017/18:171 gifterna och behandlingen, rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras, rätten enligt 8 kap. 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till skadestånd samt vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling. Det finns också krav på upplysningar som ska lämnas enligt dataskyddsförord- ningen som inte anges i patientdatalagen.

De bestämmelser i patientdatalagen som föreskriver att mer informa- tion än vad som krävs enligt dataskyddsförordningen ska lämnas kan, i enlighet med bedömningen i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Det har inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de nyheter som data- skyddsförordningen innebär när det gäller den information som ska läm- nas till den registrerade. Det finns därför, som anges i avsnitt 6.8.2, inte anledning att överväga en begränsning av de registrerades nya rättig- heter.

Slutsatsen är att vårdgivare ska lämna den information som följer av dataskyddsförordningen och den ytterligare information som ska lämnas enligt patientdatalagen. Detta bör regleras genom en bestämmelse i patientdatalagen som kompletterar och hänvisar till dataskyddsförord- ningens reglering på det sätt som anges i avsnitt 6.8.1.

Hänvisningen till personuppgiftslagens bestämmelse om skadestånd, som regeringen i avsnitt 7.1.10 föreslår ska upphävas, bör dock ersättas med en hänvisning till bestämmelserna om skadestånd i dataskydds- förordningen och dataskyddslagen. Hänvisningen till dataskyddsförord- ningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig.

De krav på att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.

Upplysningsbestämmelsen i 8 kap. 6 § sista stycket bör av tydlighets- skäl vara kvar, medan den generella regeln i första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får informa- tion om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och formuleringen att den personupp- giftsansvarige ska lämna viss angiven information utöver vad som fram- går av dataskyddsförordningen.

Andra rättigheter för den enskilde – upplysning till den enskilde

Regeringens bedömning: Nuvarande bestämmelse i 8 kap. 7 § patientdatalagen som upplyser om vissa rättigheter enligt den lagen kan behållas. Det finns dock inte anledning att införa en upplysande bestämmelse om de rättigheter som följer av EU:s dataskyddsförord- ning.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer inte med regeringens bedömning. Utredningen föreslår att

170

bestämmelsen kompletteras med en hänvisning till rättigheter i EU:s Prop. 2017/18:171 dataskyddsförordning.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: I 8 kap. 7 § patientdatalagen upplyses om att det i lagen finns föreskrifter om andra rättigheter för den enskilde i vissa andra bestämmelser. Vad gäller de angivna rättigheterna och deras förenlighet med dataskyddsförordningen bedömer utredningen att dessa kan behållas, se avsnitt 10.1.12–13 och 10.1.15 i SOU 2017:66. Till skillnad från Socialdataskyddsutredningen anser regeringen att det inte finns anledning att införa en sådan upplysande bestämmelse i lagen med innehållet att ytterligare rättigheter för den enskilde finns i data- skyddsförordningen. Detta framgår av det förhållandet att patientdata- lagen innehåller kompletterande bestämmelser till dataskyddsförord- ningen, se avsnitt 7.1.2.

7.1.10Skadestånd

Regeringens förslag: Bestämmelsen i 10 kap. 1 § patientdatalagen som hänvisar till personuppgiftslagens bestämmelse om skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 10 kap. 1 § patient- datalagen som hänvisar till personuppgiftslagens bestämmelse om skade- stånd bör i enlighet med vad regeringen kommit fram till i avsnitt 6.11.1 upphävas.

7.1.11Bestämmelsen om överklagande upphävs

Regeringens förslag: Hänvisningen till personuppgiftslagens bestäm- melser om överklagande i 10 kap. 2 § tredje stycket patientdatalagen upphävs.

Regeringens bedömning: Bestämmelsen om överklagande kan i övrigt behållas.

Socialdataskyddsutredningens förslag och bedömning: Överens-
stämmer huvudsakligen med regeringens. Utredningen föreslår att
hänvisningen till personuppgiftslagens bestämmelser om överklagande
ersätts med hänvisning till dataskyddslagen.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens förslag och bedömning.
Skälen för regeringens förslag och bedömning: Bestämmelser om
överklagande finns i 10 kap. 2 § patientdatalagen. Av första stycket följer
att Inspektionen för vård och omsorgs beslut om att avslå en ansökan om
förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i	171

Prop. 2017/18:171 fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Pröv- ningstillstånd krävs vid överklagande till kammarrätten. Av andra stycket följer att i fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket angående utlämnande av en journalhandling gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets- och sekretesslagen (2009:400). I tredje stycket upplyses om att vid sådan behandling av personuppgifter som avses i 1 kap. 4 §, dvs. behandling som är helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i ett register, finns ytterligare bestämmelser om över- klagande i 51–53 §§ personuppgiftslagen. Övriga beslut enligt patient- datalagen får enligt fjärde stycket inte överklagas.

Hänvisningen till personuppgiftslagen i 10 kap. 2 § tredje stycket patientdatalagen bör, i enlighet med bedömningen i avsnittet 6.12, upp- hävas. De övriga bestämmelserna om överklagande rör andra beslut än sådana som kan överklagas enligt dataskyddslagen och bör därför be- hållas.

7.2Apoteksdatalagen (2009:367)

7.2.1Förhållandet till annan reglering

Regeringens förslag: I 5 § apoteksdatalagen införs en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av apoteksdatalagen eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

7.2.2Den enskildes inställning till behandling av personuppgifter

Regeringens bedömning: Bestämmelsen i 6 § apoteksdatalagen om den enskildes inställning till behandlingen av personuppgifter kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder

inte mot Socialdataskyddsutredningens bedömning.

172

Datainspektionen anser att de registerförfattningar som innehåller Prop. 2017/18:171 bestämmelser om samtycke som rättslig grund måste analyseras

noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Datainspektionen saknar emellertid sådana särskilda överväganden beträffande 6 § apoteksdatalagen. Någon kommentar gällande privata vårdgivare görs inte.

Skälen för regeringens bedömning

Rätten att invända mot behandling av personuppgifter

Behandling av personuppgifter som är tillåten enligt apoteksdatalagen får enligt 6 § första stycket apoteksdatalagen utföras även om den enskilde motsätter sig behandlingen.

Socialdataskyddsutredningen bedömer att stora delar av den behand- ling av personuppgifter som utförs enligt apoteksdatalagen, sker för att fullgöra en rättslig förpliktelse (SOU 2017:66 s. 376 f.). Eftersom data- skyddsförordningen inte ger den registrerade rätt att invända mot behand- ling som sker med stöd av den grunden, utgör bestämmelsen i 6 § första stycket apoteksdatalagen inte någon begränsning av den registrerades rätt att göra invändningar i förhållande till sådan behandling. Regeringen instämmer i denna bedömning.

När det däremot gäller behandling som grundar sig på ett allmänt intresse måste, som anges i avsnitt 6.8.2, en bedömning göras av om begränsningen av rätten att göra invändningar uppfyller de krav som anges i artikel 23 i dataskyddsförordningen.

Bestämmelsen måste för det första utgöra en åtgärd i syfte att säker- ställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål gäller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (artikel 23.1 e). Bedrivande av verksamhet inom bl.a. hälso- och sjukvård inklu- sive den administration sådan verksamhet kräver är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Regeringen anser att även den behandling av personuppgifter som utförs av apoteken enligt apoteksdatalagen får anses utgöra ett sådant generellt allmänt intresse.

173

Prop. 2017/18:171 För det andra måste åtgärden att begränsa rätten att göra invändningar ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demo- kratiskt samhälle. Att göra den behandling av personuppgifter som be- hövs i apotekens verksamhet enligt apoteksdatalagen beroende av den registrerades inställning skulle hindra apoteken från att bedriva arbetet på ett effektivt och patientsäkert sätt. En begränsning av rätten att invända mot behandling är en nödvändig och proportionell åtgärd i ett demo- kratiskt samhälle i syfte att säkerställa ett generellt mål av allmänt intresse. Begränsningen anses inte strida mot andemeningen i de grund- läggande rättigheterna och friheterna.

En begränsning av rätten att göra invändningar måste också uppfylla kraven i artikel 23.2 i dataskyddsförordningen på vilka bestämmelser som den lagstiftning som begränsar den registrerades rättigheter ska innehålla. Bestämmelser med det innehåll som krävs finns redan i apoteksdatalagen.

Det är sammantaget möjligt att begränsa möjligheten att göra invänd- ningar mot behandling av personuppgifter på det sätt som regleras i 6 § första stycket apoteksdatalagen.

Samtycke som grund för behandlingen

Behandling av personuppgifter som inte är tillåten enligt apoteks- datalagen får enligt 6 § andra stycket apoteksdatalagen ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Socialdataskyddsutredningen ansåg att någon ny avvägning inte behöver göras angående lämpligheten i att grunda en behandling av personupp- gifter på samtycke. Detta i enlighet med den bedömning som utredningen gör i betänkandet, SOU 2017:66 avsnitt 9.10.2.

Datainspektionen anser att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar sam- tycke kan ges och hur samtycket påverkar övriga regler i aktuell register- författning. Datainspektionen saknar emellertid sådana särskilda över- väganden beträffande 6 § apoteksdatalagen. Någon kommentar gällande privata vårdgivare görs inte.

Som anges i avsnitt 6.5.2 förekommer det att myndigheter och enskilda tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. En sådan regel finns i 6 § andra stycket apoteksdatalagen. Enligt den bedömning som redovisas i samma avsnitt kan sådana bestämmelser behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 till dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Regeringen delar därför inte Datainspektionens bedömning att ytterligare analys är nödvändig.

174

7.2.3

Ändrad hänvisning i fråga om finalitetsprincipen Prop. 2017/18:171

Regeringens förslag: Hänvisningen i 9 § apoteksdatalagen till personuppgiftslagens bestämmelse om finalitetsprincipen tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 9 § apoteksdatalagen finns en hän- visning till 9 § första stycket d och andra stycket personuppgiftslagen. Hänvisningen innebär att finalitetsprincipen, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, gäller. Hänvisningen innebär vidare att behand- ling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka upp- gifterna samlades in.

Som anges i avsnitt 6.5.3 kan registerförfattningar även fortsättnings- vis, i syfte att förtydliga att de uppräknade ändamålen inte är uttöm- mande, innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitets- principen är tillåten. Eftersom personuppgiftslagen kommer att upphöra att gälla, bör bestämmelsen utformas i enlighet med vad som anges i det avsnittet.

7.2.4Känsliga personuppgifter

Regeringens förslag: Apoteksdatalagen kompletteras med en bestäm- melse som påminner om kravet enligt artikel 9.3 i EU:s dataskydds- förordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Regeringens bedömning: Behandling av känsliga personuppgifter inom apoteksdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i apoteksdatalagen.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

175

Prop. 2017/18:171 med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten. Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är ut- gångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Skälen för regeringens förslag och bedömning: I avsnitt 6.6.4 anges vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsför- ordningen. Mot bakgrund av den omfattande uppräkningen av vad som innefattas i förvaltning av hälso- och sjukvårdstjänster i skäl 53 i dataskyddsförordningen och det förhållandet att personalen på apotek omfattas av samma tystnadsplikt som personalen vid vårdinrättningar, gör regeringen i likhet med Socialdataskyddsutredningen bedömningen att den verksamhet som apoteksdatalagen omfattar ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Apoteks- datalagens reglering är därmed förenlig med dataskyddsförordningen.

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i apoteksdatalagen. Apotekspersonal har redan tystnadsplikt enligt patient- säkerhetslagen (2010:659), se 6 kap. 12 § jämförd med 1 kap. 4 § patientsäkerhetslagen.

7.2.5Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 15 § apoteksdatalagen som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 15 § apoteksdata- lagen hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

176

7.2.6

Information som ska lämnas självmant

Prop. 2017/18:171

Regeringens förslag: Bestämmelserna i 16 § apoteksdatalagen kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informa- tionen ska innehålla upplysningar om vem som är personuppgifts- ansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter, rätten till skadestånd vid behandling av personuppgifter i strid med denna lag, vad som gäller i fråga om bevarande samt huruvida personuppgiftsbehandlingen är frivillig eller inte.

Hänvisningen till apoteksdatalagens bestämmelse om skadestånd er- sätts med en hänvisning till dataskyddsförordningen och dataskydds- lagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författnings- bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: Enligt 16 §

apoteksdatalagen ska den personuppgiftsansvarige se till att den
registrerade får viss information om behandlingen av personuppgifter.
Bestämmelsen är en precisering av personuppgiftslagens informations-
bestämmelser. I övrigt gäller bestämmelserna om information i 23–27 §§
personuppgiftslagen.
Regeringen har i avsnitt 6.8.1 redogjort för vilken information den
personuppgiftsansvarige är skyldig att lämna till den registrerade enligt
dataskyddsförordningen. Flera av de upplysningar som den personupp-
giftsansvarige ska ta med i informationen enligt apoteksdatalagen mot-
svaras av informationsskyldigheten i dataskyddsförordningen.
I apoteksdatalagen anges dock ett antal upplysningar som inte omfattas
av dataskyddsförordningens reglering, nämligen upplysningar om den
uppgiftsskyldighet som kan följa av lag eller förordning, de tystnads-
plikts- och säkerhetsbestämmelser som gäller för uppgifterna och be-
handlingen, rätten till skadestånd samt vad som gäller i fråga om sökbe-
grepp. Informationsskyldigheten enligt dataskyddsförordningen innebär å
sin sida krav på att informationen ska innehålla vissa upplysningar som
inte följer av apoteksdatalagens reglering.
De bestämmelser i apoteksdatalagen som föreskriver att mer informa-
tion ska lämnas än vad som krävs enligt dataskyddsförordningen kan, i
enlighet med bedömningen som gjorts i avsnitt 6.8.1, behållas med stöd
av artikel 6.2 och 6.3 i dataskyddsförordningen.
Att uppfylla de tillkommande kraven på information till den registre-
rade som föreskrivs i dataskyddsförordningen kan inte anses medföra	177
	177

Prop. 2017/18:171 några särskilda olägenheter för den personuppgiftsansvarige. Det finns därför, som anges i avsnitt 6.8.2, inte anledning att överväga en begräns- ning av rätten att få denna information.

Den personuppgiftsansvarige bör vara skyldig att lämna såväl den information som följer av dataskyddsförordningen som den ytterligare information som ska lämnas enligt apoteksdatalagen. Detta bör regleras genom att 16 § apoteksdatalagen kompletterar och hänvisar till dataskyddsförordningens reglering på det sätt som anges i avsnitt 6.8.1.

Hänvisningen till personuppgiftslagens bestämmelse om skadestånd, som regeringen i avsnitt 7.2.5 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig.

De krav i apoteksdatalagen som innebär att informationen ska inne- hålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.

Även den generella regeln i 16 § första stycket apoteksdatalagen om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och formuleringen om att den personuppgiftsansvarige ska lämna viss angiven information utöver vad som framgår av dataskyddsförordningen.

7.3Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

7.3.1Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 4 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om behandling av personuppgifter i ärenden om licens för läkemedel eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av regeringens överväganden i avsnitt 6.3.

178

7.3.2

Ändrad hänvisning i fråga om finalitetsprincipen Prop. 2017/18:171

Regeringens förslag: Hänvisningen till personuppgiftslagens bestäm- melse om finalitetsprincipen i 9 § lagen om behandling av personupp- gifter i ärenden om licens för läkemedel tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 9 § lagen om behandling av person- uppgifter i ärenden om licens för läkemedel finns det en hänvisning till finalitetsprincipen i 9 § första stycket d och andra stycket personuppgifts- lagen. Det innebär att personuppgifter inte får behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in samt att behandling av personuppgifter för historiska, statistiska eller vetenskap- liga ändamål inte ska anses som oförenlig med de ändamål för vilka upp- gifterna samlades in.

Som anges i avsnitt 6.5.3 kan registerförfattningar i förtydligande syfte även fortsättningsvis innehålla bestämmelser med innebörden att behand- ling av personuppgifter för andra ändamål som inte strider mot finalitets- principen är tillåten. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.

7.3.3Känsliga personuppgifter

Regeringens förslag: Lagen om behandling av personuppgifter i ärenden om licens för läkemedel kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförord- ning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Regeringens bedömning: Behandling av känsliga personuppgifter kan alltjämt ske med stöd av ändamålsbestämmelserna i lagen om be- handling av personuppgifter i ärenden om licens för läkemedel.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Läkemedelsverket anser att 9 a § har karaktären av en upplysnings- bestämmelse och att bestämmelsen därmed kanske inte är nödvändig eftersom utredningen redan gjort en bedömning att alla som enligt lagen

179

Prop. 2017/18:171 får behandla känsliga personuppgifter i ärenden om licens omfattas av tystnadsplikt.

Skälen för regeringens förslag och bedömning: Lagen om behand- ling av personuppgifter i ärenden om licens för läkemedel innehåller inte bestämmelser som särskilt tar sikte på behandling av känsliga person- uppgifter utan ändamålsbestämmelserna tillåter nödvändig behandling av alla slags personuppgifter för de angivna ändamålen. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter, påverkas inte regleringen av att det har tillkommit nya kategorier av känsliga personuppgifter. Som anges i avsnitt 6.6.6 anser regeringen att bestämmelser i särskilda registerförfattningar på Social- departementets område som tillåter behandling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med data- skyddsförordningen.

I avsnitt 6.6.4 anges vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Mot bakgrund av den omfattande uppräk- ningen av vad som innefattas i förvaltning av hälso- och sjukvårds- tjänster i skäl 53 i dataskyddsförordningen, görs bedömningen att den verksamhet som omfattas av lagen om behandling av personuppgifter i ärenden om licens för läkemedel ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regleringen är således förenlig med dataskyddsförordningen.

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Regeringen instämmer i den bedömning Socialdataskyddsutredningen gör att den nationella regleringen blir tydligare om kravet framgår också av berörda registerförfattningar. Personalen vid Läkemedelsverket och E- hälsomyndigheten omfattas av bestämmelser om tystnadsplikt enligt bl.a. 25 kap. 1 § respektive 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).

180

7.3.4	Bestämmelsen om rättelse och skadestånd	Prop. 2017/18:171
	upphävs

Regeringens förslag: Bestämmelsen i 20 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upp- hävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 20 § lagen om be- handling av personuppgifter i ärenden om licens för läkemedel hänvisar till personuppgiftslagensbestämmelser om rättelse och skadestånd. Be- stämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.3.5Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel kompletteras med en upplysning om att information även ska lämnas enligt EU:s data- skyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informa- tionen ska innehålla upplysningar om vem som är personuppgifts- ansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter och till skadestånd vid behandling av personuppgifter i strid med denna lag samt vad som gäller i fråga om gallring.

Hänvisningen till bestämmelsen om skadestånd i lagen om behand- ling av personuppgifter i ärenden om licens för läkemedel ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författnings- bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: I 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel regleras vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen är en precisering av de bestämmelser om information som finns i personuppgiftslagen. I övrigt gäller personupp- giftslagens bestämmelser om information i 23–27 §§ vid behandling som

181

Prop. 2017/18:171 sker enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel.

Regeringen har i avsnitt 6.8.1 redogjort för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna informa- tion till den registrerade. Informationsskyldigheten enligt dataskyddsför- ordningen omfattar flera av de upplysningar som den personuppgifts- ansvarige ska ta med i informationen enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel.

Bestämmelsen i lagen om behandling av personuppgifter i ärenden om licens för läkemedel omfattar dock även upplysningar som inte ingår i informationsskyldigheten enligt dataskyddsförordningen, nämligen upp- lysning om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd samt vad som gäller i fråga om sök- begränsningar. Enligt dataskyddsförordningen ska informationen vidare omfatta vissa upplysningar som inte framgår av lagen om behandling av personuppgifter i ärenden om licens för läkemedel.

Bestämmelserna i lagen om behandling av personuppgifter i ärenden om licens för läkemedel som innebär att mer information ska lämnas än vad som krävs enligt dataskyddsförordningens reglering kan, i enlighet med bedömningen i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Det kan inte anses innebära några särskilda svårigheter för den person- uppgiftsansvarige att uppfylla de nya kraven på information till den registrerade som föreskrivs i dataskyddsförordningen. Det saknas därför, som anges i avsnitt 6.8.2, skäl att överväga en begränsning av den regi- strerades rätt till information.

Den personuppgiftsansvarige bör lämna såväl den information som följer av dataskyddsförordningen som den information som ska lämnas enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Bestämmelsen i 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel bör på sätt som anges i avsnitt 6.8.1 komplettera och hänvisa till dataskyddsförordningens reglering.

Hänvisningen till bestämmelsen om skadestånd i lagen om behandling av personuppgifter i ärenden om licens för läkemedel, som regeringen i avsnitt 7.3.4 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och data- skyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Även det som anges i 21 § första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige också ska lämna viss ytterligare information ut- över vad som framgår av dataskyddsförordningen.

182

7.4	Lagen (2001:454) om behandling av	Prop. 2017/18:171
	personuppgifter inom socialtjänsten

7.4.1Lagens tillämpningsområde

Regeringens förslag: I lagen om behandling av personuppgifter inom socialtjänsten införs en bestämmelse om att lagen inte ska tillämpas vid behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer delvis med
regeringens. Utredningen föreslår att lagen inte tillämpas vid behandling
av personuppgifter som utförs av behöriga myndigheter för syften som
anges i 1 kap. 2 § brottsdatalagen.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens förslag.
Datainspektionen framför att inom socialtjänsten finns det delar av
verksamheten som utgör verkställighet av påföljder inom rättsväsendet.
Den personuppgiftsbehandling som utförs för dessa ändamål omfattas
inte av dataskyddsförordningen utan i stället av ett direktiv, som i
Sverige har föreslagits implementeras genom en brottsdatalag.
Socialstyrelsen anser att det behöver tydliggöras hur den föreslagna
brottsdatalagens bestämmelser förhåller sig till regleringen i lagen om
behandling av personuppgifter inom socialtjänsten samt till t.ex. bestäm-
melser om dokumentation och gallring i socialtjänstlagen. Så långt som
det är möjligt är det önskvärt att socialnämnderna kan ha en samman-
hållen reglering för all verksamhet.
Skälen för regeringens förslag: Viss verksamhet som anges i 2 §
lagen om behandling av personuppgifter inom socialtjänsten innebär
verkställighet av påföljder. Som exempel kan nämnas att en domstol
överlämnar någon som har dömts för brott till vård enligt lagen
(1988:870) om vård av missbrukare i vissa fall. Även ungdomsvård och
ungdomstjänst utgör påföljder som verkställs inom socialtjänsten.
Detsamma gäller den verksamhet som bedrivs av Statens institutions-
styrelse i fråga om verkställighet av sluten ungdomsvård.
I de fall det är fråga om behandling av personuppgifter inom social-
tjänsten som utförs av behöriga myndigheter för syften som anges i
artikel 2.2 d i dataskyddsförordningen kommer inte dataskyddsförord-
ningen att vara tillämplig, se avsnitten 5.1 och 6.3.
I lagrådsremissen föreslogs att lagen om behandling av personuppgifter
inom socialtjänsten inte tillämpas vid behandling av personuppgifter som
utförs av behöriga myndigheter för syften som anges i brottsdatalagen.
Lagrådet framför att eftersom någon lagrådsremiss med förslag till
brottsdatalag ännu inte föreligger kan Lagrådet inte ta ställning till för-
slaget.
Regeringen anser att förslaget till ändring i lagen om behandling av
personuppgifter inom socialtjänsten i stället lämpligen kan utformas på
ett sätt som anknyter till det materiella tillämpningsområdet för data-
skyddsförordningen. Av artikel 2.2 d i dataskyddsförordningen följer att
förordningen inte ska tillämpas på behandling av personuppgifter som	183
	183

Prop. 2017/18:171 behöriga myndigheter utför i syfte att bl.a. förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen föreslår därför att det i 1 kap. 3 § lagen om behandling av personuppgifter inom socialtjänsten införs en bestämmelse om att lagen inte tillämpas vid behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordning. Liksom i övergångsbestämmelserna i förslaget till dataskyddslag, se propositionen Ny dataskyddslag (prop. 2017/18:105), bör det framgå att det är artikel 2.2 d i den ursprungliga lydelsen som avses, dvs. en statisk hänvisning. I annat fall kan en fram- tida ändring av artikel 2.2 d få till följd att viss behandling personupp- giftsbehandling, under en övergångsperiod, inte kommer att omfattas av någon författning alls.

Behandling av personuppgifter som avses i artikel 2.2 d i dataskydds- förordningen kommer därmed inte att omfattas av lagen om behandling av personuppgifter inom socialtjänsten utan av den kommande brotts- datalag som föreslås träda i kraft den 1 augusti 2018.

I verksamheter som bedriver socialtjänst bedöms regleringen i den föreslagna brottsdatalagen främst komma att aktualiseras vid behandling av personuppgifter som rör verkställigheten av påföljder. Det kan t.ex. handla om olika beslut om tvångsvård och om tvångsåtgärder som vidtas därvid.

När det gäller behandling av personuppgifter för socialtjänstens syften omfattas sådan personuppgiftsbehandling inte av den föreslagna brotts- datalagen. Personuppgiftsbehandlingen regleras i stället av dataskydds- förordningens reglering och av de kompletterande bestämmelserna som finns i dataskyddslagen och den sektorsspecifika lagen om behandling av personuppgifter inom socialtjänsten. Den omständigheten att t.ex. tvångsvård avser såväl verkställigheten av påföljder som socialtjänst medför att det kan förekomma fall där det finn vissa svårigheter att av- göra vilken rättslig reglering som ska tillämpas.

För det fall fråga uppkommer om vilken lag som är tillämplig kan vägledning hämtas i lagrådsremissen (och den kommande propositionen) Brottsdatalag och delbetänkandet SOU 2017:29. Har behandlingen flera syften kan de olika regelverken vara tillämpliga parallellt.

7.4.2Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 4 § lagen om behandling av personuppgifter inom socialtjänsten ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om behandling av personuppgifter inom socialtjänsten eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

184

Skälen för regeringens förslag: Bestämmelsen i 4 § lagen om be- Prop. 2017/18:171 handling av personuppgifter inom socialtjänsten, om förhållandet till

annan lagstiftning, bör utformas på det sätt som framgår av övervägan- dena i avsnitt 6.3.

7.4.3Känsliga personuppgifter

Regeringens förslag: Bestämmelsen i 7 § första stycket 2 lagen om behandling av personuppgifter inom socialtjänsten, som tillåter be- handling av känsliga personuppgifter, ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskydds- förordning.

Lagen om behandling av personuppgifter inom socialtjänsten kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Socialdataskyddsutredningens förslag: Överensstämmer i allt
väsentligt med regeringens. Utredningen föreslår en annan utformning av
författningsbestämmelsen om påminnelse om kravet på tystnadsplikt.
Utredningen föreslår att det i nuvarande 7 a § förtydligas att de känsliga
personuppgifter som avses är desamma som i 7 § första stycket 2.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens förslag.
Datainspektionen anser att nationella bestämmelser som innebär att
personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett
om det avser någon eller alla kategorier, måste vara i överensstämmelse
med artikel 9. Det är inte förenligt med dataskyddsförordningen att
förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten.
Analyser måste göras av vilka kategorier av känsliga personuppgifter
som är nödvändiga att behandla i en viss verksamhet. I betänkandet är
utgångspunkten att alla verksamheter som tidigare har tillåtits att
behandla samtliga kategorier av känsliga personuppgifter ska få göra det
även i fortsättningen, inklusive de nya kategorierna, utan någon analys av
om det faktiskt behövs.
Helsingborgs kommun har uppfattat att utredningen föreslår att en be-
stämmelse om tystnadsplikt för den som behandlar känsliga person-
uppgifter förs in i lagen om behandling av personuppgifter inom social-
tjänsten. Enligt dataskyddsförordningen får känsliga personuppgifter
endast behandlas av eller under ansvar av en tjänsteperson som omfattas
av tystnadsplikt. Det finns ingen konsekvensbeskrivning i utredningen av
vad formuleringen under ansvar av innebär. Det behöv ett förtydligande
för att klargöra ansvarsförhållandet mellan myndighet och underleveran-
tör när en sådan behandlar känsliga personuppgifter för myndighetens
räkning.
Skälen för regeringens förslag: Som anges i avsnitt 6.6.4 är bedöm-
ningen att undantaget avseende hälso- och sjukvård samt social omsorg i
artikel 9.2 h i dataskyddsförordningen innefattar sådan verksamhet som
avses i 2 § lagen om behandling av personuppgifter inom socialtjänsten.	185

Prop. 2017/18:171 Bestämmelsen som tillåter behandling av känsliga personuppgifter inom tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten bedöms därmed förenlig med dataskyddsförordningen och kan och bör behållas.

Som också anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter inom socialtjänsten. Tystnads- plikt gäller redan inom socialtjänsten enligt 26 kap. offentlighets- och sekretesslagen (2009:400), 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade.

Begränsningarna av vilka känsliga personuppgifter som får behandlas enligt 7 § andra stycket och 7 a § lagen om behandling av personupp- gifter inom socialtjänsten får anses utgöra skyddsåtgärder enligt data- skyddsförordningen. Sådana bestämmelser är tillåtna med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behandling som grun- dar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i dataskyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i avsnitt 6.9.2, inte ändras med anledning av dataskyddsförordningen.

Dataskyddsförordningen innehåller nya kategorier av känsliga person- uppgifter – genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Socialdataskyddsutredningen anser att bestämmelsen som tillåter be- handling av känsliga personuppgifter i lagen om behandling av person- uppgifter inom socialtjänsten i enlighet med utredningens bedömning även bör omfatta de nya kategorierna av känsliga personuppgifter. Som anges i avsnitt 6.6.6 anser också regeringen att bestämmelser i särskilda registerförfattningar på Socialdepartementets område som tillåter be- handling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med dataskyddsförordningen. De nya kategorierna av känsliga personuppgifter får endast behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen. Det bör tillmätas betydelse att de nytillkomna kategorierna också bör omfattas av begränsningarna av behandling av känsliga personuppgifter i 7 § andra stycket, dvs. att uppgifterna får endast behandlas om dessa har lämnats i ett ärende eller är nödvändiga för verksamheten. Vidare att dessa inte får tas in i en sammanställning av personuppgifter enligt 7 a § lagen om behandling av personuppgifter inom socialtjänsten.

I 7 § första stycket 2 lagen om behandling av personuppgifter inom socialtjänsten bör därför hänvisas till samtliga kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen.

Till skillnad från Socialdataskyddsutredningen anser regeringen inte att det i nuvarande 7 a § behöver förtydligas att de känsliga personuppgifter som avses är desamma som i 7 § första stycket 2.

186

7.4.4	Bestämmelsen om rättelse och skadestånd	Prop. 2017/18:171
	upphävs

Regeringens förslag: Bestämmelsen i 9 § lagen om behandling av personuppgifter inom socialtjänsten som hänvisar till personuppgifts- lagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 9 § lagen om behandling av personuppgifter inom socialtjänsten ska personuppgiftslagens bestäm- melser om rättelse och skadestånd gälla vid behandling av personupp- gifter enligt lagen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.4.5Bestämmelsen om överklagande upphävs

Regeringens förslag: Bestämmelsen om överklagande i 10 § lagen om behandling av personuppgifter inom socialtjänsten upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Beslut inom socialtjänsten om rättelse och om avslag på ansökan om information enligt 26 § person- uppgiftslagen får enligt 10 § första stycket lagen om behandling av personuppgifter inom socialtjänsten överklagas hos allmän förvaltnings- domstol. Andra beslut enligt lagen om behandling av personuppgifter inom socialtjänsten får däremot inte överklagas. Av 10 § andra stycket framgår att prövningstillstånd krävs vid överklagande till kammarrätten.

I avsnitt 6.12 har regeringen gjort bedömningen att det inte finns skäl att reglera möjligheten att överklaga i registerförfattningar på annat sätt än i enlighet med vad som följer av den förslagna dataskyddslagen. Det har inte framkommit några särskilda skäl som motiverar att möjligheten att överklaga beslut inom socialtjänsten ska vara mer omfattande än vad som gäller i övriga verksamheter. Regeringen gör därför bedömningen att bestämmelserna om överklagande i den föreslagna dataskyddslagen bör gälla även inom tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen i 10 § lagen om behandling av personuppgifter inom socialtjänsten bör därför upphävas.

187

Prop. 2017/18:171 7.5	Socialförsäkringsbalken
7.5.1	Bestämmelsen om tillämpningsområdet behålls

Regeringens förslag: Definitionen av socialförsäkringen administra- tion placeras i 114 kap. 2 § första stycket socialförsäkringsbalken.

Regeringens bedömning: Inga förändringar krävs av bestämmelsen om tillämpningsområdet i 114 kap. 2 § socialförsäkringsbalken.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens bedömning. Utredningen föreslår en annan placering av definitionen av socialförsäkringens administration.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Pensionsmyndigheten anser att bestämmelsen inte behövs eftersom personuppgiftsbehandling regleras direkt av dataskyddsförordningen.

Skälen för regeringens bedömning: Bestämmelsen bör inte ändras vad avser bestämmelsens tillämpningsområde av de skäl som anges i avsnitt 6.2. Med anledning av Lagrådets synpunkter föreslår regeringen att bestämmelsen med definitionen av socialförsäkringens administration placeras sist i 114 kap. 2 § första stycket, se avsnitt 7.5.4.

7.5.2Rätten att invända mot behandling av personuppgifter

Regeringens bedömning: Bestämmelsen i 114 kap. 3 § socialförsäk- ringsbalken bör även fortsättningsvis innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Pensionsmyndigheten ställer sig principiellt tveksam till inskränk- ningar av de rättigheter som gäller enligt dataskyddsförordningen eftersom sådana inskränkningar riskerar att urholka det skydd för integriteten som förordningen är avsedd att ge. Sådana inskränkningar ska inte göras generellt utan först efter noggranna överväganden i varje enskilt fall. 114 kap. 3 § socialförsäkringsbalken innebär en begränsning av rätten att invända mot behandling. Pensionsmyndigheten anser att bestämmelsen bör kunna upphävas, eftersom behovet av dessa inskränk- ningar inte väger tyngre än de registrerades intresse av att rättigheterna inte inskränks.

Skälen för regeringens bedömning: Enligt 114 kap. 3 § socialförsäk- ringsbalken får sådan behandling av personuppgifter som är tillåten enligt det kapitlet utföras även om den registrerade motsätter sig behand- lingen.

188

Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter, under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning (se vidare avsnitt 6.8.1). Den behandling som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken är till största delen sådan behandling. Bestämmelsen i 114 kap. 3 § socialför- säkringsbalken utgör en begränsning av rätten att göra invändningar mot behandling av personuppgifter i artikel 21 i dataskyddsförordningen. En sådan bestämmelse förutsätter, i enlighet med vad som framgår av avsnitt 6.8.2, att de villkor som anges i artikel 23 i dataskyddsförordningen är uppfyllda. Vilka villkoren är framgår av samma avsnitt. Ett av kraven är att bestämmelsen utgör en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål, punkt e, gäller ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. Regeringen anser att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförord- ningen.

En ytterligare förutsättning för att en begränsning ska få göras enligt artikel 23.1 i dataskyddsförordningen är att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det aktuella intresset. Försäkringskassan och Pensionsmyndigheten, som administrerar socialförsäkring och pensioner, behandlar personuppgifter helt eller delvis automatiserat. Elektroniska ärendehanteringssystem ut- gör en integrerad del av myndigheternas handläggning av ärenden, och systemen har tagits fram i syfte att främja såväl effektivitet som rätts- säkerhet samtidigt som integritetsaspekter beaktats. Rätten till förmåner enligt socialförsäkringsbalken är i och för sig inte beroende av myndig- heternas möjlighet att behandla personuppgifter automatiserat, men en möjlighet för den registrerade att invända mot den normala hanteringen skulle påtagligt försvåra arbetet för myndigheterna. En delvis manuell hantering skulle minska effektiviteten, öka kostnaderna och riskera en negativ påverkan på objektivitet och likabehandling. Mot bakgrund av det starka intresset av en enhetlig elektronisk ärendehantering, måste ett undantag från rätten att invända mot behandling av personuppgifter i verksamhet som omfattas av tillämpningsområdet för 114 kap. social- försäkringsbalken anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Begränsningen kan inte heller anses strida mot andemeningen i de grundläggande rättigheterna och friheterna.

De specifika bestämmelser som krävs enligt artikel 23.2 i dataskydds- förordningen, om bl.a. olika skyddsåtgärder för personuppgifterna, finns redan i 114 kap. socialförsäkringsbalken.

Regeringen bedömer – till skillnad från Pensionsmyndigheten – att 114 kap. 3 § socialförsäkringsbalken även fortsättningsvis kan och bör innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.

Prop. 2017/18:171

189

Prop. 2017/18:171 7.5.3

Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 114 kap. 6 § socialförsäkrings- balken ska innehålla en upplysning om att kapitlet kompletterar EU:s dataskyddsförordning.

Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av 114 kap. socialförsäkringsbalken eller föreskrifter som har meddelats i anslutning till det kapitlet.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Se avsnitt 6.3.

Skälen för regeringens förslag: Bestämmelsen i 114 kap. 6 § social- försäkringsbalken om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

7.5.4Bestämmelsen om personuppgiftsansvar placeras i en egen paragraf

Regeringens förslag: Bestämmelsen om personuppgiftsansvar placeras i en ny paragraf.

Regeringens bedömning: Bestämmelsen om personuppgiftsansvar ändras inte i sak.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår att definitionen av socialförsäkringens administration ska placeras i samma paragraf som bestämmelsen om personuppgiftsansvar.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Pensionsmyndigheten anför att det vore mer ändamålsenligt att inte reglera personuppgiftsansvaret alls, utan i stället låta dataskyddförord- ningens bestämmelser gälla, vilket ger möjligheter till ett gemensamt personuppgiftsansvar när sådana förhållanden som gör det tillåtet och lämpligt är för handen. Detta skulle även gynna de registrerade eftersom det då ankommer på Pensionsmyndigheten och Försäkringskassan till- sammans och under öppna former att fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen. Av 114 kap. socialförsäkringsbalken framgår nämligen att Pensionsmyndigheten och Försäkringskassan är personuppgiftsansvarig för sin egen respektive be- handling av personuppgifter i socialförsäkringsdatabasen. I själva verket är det många gånger samma uppgifter som behandlas av båda myndig- heterna, men behandlingen kan skilja sig såtillvida att den ena myndig- heten samlar in uppgifterna och den andra myndigheten behandlar upp- gifterna för att exempelvis fastställa intjänande eller för att besluta om socialförsäkringsförmåner. Praktiska tillämpningsproblem uppstår då i förhållande till skyldigheter som ankommer på den personuppgifts-

ansvarige, såsom skyldigheten att rapportera personuppgiftsincidenter,

190

och i förhållande till de rättigheter som tillkommer de registrerade. Frågor som blir mer eller mindre svåra att lösa är t.ex. vilken myndighet som ska rapportera en incident avseende en uppgift som behandlas av båda myndigheterna, eller om en behandling kan begränsas hos den ena myndigheten men inte den andra. Kanske finns det hos en myndighet skäl att begränsa behandlingen, men inte hos den andra. Frågan är hur en sådan situation hanteras praktiskt och tekniskt. I förlängningen blir det även en rättssäkerhetsfråga såtillvida att det i ljuset av de skärpta sanktioner som regelverket är förenade med inte får råda någon tvekan om vilken myndighet som bär ansvaret vid bristande regelefterlevnad. Därtill kommer vikten av att det för de registrerade är tydligt vilken myndighet de ska vända sig till för att framställa en begäran om tillgodo- seende av rättigheter. Bestämmelsen om personuppgiftsansvar bör därför upphävas. I andra hand menar Pensionsmyndigheten att bestämmelsen om personuppgiftsansvar i 114 kap. 6 § andra stycket bör kompletteras så att det anges att personuppgiftsansvaret för uppgifter i socialförsäkrings- databasen kan vara gemensamt mellan Pensionsmyndigheten och Försäkringskassan.

Skälen för regeringens förslag och bedömning: I 114 kap. 6 § andra stycket socialförsäkringsbalken regleras vem som är personuppgifts- ansvarig. Pensionsmyndigheten anser att bestämmelsen bör upphävas och att enbart dataskyddsförordningen ska tillämpas i stället.

Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myn- dighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personupp- giftsansvarige eller de särskilda kriterierna för hur denne ska utses före- skrivas i unionsrätten eller i medlemsstaternas nationella rätt. Mot- svarande gäller enligt artikel 2 d i dataskyddsdirektivet.

Det är således tillåtet enligt dataskyddsförordningen att i nationell lag- stiftning peka ut vem som är personuppgiftsansvarig, på samma sätt som enligt dataskyddsdirektivet. Om den personuppgiftsansvarige finns an- given i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.

Enligt skäl 45 i dataskyddsförordningen bör medlemsstaternas nationella rätt reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjuk- vårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

Regeringen anser därför att bestämmelsen om vem som är person- uppgiftsansvarig kan och bör behållas. Pensionsmyndigheten anför att bestämmelsen i så fall bör kompletteras så att det anges att personupp- giftsansvaret för uppgifter i socialförsäkringsdatabasen kan vara gemen- samt mellan Pensionsmyndigheten och Försäkringskassan. Regeringen har i avsnitt 5.2 bedömt att detta lagstiftningsärende bör avgränsas till att

Prop. 2017/18:171

191

Prop. 2017/18:171 hantera de anpassningar i författningar inom Socialdepartementets verk- samhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordningens ikraftträdande. Den ändring som Pensions- myndigheten föreslår behövs inte med anledning av förordningen och hanteras därför inte i detta ärende. Bestämmelsen om personuppgifts- ansvar bör därför inte ändras på annat sätt än att den för att öka över- skådligheten placeras i en egen paragraf.

Socialdataskyddsutredningen föreslår att definitionen av socialförsäk- ringens administration ska placeras i samma paragraf, 114 kap. 6 a §, som bestämmelsen om personuppgiftsansvar. Lagrådet anser att en lämp- ligare ordning synes vara att de myndigheter det är fråga om pekas ut redan i en andra mening i 114 kap. 2 § första stycket. Regeringen instämmer i denna bedömning och föreslår därför att definitionen av socialförsäkringens administration i stället placeras i kapitlets början, 114 kap. 2 § första stycket, se vidare avsnitt 7.5.1.

7.5.5Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Bestämmelsen i 114 kap. 10 § ändras på det sättet att hänvisningen till personuppgiftslagen tas bort. I stället anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 114 kap. 10 § socialförsäkrings- balken finns det en hänvisning till 9 § första stycket d personuppgifts- lagen, den s.k. finalitetsprincipen. Bestämmelsen innebär att person- uppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I 114 kap. 10 § socialförsäkrings- balken finns det också en hänvisning till 9 § andra stycket personupp- giftslagen, där det förtydligas att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

I enlighet med vad som anges i avsnitt 6.5.3, bör det även fortsätt- ningsvis finnas en bestämmelse som klargör att de i 114 kap. socialför- säkringsbalken angivna ändamålen inte är uttömmande. Bestämmelsen bör utformas i enlighet med vad som anges i det avsnittet.

192

7.5.6Känsliga personuppgifter och uppgifter om lagöverträdelser

Regeringens förslag: Bestämmelserna som reglerar behandling av känsliga personuppgifter i 114 kap. 11 § socialförsäkringsbalken ska omfatta alla känsliga personuppgifter enligt den utvidgade defini- tionen i EU:s dataskyddsförordning.

Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser tas bort. I stället ska det i 114 kap. 12 § socialförsäk- ringsbalken uttryckligen anges vilka personuppgifter om lagöver- trädelser m.m. som får behandlas medan det i 114 kap. 13 §, 15 § andra stycket och 16 § hänvisas till 114 kap. 12 § första stycket.

Regeringens bedömning: I övrigt bör bestämmelserna i 114 kap. 11 och 12 §§, 15 § andra stycket och 16 § socialförsäkringsbalken behållas i sak.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning och förslag.

Övriga synpunkter, se avsnitt 6.6.3 och 6.6.6.

Skälen för regeringens förslag och bedömning

Känsliga personuppgifter

Känsliga personuppgifter får enligt 114 kap. 11 § socialförsäkringsbalken behandlas om uppgifterna lämnats till en myndighet inom socialförsäk- ringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Det är dessutom tillåtet att behandla känsliga personupp- gifter om det är nödvändigt för vissa angivna ändamål. För vissa ändamål gäller att endast uppgifter om hälsa får behandlas. Det finns också en begränsning som innebär att behandling av känsliga personuppgifter för vissa ändamål inte får ske annat än om uppgifterna redan har behandlats för vissa andra ändamål. I 114 kap. 15 § andra stycket första och andra meningarna och 114 kap. 16 § socialförsäkringsbalken finns det vissa begränsningar av behandling av känsliga personuppgifter i socialförsäk- ringsdatabasen. I 114 kap. 13 § finns det en upplysning om bestämmel- serna i 114 kap. 15 §.

Behandling av känsliga personuppgifter hos myndigheterna inom socialförsäkringens administration är nödvändig med hänsyn till ett viktigt allmänt intresse. Bestämmelserna som tillåter behandling av käns- liga personuppgifter inom tillämpningsområdet för 114 kap. socialförsäk- ringsbalken är, i enlighet med vad som konstaterats i avsnitt 6.6.3, för- enliga med artikel 9.2 g i dataskyddsförordningen och kan och bör be- hållas.

Prop. 2017/18:171

193

Prop. 2017/18:171 behandling av känsliga personuppgifter i 114 kap. socialförsäkrings- balken i enlighet med vad som sägs i avsnitt 6.6.6.

Begränsningarna av under vilka förutsättningar känsliga personuppgift- er får behandlas får anses utgöra sådana lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hän- syn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförord- ningen. Begränsningarna kan och bör därför behållas. Detsamma gäller för begränsningen som innebär att endast uppgifter om hälsa får behand- las för vissa ändamål.

Bestämmelsen i 114 kap. 11 § andra stycket bör, i enlighet med den be- dömning som har gjorts i avsnitt 6.6.6, inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Det kommer även fortsättningsvis endast vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa för de aktuella ändamålen. Som anges i avsnitt 6.6.6 förekommer det emellertid att de olika kategorierna av känsliga personuppgifter över- lappar varandra. Sådana uppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa, kan behandlas som en uppgift om hälsa med stöd av bestämmelsen i 114 kap. 11 § andra stycket socialförsäkringsbalken. Det har inte framkommit något behov av att behandla sådana uppgifter, och det behövs därför inget förtydligande kring det i paragrafen.

Bestämmelserna i 114 kap. 11 § första och tredje styckena socialför- säkringsbalken bör omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen.

Uppgifter om lagöverträdelser m.m.

I 114 kap. 12 § och 15 § andra stycket samt 16 § socialförsäkringsbalken finns det bestämmelser som begränsar möjligheten att behandla person- uppgifter om lagöverträdelser. Myndigheters möjligheter att behandla personuppgifter om lagöverträdelser behöver, i enlighet med vad som framgår av avsnitt 6.7, inte ändras med anledning av dataskyddsförord- ningen. Eftersom bestämmelserna innehåller hänvisningar till personupp- giftslagen som kommer att upphöra att gälla i samband med att data- skyddsförordningen ska börja tillämpas, måste bestämmelserna dock ändras. I 114 kap. 12 § socialförsäkringsbalken bör det uttryckligen an- ges vilka personuppgifter om lagöverträdelser m.m. som får behandlas medan det i 114 kap. 13 § och 15 § andra stycket samt 16 § hänvisas till 114 kap. 12 § första stycket.

194

7.5.7

Sökbegränsningar

Prop. 2017/18:171

Regeringens förslag: Bestämmelsen om användning av känsliga personuppgifter som sökbegrepp i 114 kap. 27 § första stycket social- försäkringsbalken ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning. Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser ersätts med en hänvisning till 114 kap. 12 § socialförsäkringsbalken.

Regeringens bedömning: Bestämmelserna om sökbegränsningar i 114 kap. 27 och 28 §§ socialförsäkringsbalken bör behållas i sak.

Socialdataskyddsutredningens förslag och bedömning: Överens- stämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning och förslag.

Skälen för regeringens förslag och bedömning: I 114 kap. 27 § socialförsäkringsbalken finns det ett förbud mot att använda känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp vid sökning i socialförsäkringsdatabasen. Bestämmelserna innehåller också en begränsning som innebär att endast beteckning på ett ärende eller en handling får användas som sökbegrepp vid sökning som omfattar inne- hållet i fler än en handling. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt enligt sista stycket i samma paragraf. Enligt 114 kap. 28 § socialförsäk- ringsbalken får uppgifter om hälsa användas under vissa förutsättningar om regeringen eller den myndighet regeringen bestämmer meddelat föreskrifter om det.

Förbudet mot att använda känsliga personuppgifter som sökbegrepp i 114 kap. 27 § första stycket får anses utgöra en sådan lämplig och sär- skild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsför- ordningen. Bestämmelsen kan och bör därmed behållas.

Som anges i avsnitt 6.6.6 har nya kategorier av känsliga personupp- gifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. De nytillkomna kategorierna bör, i enlighet med vad Socialdataskyddsutredningen kommit fram till omfattas av sökförbudet i de nu aktuella bestämmelserna.

Sökbegränsningen avseende uppgifter om lagöverträdelser kan be- hållas (se avsnitt 6.7), eftersom den avser behandling som sker med stöd av artikel 6.1c eller e i dataskyddsförordningen eller endast omfattar myndigheters möjligheter att behandla personuppgifter om lagöver- trädelser.

Bestämmelsen som begränsar möjligheten att söka med hjälp av annat än beteckningen på ett ärende eller en handling i 114 kap. 27 § andra stycket utgör, som framgått av avsnitt 6.9, en form av skyddsåtgärd enligt dataskyddsförordningen. Bestämmelser om skyddsåtgärder är tillåtna med stöd av artiklarna 6.2 och 6.3 i dataskyddsförordningen när

det gäller reglering av behandling som grundar sig på en rättslig för-

195

Prop. 2017/18:171 pliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelsen bör därmed inte ändras.

Bestämmelsen i 114 kap. 28 § socialförsäkringsbalken som anger att uppgifter som rör hälsa får användas som sökbegrepp om föreskrifter har meddelats om det, bör i enlighet med bedömningen i avsnitt 6.6.6 inte utvidgas till att omfatta några av de nya kategorierna av känsliga personuppgifter utan behållas i sin nuvarande utformning. Det kommer även fortsättningsvis endast vara möjligt att meddela föreskrifter som tillåter behandling av sådana känsliga uppgifter som rör hälsa. Det förekommer emellertid att de olika kategorierna av känsliga personupp- gifter överlappar varandra. Sådana personuppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa kan enligt regeringens bedömning således omfattas av föreskrifter som meddelas med stöd av bestämmelsen i 114 kap. 28 § socialförsäkrings- balken.

7.5.8Överföring av personuppgifter till tredjeländer

Regeringens förslag: Bestämmelsen i 114 kap. 29 § socialförsäk- ringsbalken ändras på det sättet att det anges att personuppgifter får föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige har ingått med andra stater.

	Socialdataskyddsutredningens förslag: Överensstämmer med
	regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens förslag.
	Pensionsmyndigheten anser att bestämmelsen inte behövs, eftersom
	behandlingen regleras direkt i förordningen.
	Datainspektionen ifrågasätter utredningens bedömning att bestämmel-
	ser i registerförfattningar som tillåter överföring av personuppgifter till
	tredjeland inte behöver ändras om det finns stöd för överföringen i data-
	skyddsförordningen eftersom det får anses vara en sådan mer specifik,
	eller särskild, bestämmelse som det enligt artikel 6.2 och 6.3 i data-
	skyddsförordningen är tillåten att ha i nationell rätt. Överföring av
	personuppgifter till tredjeländer regleras i kapitel V i dataskyddsförord-
	ningen. I vilka fall det är möjligt med nationell reglering avseende tredje-
	landsöverföring framgår av kapitel V. Den konkreta bestämmelsen som
	berörs är 114 kap. 29 § socialförsäkringsbalken. För att säkerställa om
	undantagen är förenliga med dataskyddsförordningen är det nödvändigt
	att finna stöd i en artikel som möjliggör sådana nationella regleringar. Av
	artikel 49.1 d dataskyddsförordningen framgår att överföring till tredje-
	land kan vara tillåtet om överföringen är nödvändig av viktiga skäl som
	rör allmänintresset. Det framgår vidare av artikel 49.4 att allmänintresset
	ska vara erkänt i unionsrätten eller i den nationella rätt som den person-
	uppgiftsansvarige omfattas av. Att själva allmänintresset kan erkännas av
	nationell rätt framgår således direkt i artikeln. Enligt Datainspektionens
	bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell
196	rätt generellt tillåta överföring till tredje land. En personuppgiftsansvarig

som vill föra över uppgifter till tredje land med stöd av denna punkt måste alltid försäkra sig om att förutsättningarna för överföringen är upp- fyllda. Möjligheten till nationell reglering med hänsyn till viktiga allmän- intressen finns i stället i artikel 49.5. Enligt denna artikel krävs dock att det i den nationella rätten fastställs gränser för överföringen av specifika kategorier av personuppgifter till ett tredje land eller en internationell organisation. Medlemsstaterna ska också underrätta kommissionen om sådana bestämmelser.

Sveriges advokatsamfund anser att det i sig alltid är förenat med särskilda risker att lämna ut personuppgifter till annat land, inte minst till länder utanför EU och EES. En särskild problematik ligger i det att vare sig de svenska personuppgiftsansvariga myndigheterna eller de regi- strerade kan förutse hur personuppgifterna kommer att användas, efter- som överlämnandet inte kan förenas med villkor som strider mot tvingande bestämmelser i nationell rätt i dessa länder. Det är av väsentlig betydelse att de personuppgiftsansvariga myndigheterna gör en noggrann bedömning av riskerna att uppgifterna kan komma att behandlas för ändamål som inte är förenliga med dataskyddsförordningen och de föreslagna bestämmelserna.

Skälen för regeringens förslag: Enligt artikel 49.1 d i dataskydds- förordningen, som är direkt tillämplig, får en överföring till ett tredjeland göras när den är nödvändig av viktiga skäl som rör allmänintresset. Allmänintresset ska enligt artikel 49.4 vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av. Av skäl 112 i dataskyddsförordningen framgår att internationella utbyten av uppgifter mellan socialförsäkringsmyndigheter är en uppgiftsöverföring som krävs och är nödvändig med hänsyn till viktiga allmänintressen.

Enligt 114 kap. 29 § socialförsäkringsbalken får överföring av person- uppgifter till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater ske utan hinder av 33 § personupp- giftslagen. Överföring av personuppgifter på grund av avtal om social trygghet bedöms i förarbetena till 114 kap. 29 § socialförsäkringsbalken vara ett viktigt allmänt intresse enligt artikel 26 i dataskyddsdirektivet (prop. 2002/03:135 s. 112 f.).

Lagrådet ifrågasätter lagrådsremissens tillägg i paragrafen som lyder ”under förutsättning att villkoren i kapitel V i EU:s dataskyddsförordning är uppfyllda”. Något sådant tillägg föreslås inte i fråga om förslaget till ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa (avsnitt 7.16.1) som också gäller överföring av person- uppgifter till tredjeland (jfr även förslaget till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention i lagrådsremissen den 11 januari 2018, ”Kreditupplysningslagen och dataskyddsförordningen”).

Regeringen, som instämmer i Lagrådets bedömning, föreslår att be- stämmelsen utformas enligt den lydelse som Socialdataskyddsutred- ningen föreslår. Överföring av personuppgifter till tredjeland kommer framöver att regleras av kapitel V i dataskyddsförordningen. När data- skyddsförordningen börjar tillämpas är 114 kap. 29 § socialförsäkrings- balken inte längre nödvändig. Utan överföringen kan ske direkt med stöd av dataskyddsförordningen. Regeringen anser att bedömningen i prop. 2002/03:135 fortfarande gäller, och bestämmelsen fyller en funktion för att klargöra erkännandet av allmänintresset av att personuppgifter får

Prop. 2017/18:171

197

Prop. 2017/18:171 föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige har ingått med andra stater. Regeringen bedömer att en sådan klargörande bestämmelse är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen och att den bör behållas. Eftersom personupp- giftslagen kommer att upphävas, bör dock hänvisningen till den lagen tas bort.

7.5.9Bestämmelsen om gallring får ändrad lydelse

Regeringens förslag: Bestämmelsen i 114 kap. 31 § socialförsäk- ringsbalken ändras så att formuleringen om historiska, statistiska eller vetenskapliga ändamål överensstämmer med den som används i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Pensionsmyndigheten anser att bestämmelsen om gallring inte behövs i och med att behandlingen regleras direkt i förordningen.

Skälen för regeringens förslag: Enligt 114 kap. 31 § socialförsäk- ringsbalken ska personuppgifter som behandlas automatiskt gallras när de inte längre är nödvändiga för de ändamål som anges i 114 kap. 7 §, om inte regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelser om gallring och bevarande behöver inte ändras i sak under de förutsättningar som anges i avsnitt 6.10. Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ända- mål. Bestämmelserna i 114 kap. 31 § socialförsäkringsbalken bör behållas. Bestämmelsen ska dock ändras så att formuleringar överens- stämmer med dataskyddsförordningens lydelse.

7.5.10Information som ska lämnas på begäran

	Regeringens förslag: Hänvisningen till	personuppgiftslagen	i
	114 kap. 30 § socialförsäkringsbalken ändras till att avse artikel 15 i
	EU:s dataskyddsförordning. Bestämmelsen om att information bara
	behövs lämnas gratis en gång per kalenderår gällande varje handling
	för sig tas bort.

	Socialdataskyddsutredningens förslag:	Överensstämmer	med
	regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens förslag.
	Pensionsmyndigheten anför att 114 kap. 30 § socialförsäkringsbalken
	innehåller en begränsning av registrerades rätt till information. Bestäm-
	melsen bör upphävas eftersom behovet av inskränkningen inte väger
198	tyngre än de registrerades intresse av att rättigheten inte inskränks.

Skälen för regeringens förslag: I 114 kap. 30 § socialförsäkrings- balken finns det en bestämmelse som kompletterar 26 § personuppgifts- lagen, som i sin tur anger vilken information den personuppgifts- ansvarige ska lämna på begäran av den registrerade, dvs. den information som lämnas i ett s.k. registerutdrag. Enligt 26 § personuppgiftslagen ska information lämnas om vilka uppgifter om den sökande som behandlas. Enligt 114 kap. 30 § socialförsäkringsbalken gäller denna skyldighet i ett första skede inte personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende, om den registrerade tagit del av handlingens innehåll. Eftersom den enskilde ofta i enlighet med förvaltningslagen har kommunicerats uppgifter som tillförts ett ärende från annan än honom eller henne själv, har den registrerade i de flesta fall tagit del av de personuppgifter som finns i handlingar som kommit in i ett ärende eller upprättats i ett ärende. Då behöver Försäkringskassan eller Pensions- myndigheten endast lämna information om vilka sådana handlingar som finns i ärendet. Om den registrerade sedan begär att få information om personuppgifter i en sådan handling och anger vilken handling som avses, ska registerutdraget omfatta även dessa uppgifter, om inte annat följer av bestämmelser om sekretess.

I dataskyddsförordningen framgår skyldigheten att lämna information på begäran av den registrerade av artikel 15. Bestämmelsen i 114 kap. 30 § socialförsäkringsbalken medför en viss begränsning av rätten enligt artikel 15 i dataskyddsförordningen. Samtlig information kan inte fås i ett första steg utan det krävs att den registrerade först tar del av information om vilka handlingar som finns, för att sedan begära att även få del av innehållet i handlingarna. Begränsningen är dock inte särskilt ingripande och medför ingen rättsförlust, eftersom rätten att få del av samtliga personuppgifter kvarstår även om den förutsätter en större ansträngning från den registrerades sida.

Begränsningen får förutsättas ha stöd i personuppgiftslagen och data- skyddsdirektivet. Befintliga begränsningar av den registrerades rättig- heter kan och bör behållas (se avsnitt 6.8.2).

För den händelse bestämmelsen även skulle innebära en utvidgning av skyldigheterna enligt dataskyddsförordningen, drabbar den utvidgningen bara myndigheter, varför dataskyddsförordningen inte hindrar den.

Bestämmelsen behöver dock omarbetas, eftersom personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. En hänvisning bör göras till artikel 15 i dataskyddsförordningen. Bestämmelsen om att information bara behövs lämnas gratis en gång per kalenderår gällande varje handling för sig tas bort, se artikel 12.5 i dataskyddsförordningen. Hänvisningen bör vara dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom artikel 15 i dataskyddsförordningen är direkt tillämplig.

Prop. 2017/18:171

199

Prop. 2017/18:171 7.5.11 Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 114 kap. 33 § socialförsäk- ringsbalken som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 114 kap. 33 § socialförsäk- ringsbalken ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt 114 kap. eller föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.5.12Bestämmelsen om överklagande upphävs

Regeringens förslag: Bestämmelsen om överklagande i 114 kap. 36 § socialförsäkringsbalken upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens. Utredningen föreslår att hänvisningen till personuppgifts- lagens bestämmelser om överklagande ersätts med en hänvisning till dataskyddslagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 114 kap. 36 § socialförsäkrings- balken upplyses om att i fråga om överklagande av beslut om rättelse eller avslag på ansökan om information enligt 26 § personuppgiftslagen (registerutdrag) tillämpas bestämmelserna i den lagen. Vidare framgår av paragrafen att andra beslut enligt 114 kap. socialförsäkringsbalken inte får överklagas.

I fråga om överklagande av beslut enligt 114 kap. kommer dataskydds- lagens bestämmelser att gälla (se avsnitt 6.12). Till skillnad från Socialdataskyddsutredningen anser regeringen att det inte behövs en särskild bestämmelse som upplyser om det.

7.5.13Automatiserade beslut i socialförsäkringsbalken

Regeringens bedömning: Bestämmelserna i 112 kap. 6 och 7 §§ socialförsäkringsbalken bör inte ändras.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Remissinstanserna har inte haft några synpunkter

på bedömningen.

200

Skälen för regeringens bedömning: I avsnitt 6.8.1 redogörs för innehållet i artikel 4.4 i dataskyddsförordningen om profilering och i artikel 22 om automatiserat individuellt beslutsfattande, inbegripet profilering.

Enligt 112 kap. 6 § socialförsäkringsbalken får Skatteverket fatta beslut om pensionsgrundande inkomst genom automatiserad behandling när skälen för beslutet får utelämnas enligt 20 § första stycket 1 förvalt- ningslagen (1986:223). Pensionsmyndigheten får enligt 7 § i samma kapitel fatta beslut om allmän ålderspension, efterlevandepension och efterlevandestöd genom automatiserad behandling, när skälen för beslutet får utelämnas enligt 20 § förvaltningslagen. Av 20 § förvalt- ningslagen följer att ett beslut varigenom en myndighet avgör ett ärende ska innehålla de skäl som har bestämt utgången, om ärendet avser myndighetsutövning mot någon enskild. Skälen får dock utelämnas helt eller delvis bl.a. om beslutet inte går någon part emot eller om det av någon annan anledning är uppenbart obehövligt att upplysa om skälen. Om skälen har utelämnats bör myndigheten, enligt andra stycket i samma paragraf, på begäran av den som är part om möjligt upplysa om skälen i efterhand. Förvaltningslagen (1986:223) kommer att upphävas den 1 juli 2018 då den nya förvaltningslagen (2017:900) träder i kraft. Enligt 32 § i den nya förvaltningslagen ska ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Någon generell möjlighet att göra undantag för gynnande beslut finns inte. I Ds 2017:42 föreslås att 112 kap. 6 § ändras på det sättet att Skatteverkets beslut om pensions- grundande inkomst får fattas genom automatiserad behandling när en klargörande motivering för beslutet får utelämnas enligt 32 § första stycket förvaltningslagen. I samma Ds föreslås att 7 § i samma kapitel ändras så att beslut om allmän ålderspension får fattas genom automatiserad behandling av Pensionsmyndigheten när en klargörande motivering för beslutet får utelämnas enligt 32 § första stycket förvalt- ningslagen och att detsamma ska gälla i tillämpliga delar för beslut om efterlevandepension och efterlevandestöd.

Automatiserade beslut är enligt artikel 22 i dataskyddsförordningen som huvudregel inte tillåtna om de innefattar profilering (se regeringens bedömning i avsnitt 6.8.1). Utredningen har bedömt att de beslut som Skatteverket och Pensionsmyndigheten kan fatta på automatiserad väg enligt socialförsäkringsbalken inte inkluderar profilering i dataskyddsför- ordningens mening, och att bestämmelserna i socialförsäkringsbalken därför inte behöver ändras.

Automatiserade beslut om pensionsgrundande inkomst, om ålders- pension, efterlevandepension och efterlevandestöd måste enligt regeringens mening anses innebära automatisk behandling av personupp- gifter som består i att analysera eller förutsäga en persons ekonomiska situation. Därmed omfattas beslutsfattandet av definitionen av profilering i artikel 4.4 dataskyddsförordningen.

Regeringen bedömer därför till skillnad från utredningen att besluts- fattande enligt 112 kap. 6 och 7 §§ socialförsäkringsbalken omfattas av huvudregeln i artikel 22.1 som innebär att en registrerad har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behand- ling, inbegripet profilering. För att sådana automatiserade beslut ändå ska

Prop. 2017/18:171

201

Prop. 2017/18:171 vara tillåtna krävs att något av villkoren i artikel 22.2 är uppfyllt. Enligt artikel 22.2 b kan beslut grundas på automatiserad behandling, inbegripet profilering, om beslutet tillåts enligt unionsrätten eller nationell rätt som den personuppgiftsansvarige omfattas av, och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och be- rättigade intressen. Bestämmelserna i 112 kap. 6 och 7 §§ som tillåter automatiserade beslut kan och bör således behållas enligt dataskydds- förordningen. Det krävs dock att den nationella rätten fastställer lämpliga skyddsåtgärder (se avsnitt 6.8.1). Sådana skyddsåtgärder får anses finnas i tillräcklig omfattning dels genom den hänvisning till förvaltningslagen som begränsar möjligheterna att fatta beslut genom automatiserad behandling, dels genom bestämmelserna om ändring, omprövning och överklagande i 113 kap. socialförsäkringsbalken, och dels genom de allmänna bestämmelserna i förvaltningslagen om den enskildes rättig- heter.

7.6 Lagen (2010:111) om införande av socialförsäkringsbalken

Regeringens förslag: Bestämmelserna i 9 kap. 22 och 23 §§ lagen om införande av socialförsäkringsbalken ändras så att det framgår att 114 kap. 33 § socialförsäkringsbalken har upphävts och att de upp- hävda bestämmelserna om skadestånd ska tillämpas om den om- ständighet som ett yrkande om skadestånd grundas på har inträffat före den 25 maj 2018 men efter utgången av november 2003. Bestäm- melsen om att de dessförinnan gällande bestämmelserna ska tillämpas i annat fall tas bort.

	Socialdataskyddsutredningens förslag: Överensstämmer delvis med
	regeringens.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
	inte mot Socialdataskyddsutredningens förslag.
	Skälen för regeringens förslag: Enligt 9 kap. 22 § lagen om införande
	av socialförsäkringsbalkens ska bestämmelserna i 114 kap. 33 § social-
	försäkringsbalken om skadestånd på grund av behandling enligt det
	kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet
	även avse behandling enligt den upphävda lagen (2003:763) om behand-
	ling av personuppgifter inom socialförsäkringens administration eller
	föreskrifter som har meddelats i anslutning till den lagen. Enligt 9 kap.
	23 § lagen om införande av socialförsäkringsbalken gäller detta endast
	om den omständighet som ett yrkande om skadestånd grundas på har
	inträffat efter utgången av november 2003. I annat fall tillämpas de dess-
	förinnan gällande bestämmelserna. Bestämmelsen i 114 kap. 33 § social-
	försäkringsbalken är i princip identisk med bestämmelsen om skadestånd
	i 30 § lagen om behandling av personuppgifter inom socialförsäkringens
	administration. Båda bestämmelserna hänvisar till personuppgiftslagens
	bestämmelse om skadestånd.
	Regeringen föreslår i propositionen Ny dataskyddslag, (prop.
202	2017/08:105) att personuppgiftslagen, och därmed även dess bestämmel-

se om skadestånd, upphävs. Regeringen föreslår i avsnitt 7.5.11 att Prop. 2017/18:171 114 kap. 33 § socialförsäkringsbalken, som hänvisar till personuppgifts-

lagens bestämmelser om skadestånd och rättelse, också upphävs.

I propositionen om en ny dataskyddslag (prop. 2017/18:105 s. 176) anför regeringen att det följer av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593) och att någon särskild över- gångsbestämmelse om detta inte behövs.

Vid upphävandet av lagen om behandling av personuppgifter inom socialförsäkringens administration och införandet av socialförsäkrings- balken föreskrevs att de nya bestämmelserna om skadestånd i socialför- säkringsbalken skulle gälla även för skadefall som inträffat före ikraft- trädandet. Detta avviker från huvudregeln om att äldre lag ska gälla för skadefall som inträffat före ikraftträdandet av en ny lag med skadestånds- bestämmelser. För att detta ska fortsätta att gälla föreslår regeringen i likhet med Socialdataskyddsutredningen att bestämmelserna i 9 kap. 22 och 23 §§ lagen om införande av socialförsäkringsbalken behålls i sak, men ändras så att det framgår att 114 kap. 33 § socialförsäkringsbalken har upphävts och att den bestämmelsen bara ska tillämpas på skadefall som inträffat före dataskyddsförordningens ikraftträdande.

Den mening i 9 kap. 23 § lagen om införande av socialförsäkrings- balken som föreskriver att tidigare gällande bestämmelser ska tillämpas för fall som inträffade före november 2003 behövs inte eftersom det följer redan av de allmänna rättsgrundsatser som redovisats här. Mening- en kan därför tas bort från paragrafen. Även för skadefall som inträffar efter dataskyddsförordningens ikraftträdande ska huvudregeln gälla, vilket inte kräver någon särskild övergångsbestämmelse (se avsnitt 8.2).

7.7Lagen (1996:1156) om receptregister

7.7.1Förhållandet till annan reglering

Regeringens förslag: I 3 § lagen om receptregister ska det finnas en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om receptregister eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 3 § lagen om recept- register om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

203

Prop. 2017/18:171 7.7.2

Känsliga personuppgifter

Regeringens förslag: Lagen om receptregister kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Socialdataskyddsutredningen lämnade inget förslag om en sådan bestämmelse.

Remissinstanserna: E-hälsomyndigheten anser att förandet av recept- registret kan anses ha en lika stark koppling till bedrivande av hälso- och sjukvård som läkemedelsförteckningen och att en ny bestämmelse om behandling av känsliga personuppgifter bör införas även i lagen om receptregister.

Skälen för regeringens förslag: E-hälsomyndigheten noterar att Socialdataskyddutredningen bl.a. föreslår att nya bestämmelser om behandling av känsliga personuppgifter införs i lagen om läkemedels- förteckning. Bestämmelsen hänvisar till artikel 9.3 i dataskyddsförord- ningen som reglerar att känsliga personuppgifter som får behandlas för de ändamål som regleras i artikel 9.2 h dataskyddsförordningen endast av eller under ansvar av den yrkesutövare som omfattas av tystnadsplikt. Motsvarande bestämmelse föreslås inte som tillägg i lagen om recept- register. Skälet till detta synes vara det utredningen framför att det rättsliga stödet för behandling av känsliga personuppgifter i recept- registret är det undantag från förbudet som finns i artikel 9.2 g data- skyddsförordningen. Utredningens bedömning är att förandet av recept- registret ”i vart fall anses nödvändigt av hänsyn till ett viktigt allmänt intresse” (SOU 2017:66 avsnitt 11.1.7, s. 471). Vidare framgår det av att skälet till den bedömningen är att utredningen anser att de behandlingar som sker med stöd av lagen om receptregister ”inte har lika stark koppling till bedrivandet av hälso- och sjukvård” som de som sker med stöd av lagen om läkemedelsförteckningen (jfr SOU 2017:66 avsnitt 11.3.7, s. 482–483). E-hälsomyndigheten anser att motiveringen till detta synes dock hänföras från tiden då den aktuella lagen infördes då ända- målet bl.a. var att utgöra underlag för tillämpningen av bestämmelserna om läkemedelsförmåner, men efter lagens tillkomst har ändamålen för- ändrats och utvecklats. För närvarande kan de huvudsakliga ändamålen bättre beskrivas som: registrering och expediering av e-recept, expedie- ring av pappersrecept samt registrering av underlag för tillämpningen av bestämmelserna om läkemedelsförmåner. Med beaktande av de ändamål som finns i 6 § lagen om receptregister i dag anser E-hälsomyndigheten att förandet av receptregistret kan anses ha en lika stark koppling till bedrivande av hälso- och sjukvård som läkemedelsförteckningen och att en ny bestämmelse om behandling av känsliga personuppgifter bör in- föras även i lagen om receptregister.

Mot bakgrund av det som E-hälsomyndigheten anför anser regeringen att det i lagen om receptregister bör införas en kompletterande be- stämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförord-

204

ningen på att känsliga personuppgifter endast får	behandlas av eller Prop. 2017/18:171
under ansvar av den som omfattas av tystnadsplikt, se även avsnitt 6.6.4.
Personalen vid E-hälsomyndigheten omfattas av bestämmelser om tyst-
nadsplikt i bl.a. 25 kap. 17 a § offentlighets-	och sekretesslagen
(2009:400).

7.7.3 Den enskildes inställning till behandling av personuppgifter

Regeringens bedömning: Bestämmelsen i 4 § lagen om receptregi- ster om den enskildes inställning till behandlingen av personuppgifter kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att de registerförfattningar som innehåller be- stämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den person- uppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de person- uppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Datainspektionen saknar emellertid sådana särskilda överväganden beträffande 4 § andra stycket lagen om receptregister. Någon kommentar gällande privata vårdgivare görs inte.

Skälen för regeringens bedömning

Rätten att invända mot behandling av personuppgifter

Behandling av personuppgifter som är tillåten enligt lagen om recept- register får enligt 4 § första stycket lagen om receptregister utföras även om den enskilde motsätter sig behandlingen.

Rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen gäller endast behandling som grundar sig på artikel 6.1 e eller f (allmänt intresse, myndighetsutövning eller intresseavvägning) i dataskyddsför- ordningen. Den behandling som sker enligt lagen om receptregister grundar sig på en rättslig förpliktelse enligt artikel 6.1 c i dataskydds- förordningen (jfr Socialdataskyddsutredningens bedömning såvitt avser lagen om läkemedelsförteckning SOU 2017:66 avsnitt 11.3.5, s. 479). Vid sådan behandling ger dataskyddsförordningen inte den registrerade någon rätt att invända. Det är förenligt med skäl 8 i dataskyddsförord- ningen att behålla bestämmelsen i 4 § lagen om receptregister, trots att det redan följer av dataskyddsförordningens reglering att den registrerade inte har någon rätt att invända mot behandlingen. Bestämmelsen bör be-

hållas, eftersom den skapar tydlighet och igenkänning hos tillämparna.

205

Prop. 2017/18:171 Samtycke som grund för behandlingen

Behandling av personuppgifter som inte är tillåten enligt lagen om receptregister får, enligt 4 § andra stycket, ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.

Datainspektionen anser att de registerförfattningar som innehåller be- stämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den person- uppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de person- uppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Datainspektionen saknar emellertid sådana särskilda överväganden be- träffande 4 § andra stycket lagen om receptregister. Någon kommentar gällande privata vårdgivare görs inte.

I enlighet med vad som anges i avsnitt 6.5.2 förekommer det att myndigheter och enskilda tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. En sådan regel finns i 4 § andra stycket lagen om receptregister. Enligt den bedömning som redovisas i samma avsnitt kan sådana bestämmelser behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Regeringen delar därför inte Datainspektionens bedömning att ytterligare analys är nödvändig.

7.7.4Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagens bestäm- melse om finalitetsprincipen i 7 § lagen om receptregister tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: Enligt 7 § lagen om receptregister gäller finalitetsprincipen i 9 § första stycket d och andra stycket person- uppgiftslagen vid behandling som sker enligt lagen om receptregister. Det innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att behand- ling av personuppgifter för historiska, statistiska eller vetenskapliga

206

ändamål inte ska anses som oförenlig med de ändamål för vilka upp- Prop. 2017/18:171 gifterna samlades in.

I enlighet med vad anges i avsnitt 6.5.3 kan registerförfattningar i förtydligande syfte även fortsättningsvis innehålla bestämmelser som innebär att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.

7.7.5Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 20 § lagen om receptregister kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personupp- giftsansvarig, ändamålen med registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 § och rätten till skadestånd enligt 24 § personuppgiftslagen samt bevarande av uppgifter.

Hänvisningen till bestämmelsen om skadestånd i lagen om recept- register ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Därmed behålls att information ska innehålla vilka uppgifter registret får innehålla, de tystnadsplikts- och säkerhetsbestämmelser som gäller för registret, de begränsningar i fråga om sökbegrepp som gäller för registret samt att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författnings- bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: I 20 § lagen om
receptregister finns det en bestämmelse som anger vilken information
den personuppgiftsansvarige ska lämna till den registrerade. Bestämmel-
sen utgör en precisering av personuppgiftslagens bestämmelser om
information.
Informationsskyldigheten i dataskyddsförordningen omfattar flera av
de upplysningar som informationen enligt lagen om receptregister ska
innehålla.
I 20 § lagen om receptregister anges dock även vissa upplysningar som
inte ingår i informationsskyldigheten enligt dataskyddsförordningen,
nämligen upplysning om de tystnadsplikt- och säkerhetsbestämmelser
som gäller för registret, rätten till skadestånd samt de begränsningar som
gäller i fråga om sökbegrepp.	207

Prop. 2017/18:171 Det finns också vissa upplysningar som omfattas endast av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilka uppgifter registret får innehålla och att registreringen, med undantag för vissa ändamål, inte är frivillig. Enligt dataskyddsförordningen ska informa- tionen dessutom omfatta vissa upplysningar som inte framgår av lagen om receptregister.

Bestämmelserna i lagen om receptregister som innebär att mer infor- mation än vad som krävs enligt dataskyddsförordningens reglering ska lämnas kan i enlighet med bedömningen i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Därmed behålls att information ska innehålla upplysningar om vilka uppgifter registret får innehålla, de tystnadsplikts- och säkerhetsbestämmelser som gäller för registret, de begränsningar i fråga om sökbegrepp som gäller för registret samt att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Det kan inte anses innebära några särskilda svårigheter för den person- uppgiftsansvarige att uppfylla de nya kraven på information till den registrerade som föreskrivs i dataskyddsförordningen. Det finns därför enligt regeringens bedömning i avsnitt 6.8.2 inte skäl att överväga en begränsning av den registrerades rätt till information.

Den personuppgiftsansvarige bör lämna såväl den information som följer av dataskyddsförordningen som den information som ska lämnas enligt lagen om receptregister. Bestämmelsen i 20 § lagen om recept- register bör därför komplettera och hänvisa till reglerna om information i dataskyddsförordningen.

Hänvisningen till bestämmelsen om skadestånd i lagen om receptregi- ster, som i avsnitt 7.7.6 föreslås upphävas, bör ersättas med en hänvis- ning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen.

Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom data- skyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Därmed tas bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 § och rätten till skadestånd enligt 24 § personuppgiftslagen samt bevarande av uppgifter.

Även det som anges i 20 § första stycket om att den som är person- uppgiftsansvarig ska se till att den registrerade får information om be- handlingen av personuppgifter kan tas bort, eftersom detta följer av data- skyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige ska lämna viss ytterligare information utöver vad som framgår av dataskyddsförordningen.

208

7.7.6	Bestämmelsen om rättelse och skadestånd	Prop. 2017/18:171
	upphävs

Regeringens förslag: Bestämmelsen i 24 § lagen om receptregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 24 § lagen om receptregister hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.8Lagen (2005:258) om läkemedelsförteckning

7.8.1Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 2 § lagen om läkemedelsför- teckning ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om läkemedelsförteckning eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens	förslag:	Överensstämmer
huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

7.8.2Känsliga personuppgifter

Regeringens förslag: Lagen om läkemedelsförteckning kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Socialdataskyddsutredningens förslag: Överensstämmer med
regeringens. Utredningen föreslår en annan utformning av författnings-
bestämmelsen.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens förslag.	209
	209

Prop. 2017/18:171 Skälen för regeringens förslag: Bestämmelsen i 4 § lagen om läkemedelsförteckning får anses omfatta personuppgifter som rör hälsa, dvs. känsliga personuppgifter, eftersom det oftast är sjuka personer som ordineras och förvärvar förskrivna läkemedel.

För att känsliga personuppgifter ska få behandlas i läkemedelsförteck- ningen krävs det att förandet av förteckningen omfattas av undantaget i artikel 9.2 h i dataskyddsförordningen eller något annat undantag. Vad som omfattas av undantaget från förbudet att behandla känsliga person- uppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen framgår av avsnitt 6.6.4. Förandet av läkemedelsförteckningen ryms enligt regeringens mening inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regleringen är således förenlig med dataskyddsförordningen.

Eftersom känsliga personuppgifter får behandlas inom tillämpningsom- rådet för lagen om läkemedelsförteckning under samma förutsättningar som andra personuppgifter, påverkar det inte regleringen i lagen att det, som anges i avsnitt 6.6.6, har tillkommit nya kategorier av känsliga personuppgifter.

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om läkemedelsförteckning. Personalen vid E-hälsomyndigheten omfattas av bestämmelser om tystnadsplikt i bl.a. 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).

7.8.3Bestämmelsen om återkallelse av samtycke upphävs

Regeringens förslag: Bestämmelsen om återkallelse av samtycke i 8 § lagen om läkemedelsförteckning ska upphävas.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Den registrerade har enligt 8 § lagen om läkemedelsförteckning rätt att när som helst återkalla ett lämnat samtycke. Bestämmelsen överensstämmer med vad som anges i 12 § första stycket personuppgiftslagen. Skälet till att detta anges uttryckligen i lagen om läkemedelsförteckning är att personuppgiftslagens bestäm- melse till sin ordalydelse endast gäller behandling av personuppgifter enligt den lagen. För att bestämmelsen ska vara tillämplig även för per- sonuppgifter som behandlats enligt lagen om läkemedelsförteckning, krävs därför att det anges i den lagen.

Rätten att återkalla ett lämnat samtycke följer av artikel 7.3 i data- skyddsförordningen. Eftersom den bestämmelsen är direkt tillämplig, be- höver bestämmelsen inte längre återges i lagen om läkemedelsförteck- ning för att den ska gälla inom lagens tillämpningsområde. Bestämmel- sen i 8 § lagen om läkemedelsförteckning bör därför upphävas och inte ersättas av en hänvisning till dataskyddsförordningen.

210

7.8.4

Information som ska lämnas självmant

Prop. 2017/18:171

Regeringens förslag: Bestämmelserna i 10 § lagen om läkemedels- förteckning kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personupp- giftsansvarig, ändamålet med förteckningen, rätten till rättelse av oriktiga eller missvisande uppgifter samt vad som gäller i fråga om bevarande och gallring.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls. Därmed behålls information om vilken typ av uppgifter som ingår i förteckningen, de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen, rätten att ta del av uppgifter enligt 11 § (rätt att när som helst och så fort som möjligt få viss information), rätten till skadestånd vid behandling av personuppgifter i strid med denna lag, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt att registreringen inte är frivillig.

Socialdataskyddsutredningens förslag: Överensstämmer i allt väsentligt med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen vad gäller bl.a. information om rätten till skadestånd.

Remissinstanserna: Dataskydd.net anser att förslaget i 10 § 1 stycket 5 är en upprepning av rättigheter enskilda redan har i och med data- skyddsförordningen artikel 13.2 f. Sökbegränsningen måste ju tekniskt implementeras, varför den enligt föreningen blir ett automatiskt besluts- fattande, och för direktåtkomst gäller samma resonemang.

Skälen för regeringens förslag och bedömning: I 10 § lagen om läkemedelsförteckning finns det en bestämmelse som anger vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen preciserar bestämmelserna om information i personupp- giftslagen. I övrigt gäller personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i läkemedelsförteckningen.

Dataskyddsförordningens bestämmelser om den personuppgiftsan- svariges skyldighet att lämna information till den registrerade har redo- gjorts för i avsnitt 6.8.1. Informationsskyldigheten enligt dataskyddsför- ordningen innefattar flera av de upplysningar som anges i 10 § lagen om läkemedelsregister.

Bestämmelsen i lagen om läkemedelsförteckning innebär dock krav på att lämna vissa upplysningar som inte omfattas av skyldigheten i data- skyddsförordningen. Det rör sig om upplysning om de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen, rätten att ta del av uppgifter enligt 11 § (rätt att när som helst och så fort som möjligt få viss information, se vidare avsnitt 7.8.5), rätten till skadestånd vid be- handling av personuppgifter i strid med lagen, vad som gäller i fråga om

211

Prop. 2017/18:171 sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling som kan behållas.

Det finns också vissa upplysningar som bara omfattas av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilken typ av uppgifter som ingår i förteckningen och att registreringen inte är frivillig som kan behållas.

Enligt dataskyddsförordningens reglering ska den personuppgiftsan- svarige även lämna viss information som inte anges i lagen om läke- medelsförteckning.

De bestämmelser i lagen om läkemedelsförteckning som innebär att den personuppgiftsansvarige ska lämna ytterligare information än vad som anges i dataskyddsförordningen kan, i enlighet med regeringens be- dömning i avsnitt 6.8.1 och enligt ovan i detta avsnitt kan därmed be- hållas.

Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgifts- ansvarige. Det finns därför enligt regeringens bedömning i avsnitt 6.8.2 inte skäl att överväga en begränsning av den registrerades rätt till infor- mation.

Den personuppgiftsansvarige bör därför lämna både den information som följer av dataskyddsförordningen och lagen om läkemedelsförteck- ning. Bestämmelsen i 10 § lagen om läkemedelsförteckning bör därför, på det sätt som anges i avsnitt 6.8.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. Vad gäller den information som ska lämnas om rätten till skadestånd anser regeringen att bestämmelsen bör utformas på samma sätt som övriga bestämmelser av detta slag som föreslås i denna proposition, t.ex. den föreslagna 20 § första stycket 3 lagen om receptregister.

De krav som innebär att informationen ska innehålla sådana upplys- ningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Därmed tas bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med förteckningen, rätten till rättelse av oriktiga eller missvisande uppgifter samt vad som gäller i fråga om bevarande och gallring.

Även det som anges i 10 § om att den personuppgiftsansvarige ska se till att den registrerade får information om läkemedelsförteckningen kan tas bort eftersom detta följer av dataskyddsförordningen och den före- slagna formuleringen om att den personuppgiftsansvarige ska lämna viss ytterligare information utöver vad som framgår dataskyddsförordningen.

Regeringen delar inte Dataskydd.nets bedömning att sökbegränsningar och direktåtkomst blir automatiskt beslutsfattande genom teknisk im- plementering, och att den föreslagna 10 § första stycket 5 därför skulle ingå i den personuppgiftsansvariges informationsskyldighet enligt artikel 13.2 dataskyddsförordningen.

212

7.8.5

Information som ska lämnas på begäran

Prop. 2017/18:171

Regeringens förslag: Hänvisningen till personuppgiftslagens bestäm- melse om information som ska lämnas på begäran av den registrerade i 11 § lagen om läkemedelsförteckning ska ersättas av en hänvisning till motsvarande bestämmelse i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Den registrerade har enligt 11 § lagen om läkemedelsförteckning rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgiftslagen. I förarbetena (prop. 2004/05:70 s. 36 f.) anförs att det är inte lämpligt att begränsa den personuppgiftsansvariges uppgiftsskyldighet så att den registrerade endast har rätt att få ett registerutdrag en gång per kalenderår (som anges i personuppgiftslagen).

Dataskyddsförordningen innehåller inte någon bestämmelse om att registerutdrag endast ska lämnas en gång per år. Däremot anges i skäl 63 i dataskyddsförordningen att den registrerade ska ha rätt till tillgång till personuppgifter som har samlats in om denne med rimliga intervall. Frågan är om dataskyddsförordningens reglering är tillräcklig för att tillgodose det behov av tillgång till uppgifter som den registrerade bedömts ha. Det är i och för sig rimligt att anta att bedömningen av vad som är ett rimligt intervall enligt lagen om läkemedelsförteckning, mot bakgrund av uttalandena i förarbetena, skulle resultera i att registerutdrag lämnas ut oftare än enligt andra författningar. För att inte riskera att den registrerades rätt till tillgång försämras gör dock Socialdataskyddsutred- ningen den bedömningen att bestämmelsen i 11 § bör vara kvar. Regeringen instämmer i bedömningen.

Bestämmelsen i 11 § innebär en utvidgning av den registrerades rätt till tillgång enligt dataskyddsförordningen. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen (avsnitt 6.1). Bestämmelsen kan därför inte anses strida mot dataskyddsförord- ningen.

Bestämmelsen behöver dock omarbetas, eftersom personuppgiftslagen kommer att upphöra att gälla. Med undantag för hur ofta registerutdrag ska lämnas bör dataskyddsförordningens reglering av tillgång till infor- mation i artikel 15 gälla vid tillämpningen av lagen om läkemedelsför- teckning. Detta eftersom det inte heller när det gäller dessa bestämmelser har framkommit några särskilda svårigheter för den personuppgiftsan- svarige att uppfylla de nya kraven som anges där. I stället för att hänvisa till personuppgiftslagens bestämmelse om registerutdrag bör 11 § lagen om läkemedelsförteckning därför hänvisa till artikel 15 i dataskyddsför- ordningen. Hänvisningen bör vara dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom artikel 15 är direkt tillämp- lig.

213

Prop. 2017/18:171 7.8.6	Bestämmelsen om rättelse och skadestånd
	upphävs

Regeringens förslag: Bestämmelsen i 13 § lagen om läkemedelsför- teckning som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 13 § lagen om läkemedelsförteck- ning finns en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.9Lagen (1998:543) om hälsodataregister

7.9.1Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 2 § lagen om hälsodataregister ska innehålla en upplysning om att författningen kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om hälsodataregister eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

7.9.2Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelserna i 11 § lagen om hälsodataregi- ster som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

214

Skälen för regeringens förslag: I 11 § lagen om hälsodataregister Prop. 2017/18:171 finns en hänvisning till personuppgiftslagens bestämmelser om rättelse

och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.10Lagen (2012:453) om register över nationella vaccinationsprogram

7.10.1Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 3 § lagen om register över nationella vaccinationsprogram ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen gäller, om inte annat följer av lagen om register över nationella vaccinationsprogram eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 3 § lagen om register över nationella vaccinationsprogram om förhållandet till annan lagstift- ning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

7.10.2Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagens bestäm- melse om finalitetsprincipen i 6 § andra stycket andra meningen lagen om register över nationella vaccinationsprogram tas bort. I stället in- förs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgift- erna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak-
ligen med regeringens. Utredningen föreslår en annan formulering av be-
stämmelsen.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se
avsnitt 6.5.3.
Skälen för regeringens förslag: I 6 § andra stycket lagen om register
över nationella vaccinationsprogram anges också att 9 § första stycket d
och andra stycket personuppgiftslagen (finalitetsprincipen) gäller. Hän-
visningen syftar till att klargöra att personuppgifter som redan finns i
verksamheten får behandlas för andra ändamål än dem för vilka de har
samlats in under förutsättning att de nya ändamålen inte är oförenliga
med de ändamål för vilka uppgifterna samlades in. Hänvisningen innebär	215
	215

Prop. 2017/18:171 vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Eftersom personuppgiftslagen kommer att upphävas, måste hänvisningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 6.5.3.

7.10.3Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 12 § lagen om register över nationella vaccinationsprogram, som hänvisar till personuppgifts- lagens bestämmelser om rättelse och skadestånd, upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 12 § lagen om register över nationella vaccinationsprogram ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt lagen om register över nationella vaccinationsprogram eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.10.4Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 13 § lagen om register över nationella vaccinationsprogram kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personupp- giftsansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter, rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med samt vad som gäller i fråga om bevarande.

Hänvisningen till bestämmelsen om skadestånd i lagen om register över nationella vaccinationsprogram ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

	Socialdataskyddsutredningens förslag: Överensstämmer med
	regeringens. Utredningen föreslår en annan utformning av författnings-
	bestämmelsen.
	Remissinstanserna: Flertalet remissinstanser godtar eller invänder
216	inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: Av 13 § lagen om register över nationella vaccinationsprogram framgår vilken information Folkhälsomyndigheten ska lämna till den enskilde. Bestämmelsen preciserar bestämmelserna om information i personuppgiftslagen. I övrigt gäller personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i registret över hälso- och sjukvårds- personal. I avsnitt 6.8.1 redogörs för dataskyddsförordningens bestäm- melser om den personuppgiftsansvariges skyldighet att lämna informa- tion till den registrerade.

Informationsskyldigheten enligt dataskyddsförordningen innefattar flera av de upplysningar som anges i 13 § lagen om register över natio- nella vaccinationsprogram.

Det finns dock vissa upplysningar som inte omfattas av skyldigheten att lämna information enligt dataskyddsförordningen. Det rör sig om upplysningar om uppgiftsskyldighet som kan följa av lag eller förord- ning, de tystnadsplikts- och säkerhetsbestämmelser som gäller för upp- gifterna och behandlingen, rätten till skadestånd vid behandling av personuppgifter i strid med denna lag och vad som gäller i fråga om sökbegrepp. Att den registrerade ska få upplysning om att registreringen inte är frivillig framgår enbart av artikel 13 i dataskyddsförordningen, dvs. det gäller endast när uppgifterna samlas in från den registrerade. Enligt dataskyddsförordningen ska den personuppgiftsansvarige även lämna viss information som inte anges i lagen om register över nationella vaccinationsprogram.

Regeringen bedömer i avsnitt 6.8.1 att bestämmelser i registerförfatt- ningar som anger att information till registrerade ska lämnas utöver vad som följer av dataskyddsförordningen kan och bör behållas.

Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgifts- ansvarige. Det finns därför enligt bedömningen i avsnitt 6.8.2 inte skäl att överväga en begränsning av den registrerades rätt till information.

Den personuppgiftsansvarige bör följaktligen lämna både den infor- mation som följer av dataskyddsförordningen och av lagen om register över nationella vaccinationsprogram. Bestämmelsen i 13 § lagen om register över nationella vaccinationsprogram bör, på det sätt som anges i avsnitt 6.8.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. Hänvisningen till bestämmelsen om skadestånd, som i avsnitt 7.10.3 föreslås upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och data- skyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Därmed kan tas bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter, rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med samt vad som gäller i fråga om bevarande.

Prop. 2017/18:171

217

Prop. 2017/18:171 7.11	Lagen (2002:297) om biobanker i hälso- och
	sjukvården m.m.

7.11.1 Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 1 kap. 4 § lagen om biobanker i hälso- och sjukvården m.m. ska innehålla en upplysning om att författ- ningen kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Socialdataskyddsutredningen lämnade inget förslag om att lagen kompletterar dataskyddsförordningen och att dataskydds- lagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats i anslutning till den lagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Justitiekanslern anser att även lagen om biobanker i hälso- och sjuk- vården m.m. reglerar viss personuppgiftsbehandling som omfattas av dataskyddsförordningens tillämpningsområde och överträdelser av reglerna i den lagen kan medföra skadeståndsansvar. Det bör därför framgå att lagen, vid behandling av personuppgifter, kompletterar data- skyddsförordningen.

Skälen för regeringens förslag: Regeringen delar den uppfattning som Justitiekanslern framför och föreslår därför att det i lagen om bio- banker i hälso- och sjukvården m.m. anges att den lagen kompletterar dataskyddsförordningen, se avsnitt 6.3. Det bör också i lagen anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats med stöd av den, se även avsnitt 7.11.4 och 7.11.5. Regeringen anser att det är lämpligt att bestämmelserna placeras i 1 kap. 4 §.

I 1 kap. 4 § anges att bestämmelser i annan lag vilka avviker från be- stämmelserna i denna lag ska tillämpas med det undantaget att bestäm- melserna i 5 kap. om PKU-registret ska ha företräde framför bestämmel- ser i annan lag. I förarbetena (prop. 2001/02:44 s. 34 f. och 72 f.) till lagen anges bl.a. följande. Av paragrafen framgår att lagen är subsidiär i förhållande till andra författningar. Detta gäller inte bestämmelserna i de delar av kapitel 5 som behandlar register över personuppgifter. De register med personuppgifter om dem som lämnat prover till en biobank och som förvaras i anslutning till biobanken inom den offentliga vården är allmänna handlingar enligt 2 kap. tryckfrihetsförordningen. De är där- med underkastade principerna om offentlighet och sekretess samt be- stämmelserna i arkivlagen (1990:782). Inom enskild vård utgör uppgift- erna enligt patientjournallagen (1985:562) och lagen (1998:531) om

yrkesverksamhet inom hälso- och sjukvårdens område enskilda hand-

218

lingar med särskilda föreskrifter om tystnadsplikt och om villkoren för Prop. 2017/18:171 att lämna ut journalhandlingar. Personuppgiftslagen (1998:204) och

lagen (1998:544) om vårdregister är tillämpliga för dessa personupp- gifter, vare sig de finns i offentlig eller enskild vård. Med den definition av en biobank som föreslås kommer således personuppgifterna i de regi- ster med provgivarna som förvaras i anslutning till biobanken inte att ut- göra en del av biobanken. Av 1 kap. 4 § biobankslagen framgår bl.a. att om det i en annan lag finns bestämmelser som avviker från vad som före- skrivs i lagen om biobanker i hälso- och sjukvården m.m. ska de bestäm- melserna gälla. Det innebär bl.a. att när vävnadsprover tas och samlas in med stöd av smittskyddslagen (1988:1472) och föreskrifter som utfärdats med stöd av den lagen får det ske oberoende av den enskildes samtycke. Även för klinisk prövning av läkemedel finns föreskrifter om samtycke m.m. i läkemedelslagen (1992:859) och föreskrifter som utfärdats med stöd av den lagen. För tydlighetens skull ska också påpekas att när vävnadsprover tas och samlas in för transplantation eller annat medi- cinskt ändamål enligt lagen (1995:831) om transplantation m.m. gäller föreskrifterna om samtycke m.m. i den lagen.

Patientjournallagen och lagen om vårdregister har upphört att gälla när patientdatalagen (2008:355) trädde i kraft den 1 juli 2008. Lagen om yrkesverksamhet på hälso- och sjukvårdens område har upphört att gälla när patientsäkerhetslagen (2010:659) den 1 januari 2011 trädde i kraft. Smittskyddslagen (2004:168) har ersatt 1988-års smittskyddslag och läkemedelslagen (2015:315) har ersatt 1992-års lag. Alla lagar som anges i det ovan återgivna förarbetsuttalandena förutom lagen om transplanta- tion m.m. har ersatts av nya lagar men som innehållsligt reglerar samma eller liknande förhållanden. Patientdatalagen är en registerförfattning och övriga lagar bedöms mestadels reglera verksamheter inom hälso- och sjukvården.

Mot bakgrund av ovannämnda förarbetsuttalanden bedömer regeringen att innehållet i nuvarande lydelse i 1 kap. 4 § lagen om biobanker i hälso- och sjukvården m.m. bör finnas kvar. Lagrådet anser att paragrafen får en mer logisk uppbyggnad om första stycket flyttas för att i stället utgöra sista stycket. Regeringen instämmer i denna bedömning. Rubriken före nämnda paragraf bör lyda ”Förhållandet till annan dataskyddsreglering”.

Vilka övriga anpassningar som bör göras i lagen om biobanker i hälso- och sjukvården m.m. för att anpassa bestämmelserna till dataskyddsför- ordningen redovisas i avsnitten 7.11.2–5.

7.11.2Hänvisning till personuppgiftslagen i bestämmelsen om utlämnande av journalhandling upphävs

Regeringens förslag: Hänvisningen i 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. till personuppgiftslagen upphävs

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Socialdataskyddsutredningen föreslår att 4 kap. 4 a §

219

Prop. 2017/18:171 ändras så att det anges att i fråga om känsliga personuppgifter finns föreskrifter i dataskyddsförordningen och forskningsdatalagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. anges i en andra mening, att det i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen.

Det som avses med hänvisningen är enligt förarbetsuttalanden att om känsliga personuppgifter ska lämnas ut krävs det enligt 15 § personupp- giftslagen att den registrerade har lämnat sitt uttryckliga samtycke eller att behandlingen har godkänts av en forskningsetisk kommitté enligt 19 § andra stycket personuppgiftslagen (prop. 2001/02:44 s. 51 och 87). I den ursprungliga lydelsen av 19 § nämnda lag reglerades undantag från förbudet att behandla känsliga personuppgifter för både forsknings- och statistikändamål (se lydelse innan ändringen SFS 2003:466). Syftet med hänvisningen till personuppgiftslagen är att det samtycke som avses i paragrafens första mening ska vara ”uttryckligt”, om utlämnandet inne- bär att personuppgifter behandlas enligt personuppgiftslagen och det inte finns ett forskningsetiskt godkännande. Detta har avsetts gälla trots att personuppgiftslagen är subsidiär i förhållande till uppgiftsskyldigheten enligt paragrafen.

Dataskyddsförordningen är däremot tvingande. Om ett utlämnande av känsliga personuppgifter enligt dataskyddsförordningen bara får ske med samtycke, ska det samtycket enligt artikel 9.2 a i dataskyddsförordningen vara uttryckligt.

I 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. föreslår Socialdataskyddsutredningen också att en hänvisning införs till forsk- ningsdatalagen som Forskningsdatautredningen föreslår i sitt delbe- tänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). Forskningsdatautredningen föreslår en bestämmelse liknande den som finns i 19 § första stycket personuppgiftslagen. Förslaget bereds inom Regeringskansliet och hanteras inte i denna proposition.

Eftersom personuppgiftslagen kommer att upphöra att gälla i samband med att dataskyddsförordningen börjar tillämpas kan inte hänvisningen till den lagen vara kvar. Lagen om biobanker i hälso- och sjukvården m.m. kompletterar dataskyddsförordningen och att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats med stöd av den, se föregående avsnitt 7.11.1. Av annan lagstiftning följer att det i vissa fall finns krav som är av betydelse för den personliga integriteten t.ex. lagen (2003:460) om etikprövning av forskning som avser människor som innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den lagen innehåller bestämmelser om att godkännande vid etikprövning krävs för forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdel- ser och om samtycke till sådan forskning.

Det finns inte anledning att som Socialdataskyddsutredningen föreslår att ändra 4 kap. 4 a § så att det anges att i fråga om känsliga personupp- gifter finns föreskrifter i dataskyddsförordningen och i forskningsdata-

220

lagen. Hänvisningen i paragrafen till personuppgiftslagen ska därför i Prop. 2017/18:171 stället upphävas.

7.11.3Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 6 kap. 2 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. som hänvisar till person- uppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 6 kap. 2 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. innehåller en hänvisning till personuppgiftslagens bestämmelser om rättelse och skade- stånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.11.4Hänvisning till personuppgiftslagen i bestämmelsen om tillsyn ändras

Regeringens förslag: Hänvisningen till tillsynsmyndigheten enligt personuppgiftslagen i 6 kap. 3 § första stycket lagen om biobanker i hälso- och sjukvården m.m. ersätts med en hänvisning till EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens. Utredningen föreslår att hänvisningen till tillsynsmyndig- heten enligt personuppgiftslagen ersätts med hänvisning till dataskydds- lagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 6 kap. 3 § första stycket andra meningen lagen om biobanker i hälso- och sjukvården m.m. anges att den myndighet som är tillsynsmyndighet enligt personuppgiftslagen utövar tillsyn över behandlingen av personuppgifter. Eftersom personuppgifts- lagen kommer att upphävas när dataskyddsförordningen börjar tillämpas, behöver hänvisningen tas bort. Till skillnad från Socialdataskyddsutred- ningen anser regeringen att hänvisningen i stället ska göras till den myndighet som är tillsynsmyndighet enligt dataskyddsförordningen.

221

Prop. 2017/18:171 7.11.5 Bestämmelsen om överklagande upphävs

Regeringens förslag: Bestämmelsen om överklagande av beslut om rättelse och avslag på ansökan om information i 6 kap. 7 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. upphävs.

Regeringens bedömning: Det behövs ingen bestämmelse i lagen som hänvisar till dataskyddslagens bestämmelser om överklagande.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens. Utredningen föreslår att det i en ny paragraf hän- visas till dataskyddslagens bestämmelser om överklagande.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: I 6 kap. 7 § lagen om biobanker i hälso- och sjukvården finns det bestämmelser om över- klagande. Bestämmelsen i första stycket avser inte beslut som har sam- band med behandling av personuppgifter och kommer därför inte att be- röras. Av bestämmelsens andra stycke framgår att beslut av Inspektionen för vård och omsorg får överklagas till allmän förvaltningsdomstol. Inspektionen kan komma att fatta beslut som avser behandling av personuppgifter. En annan myndighets beslut om rättelse och avslag på ansökan om information enligt 26 § personuppgiftslagen får enligt tredje stycket också överklagas till allmän förvaltningsdomstol. Prövnings- tillstånd krävs enligt fjärde stycket vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän förvaltnings- domstol meddelar enligt lagen om biobanker i hälso- och sjukvården ska enligt femte stycket gälla omedelbart om inte annat anges i beslutet.

Som anges i avsnitt 6.12 bör de föreslagna överklagandebestämmel- serna i dataskyddslagen gälla även inom registerförfattningarnas tillämp- ningsområde. Dataskyddslagens bestämmelser om överklagande bör gälla även för de beslut om behandling av personuppgifter som meddelas av Inspektionen för vård och omsorg som i dag omfattas av be- stämmelsen i andra stycket. En sådan ordning innebär inte någon materiell ändring, eftersom även de föreslagna bestämmelserna i data- skyddslagen innebär att besluten ska överklagas till allmän förvaltnings- domstol och att det krävs prövningstillstånd vid överklagande till kammarrätten. Bestämmelsen i tredje stycket bör därför, i enlighet med regeringens bedömning i avsnitt 6.12, tas bort. Till skillnad från Socialdataskyddsutredningen anser regeringen att det inte behövs en särskild bestämmelse som upplyser om dataskyddslagens bestämmelser om överklagande.

Bestämmelsen i nuvarande femte stycket, som innebär att beslut som Inspektionen för vård och omsorg meddelar enligt biobankslagen ska gälla omedelbart, synes enligt Socialdataskyddsutredningens bedömning inte omfatta beslut om behandling av personuppgifter. De beslut om behandling av personuppgifter som Inspektionen för vård och omsorg meddelar och som kan överklagas i dag torde vara fattade enligt person- uppgiftslagens bestämmelser. Bestämmelsen i femte stycket kan därför vara kvar oförändrad. Regeringen instämmer i denna bedömning. Övriga

222

bestämmelser om överklagande påverkas inte av dataskyddsförordningen Prop. 2017/18:171 och kan därför behållas.

7.12Lagen (2006:351) om genetisk integritet m.m.

7.12.1Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 1 kap. 4 § lagen om genetisk integritet m.m. ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning när det gäller behandling av person- uppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om genetisk integritet m.m. eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

7.13Lagen (2006:496) om blodsäkerhet

7.13.1Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 5 § lagen om blodsäkerhet ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning när det gäller behandling av personuppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om blodsäkerhet eller föreskrifter som har meddelats i anslut- ning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

223

Prop. 2017/18:171 7.13.2 Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 21 § lagen om blodsäkerhet som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 21 § lagen om blodsäkerhet hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.14Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

7.14.1Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler ska innehålla en upplysning om att lagen kompletterar EU:s dataskydds- förordning när det gäller behandling av personuppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

7.14.2Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 26 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

224

Socialdataskyddsutredningens förslag: Överensstämmer med Prop. 2017/18:171 regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 26 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.15Lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

7.15.1Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 4 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning när det gäller behandling av personuppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsak- ligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av över- vägandena i avsnitt 6.3.

7.15.2Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upp- hävs.

Socialdataskyddsutredningens förslag: Överensstämmer med

regeringens.
Remissinstanserna: Flertalet remissinstanser godtar eller invänder
inte mot Socialdataskyddsutredningens förslag.
Skälen för regeringens förslag: Bestämmelsen i 8 § lagen om
kvalitets- och säkerhetsnormer vid hantering av mänskliga organ som
hänvisar till personuppgiftslagens bestämmelser om rättelse och skade-
stånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).	225

Prop. 2017/18:171 7.16	Lagen (2006:1570) om skydd mot
	internationella hot mot människors hälsa

7.16.1 Hänvisningar till personuppgiftslagen i en paragraf ändras

Regeringens förslag: Hänvisningen till personuppgiftslagen i 12 § andra stycket första meningen lagen om internationella hot mot människors hälsa ändras till att avse EU:s dataskyddsförordning och dataskyddslagen.

Bestämmelsen i 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa behålls i sak men hän- visningen till 33 § personuppgiftslagen tas bort.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Datainspektionen ifrågasätter Socialdataskyddsutredningens bedöm- ning att bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland inte behöver ändras om det finns stöd för överföringen i dataskyddsförordningen eftersom det får anses vara en sådan mer specifik, eller särskild, bestämmelse som enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt. I vilka fall det är möjligt med nationell reglering avseende tredjelandsöverföring framgår av kapitel V i dataskyddsförordningen. Enligt Datainspektionens bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell rätt generellt tillåta överföring till tredjeland, men möjligheten till nationell reglering med hänsyn till viktiga allmänintressen finns i stället i artikel 49.5, det krävs dock att det i den nationella rätten fastställs gränser för överföringen av specifika kategorier av personuppgifter till ett tredje land eller en internationell organisation samt att medlems- staterna underrättar kommissionen om sådana bestämmelser.

Sveriges advokatsamfund anser att det är i sig alltid förenat med särskilda risker att lämna ut personuppgifter till annat land, inte minst till länder utanför EU och EES. En särskild problematik ligger i det att vare sig de svenska personuppgiftsansvariga myndigheterna eller de regi- strerade kan förutse hur personuppgifterna kommer att användas, efter- som överlämnandet inte kan förenas med villkor som strider mot tvingande bestämmelser i nationell rätt i dessa länder. Det är av väsentlig betydelse att de personuppgiftsansvariga myndigheterna gör en noggrann bedömning av riskerna att uppgifterna kan komma att behandlas för ändamål som inte är förenliga med dataskyddsförordningen och de före- slagna bestämmelserna.

Skälen för regeringens förslag: Lagen (2006:1570) om skydd mot internationella hot mot människors hälsa innehåller bestämmelser för genomförandet av Världshälsoorganisationens internationella hälsoregle- mente som antogs i Genève den 23 maj 2005 (hälsoreglementet). Lagen syftar till att skydda mot internationella hot mot människors hälsa.

226

Enligt 12 § andra stycket andra meningen lagen om skydd mot inter- nationella hot mot människors hälsa får Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting oavsett bestämmelserna i 33 § personuppgiftslagen överföra personuppgifter till Världshälsoorga- nisationen och tredje land för att fullgöra sin uppgiftsskyldighet enligt lagen.

I förarbetena till lagen har anförts bl.a. följande (prop. 2005/06:215 s. 44 f.). Enligt 33 § första stycket personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Det- samma gäller beträffande överföring av personuppgifter för behandling i tredje land. Med tredje land menas stat som inte ingår i Europeiska unionen eller är ansluten till europeiska ekonomiska samarbetsområdet. I 34 § har ett antal generella undantag från överföringsförbudet upptagits och enligt 35 § får regeringen meddela ytterligare föreskrifter om undan- tag från förbudet, bl.a. om det är behövligt med hänsyn till viktiga all- männa intressen. Av artikel 26 i dataskyddsdirektivet följer bl.a. att med- lemsstaterna ska föreskriva att överföring av personuppgifter till ett tredje land som inte har en s.k. adekvat skyddsnivå får ske om över- föringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. I den mån den nationella kontaktpunktens och andra berörda myndigheters informationsplikt innefattar en skyldighet att behandla personuppgifter för överföring till andra stater än sådana som ingår i EU, är anslutna till EES eller har ratificerat dataskyddskonven- tionen, eller en skyldighet att överföra sådana uppgifter till WHO, bör detta vara tillåtet med hänsyn till att ändamålet med behandlingen får anses röra ett viktigt allmänt intresse. Regeringen anser att detta bör komma till uttryck i en särskild bestämmelse i den föreslagna lagen. Av bestämmelsen bör framgå att den nationella kontaktpunkten och andra berörda myndigheter får, för att fullgöra sin uppgiftsskyldighet enligt den föreslagna lagen, överföra personuppgifter till WHO och tredje land utan hinder av 33 § personuppgiftslagen.

Överföring av personuppgifter till tredjeländer och internationella organisationer regleras i kapitel V i dataskyddsförordningen. Det innebär att en överföring av personuppgifter till tredjeland kommer att kunna ske under de förutsättningar som anges där. I artikel 44 anges att överföring av personuppgifter som är under behandling eller är avsedda att behand- las efter det att de överförts till ett tredjeland eller en internationell orga- nisation bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i förordningen, uppfyller villkoren i kapitlet, inklusive för vidare över- föring av personuppgifter från tredjelandet eller den internationella orga- nisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i kapitlet ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom för- ordningen inte undergrävs.

Om det inte finns något beslut om adekvat skyddsnivå (artikel 45) eller vidtagna lämpliga skyddsåtgärder (artikel 46), kommer en överföring till tredjeland att vara möjlig endast om något av villkoren i artikel 49.1 a–g är uppfyllt. I artikel 49.1 d anges som ett sådant villkor att överföringen är nödvändigt av ett viktigt skäl som rör allmänintresset. Av artikel 49.4

Prop. 2017/18:171

227

Prop. 2017/18:171	följer att allmänintresset ska vara erkänt i unionsrätten eller i den
	nationella rätt som den som är personuppgiftsansvarig omfattas av.
	Datainspektionen ifrågasätter Socialdataskyddsutredningens bedöm-
	ning att bestämmelser i registerförfattningar som tillåter överföring av
	personuppgifter till tredjeland inte behöver ändras om det finns stöd för
	överföringen i dataskyddsförordningen eftersom det får anses vara en
	sådan mer specifik, eller särskild, bestämmelse som enligt artikel 6.2 och
	6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt. I vilka fall
	det är möjligt med nationell reglering avseende tredjelandsöverföring
	framgår av kapitel V i dataskyddsförordningen. Enligt Datainspektionens
	bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell
	rätt generellt tillåta överföring till tredjeland, men möjligheten till
	nationell reglering med hänsyn till viktiga allmänintressen finns i stället i
	artikel 49.5, dock att det i den nationella rätten krävs att det fastställs
	gränser för överföringen av specifika kategorier av personuppgifter till
	ett tredje land eller en internationell organisation samt att medlems-
	staterna underrättar kommissionen om sådana bestämmelser.
	Regeringen bedömer att med stöd av artikel 49.1 d i dataskyddsförord-
	ningen, som är direkt tillämplig, får en överföring till ett tredjeland göras
	när den är nödvändig av viktiga skäl som rör allmänintresset. Inter-
	nationella utbyten av uppgifter mellan hälsovårdsmyndigheter, t.ex. vid
	kontaktspårning för smittsamma sjukdomar, är enligt skäl 112 i data-
	skyddsförordningen en uppgiftsöverföring som krävs och är nödvändig
	med hänsyn till viktiga allmänintressen. Kravet enligt artikel 49.4 i data-
	skyddsförordningen på att allmänintresset är erkänt i unionsrätten eller i
	nationell rätt bedöms uppfyllt bl.a. genom att internationell överföring av
	personuppgifter mellan hälsovårdsmyndigheter i syfte att arbeta mot
	smittspridning omnämns i nämnda skäl i dataskyddsförordningen. I
	Europarådets sociala stadga är det dessutom ett mål att så långt som
	möjligt förebygga uppkomsten av epidemier, folksjukdomar och andra
	sjukdomar samt olycksfall.
	Personuppgifter kan även enligt dataskyddsförordningen föras över till
	Världshälsoorganisationen och tredjeland för fullgörande av uppgifts-
	skyldigheten enligt lagen om skydd mot internationella hot mot männi-
	skors hälsa.
	Överföringen får i sådana fall ske direkt med stöd av dataskyddsförord-
	ningen. Regeringen instämmer dock i Socialdataskyddsutredningens be-
	dömning att en bestämmelse om att överföring av personuppgifter till
	tredjeland i en viss situation är tillåten har en klargörande verkan och får
	anses vara en sådan mer specifik, eller särskild, bestämmelse som enligt
	artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell
	rätt för att reglera behandling som grundar sig på en rättslig förpliktelse
	(artikel 6.1 c) eller en uppgift av allmänt intresse eller som led i den
	personuppgiftsansvariges myndighetsutövning (artikel 6.1 e), se avsnitt
	9.14 i SOU 2017:66 s. 260. Regeringen instämmer inte i Datainspek-
	tionens bedömning att de fall där det är möjligt med nationell reglering
	avseende tredjelandsöverföring endast framgår av kapitel V i dataskydds-
	förordningen. Artikel 49.5 som Datainspektionen hänvisar till innebär
	endast en möjlighet till nationell reglering i vissa fall för att fastställa
	gränser för överföringen av specifika kategorier av personuppgifter till
228	ett tredjeland eller en internationell organisation.

En bestämmelse i en registerförfattning som anger när överföring av Prop. 2017/18:171 personuppgifter till tredjeland är tillåten behöver inte ändras under förut-

sättning av att den inte i övrigt strider mot dataskyddsförordningen. Bestämmelsen i 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa kan därmed behållas i sak, men hänvisningen till 33 § personuppgiftslagen bör tas bort eftersom sist- nämnda lag kommer att upphävas. Eftersom 12 § andra stycket lagen om internationella hot mot människors hälsa handlar om behandling av personuppgifter i en lag som i övrigt reglerar andra förhållanden, är det lämpligt att upplysa om att bestämmelser om skydd mot kränkning av den enskildes personliga integritet genom behandling av personuppgifter finns i EU:s dataskyddsförordning och dataskyddslagen.

7.17Alkohollagen (2010:1622)

7.17.1Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 13 kap. 5 § alkohollagen som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 13 kap. 5 § alkohollagen ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt alkohollagen. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

8Ikraftträdande- och övergångsbestämmelser

8.1Ikraftträdande

Regeringens förslag: Författningsändringarna till följd av EU:s data- skyddsförordning ska träda i kraft den 25 maj 2018.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens. Utredningen föreslår ikraftträdande som påverkas av andra utredningsförslag om en brottsdatalag respektive en forskningsdatalag.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

229

Prop. 2017/18:171 Skälen för regeringens förslag: Dataskyddsförordningen träder enligt artikel 99.1 i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Enligt artikel 99.2 i dataskyddsförordningen ska den börja tillämpas den 25 maj 2018. De författningsändringar som föranleds av att dataskydds- förordningen ska börja tillämpas bör träda i kraft vid samma tidpunkt. Registerförfattningarna inom Socialdepartementets verksamhetsområde gäller i dag utöver personuppgiftslagen. Socialdataskyddsutredningens förslag utgår från att den författningstekniken behålls. Registerförfatt- ningarna föreslås således gälla utöver den föreslagna dataskyddslagen, se bl.a. avsnitt 6.3. Det innebär att bestämmelserna i den föreslagna data- skyddslagen ska tillämpas om inget annat framgår av registerförfatt- ningarna. Den valda författningstekniken bygger på att vissa be- stämmelser i den generella nationella regleringen tillämpas vid sidan av registerförfattningarna. Registerförfattningarna innehåller därför inte alla bestämmelser som är nödvändiga. Regeringen föreslår i propositionen Ny dataskyddslag, prop. 2017/18:105, bl.a. att lagen med kompletterande bestämmelser ska träda i kraft den 25 maj 2018.

Det föreslås ändringar i patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten som berörs av ett annat lagstiftnings- ärende om en brottsdatalag. Brottsdatalagen beräknas träda i kraft den 1 augusti 2018. Mot bakgrund av att ändringarna i patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten utformas så att lagarna inte gäller vid sådan behandling som avses i artikel 2.2 d i EU:s dataskyddsförordning finns det inte anledning att föreslå ett annat ikraftträdande än från och med det datum som förordningen ska börja tillämpas, dvs. den 25 maj 2018, se avsnitt 7.1.1 och 7.4.1.

Till följd av övergångsbestämmelserna till den föreslagna dataskydds- lagen kommer personuppgiftslagen att gälla för sådan personuppgifts- behandling som undantas från patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten, fram till dess den föreslagna brottsdatalagen träder i kraft. Detta får karaktären av en lagteknisk reglering som endast kommer att ha betydelse under en kortare över- gångsperiod.

8.2Övergångsbestämmelser

Regeringens bedömning: Det behövs inte några särskilda övergångs- bestämmelser.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Utredningen föreslår att äldre föreskrifter fortfarande ska gälla för överklagande av beslut som har meddelats före ikraft- trädandet och att äldre föreskrifter om skadestånd ska fortfarande gälla om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

230

Skälen för regeringens bedömning

Regleringen i dataskyddsförordningen

Dataskyddsförordningen ska som anges ovan börja tillämpas först två år efter det att den har trätt i kraft. I övrigt innehåller dataskyddsförord- ningen inte några övergångsbestämmelser. I skäl 171 i dataskyddsför- ordningen anges att behandling som redan pågår den dag då dataskydds- förordningen börjar tillämpas bör bringas i överensstämmelse med data- skyddsförordningen inom en period av två år från ikraftträdandetidpunkt- en. De personuppgiftsansvariga förutsätts ha anpassat sin behandling av personuppgifter till regleringen i dataskyddsförordningen vid den tidpunkt när den ska börja tillämpas. Enligt Socialdataskyddsutred- ningens bedömning kan skäl 171 i dataskyddsförordningen dock inte anses hindra övergångsbestämmelser avseende behandling av personupp- gifter som utförts före det att dataskyddsförordningen börjar tillämpas.

Överklagande av myndighetsbeslut

Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas, i fråga om både förfarandet och pröv- ningen i sak. Detta gäller även om ett överklagat beslut har fattats före ikraftträdandet. Principen är inte undantagslös och det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd. Socialdataskyddsutredningens framför att det är lämpligt att de beslut om behandling av personuppgifter som fattas av en personuppgiftsansvarig myndighet överklagas enligt de regler som gällde när beslutet fattades. I några av de författningar som ingått i utredningens översyn finns bestämmelser om överklagande av beslut om behandling av personuppgifter som fattats av en personuppgiftsansvarig myndighet.

Överklagandebestämmelserna i lagen om behandling av personupp- gifter inom socialtjänsten och lagen om biobanker i hälso- och sjuk- vården m.m. infördes innan det fanns överklagandebestämmelser i personuppgiftslagen och anger därför vilka beslut som får överklagas.

I patientdatalagen och socialförsäkringsbalken finns bestämmelser som upplyser om att personuppgiftslagens överklagandebestämmelser ska tillämpas. Upplysningsbestämmelserna kompletteras av bestämmelser som innebär att andra beslut inte får överklagas.

I avsnitt 7.1.11 (patientdatalagen), 7.4.5 (lagen om behandling av personuppgifter inom socialtjänsten, 7.5.12 (socialförsäkringsbalken) och 7.11.5 (lagen om biobanker i hälso- och sjukvården m.m.) föreslås att överklagandebestämmelserna ska upphävas. Socialdataskyddsutred- ningen föreslår av tydlighetsskäl bestämmelser som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av person- uppgifter i dataskyddslagen. För att det ska bli tydligt att de äldre före- skrifterna om överklagande ska tillämpas vid överklagande av beslut som har meddelats före ikraftträdandet bedömer Socialdataskyddsutred- ningens att övergångsbestämmelser bör införas om att äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

Prop. 2017/18:171

231

Prop. 2017/18:171 Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105) att genom den nya lagen med kompletterande bestämmel- ser till EU:s dataskyddsförordning ska personuppgiftslagen upphävas. I övergångsbestämmelser anges bl.a. följande. Den upphävda lagen gäller fortfarande i den utsträckning som det i en annan lag eller en annan för- ordning finns bestämmelser som innehåller hänvisningar till den lagen. Den upphävda lagen gäller därmed fortfarande för t.ex. överklagande av beslut som har meddelats med stöd av den lagen. Mot denna bakgrund anser regeringen att Socialdataskyddsutredningens förslag till övergångs- bestämmelser om att äldre föreskrifter fortfarande ska gälla för över- klagande av beslut som har meddelats före ikraftträdandet inte bör genomföras.

Skadestånd

Det anses följa av allmänna rättsgrundsatser att de skadeståndsbestäm- melser som gäller vid tidpunkten för skadefallet är tillämpliga. Detta be- höver inte regleras i särskilda övergångsbestämmelser. Bestämmelsen om skadestånd i 48 § personuppgiftslagen har genom särskilda be- stämmelser i registerförfattningarna gjorts tillämplig även vid behandling av personuppgifter enligt registerförfattningarna. Dessa bestämmelser i registerförfattningarna kommer att upphävas i samband med att person- uppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. Skadeståndsbestämmelsen i personuppgiftslagen bör dock fortfarande gälla om den omständighet som yrkandet hänför sig till har inträffat före det att bestämmelsen upphävs.

Regeringen föreslår i propositionen Ny dataskyddslag att rätten till skadestånd enligt dataskyddsförordningen gäller även vid skada som uppstått på grund av överträdelser av dataskyddslagen och andra före- skrifter som kompletterar dataskyddsförordningen (7 kap. 1 § data- skyddslagen). Eftersom det följer av allmänna grundsatser att ny lagstift- ning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593) anser regeringen att någon särskild övergångsbestämmelse om detta inte behövs.

Mot denna bakgrund anser regeringen att Socialdataskyddsutred- ningens förslag till övergångsbestämmelser om att äldre föreskrifter om skadestånd gäller fortfarande om den omständigheten som yrkandet hän- för sig till har inträffat före ikraftträdandet inte bör genomföras.

Övriga övergångsbestämmelser

I avsnitt 7.6 föreslår regeringen en ändring i en befintlig övergångsbe- stämmelse i lagen om införande av socialförsäkringsbalken. Övervägand- ena framgår av det avsnittet.

I övrigt bedöms det inte finns något behov av övergångsbestämmelser med anledning av de förslag som lämnas.

232

Konsekvenser

Prop. 2017/18:171

9.1.1Allmänna konsekvenser

Dataskyddsförordningen innehåller till stor del samma eller i vart fall lik- nande bestämmelser som dataskyddsdirektivet och personuppgiftslagen. Dataskyddsförordningen är dock direkt tillämplig och gäller – till skill- nad från personuppgiftslagen som är subsidiär – oavsett vad som regleras i en nationell registerförfattning. Bestämmelser i nationell lagstiftning är därför tillåtna endast om det finns särskilt stöd för sådana bestämmelser i dataskyddsförordningen. En översyn och anpassning av nationell lagstift- ning på området är således nödvändig för att den inte ska strida mot den direkt tillämpliga EU-förordningen.

Utgångspunkten för detta lagstiftningsärende är att behandling av personuppgifter som i dag är laglig ska kunna fortsätta även efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018.

Det är inte några ofullkomligheter i lagstiftningen, eller ifrågasatta integritetskränkningar, som har föranlett detta lagstiftningsärende utan enbart den kommande nya EU-regleringen av behandling av personupp- gifter. De förslag till författningsändringar som lämnas i denna proposition avser att så långt det är möjligt bibehålla, dvs. varken in- skränka eller utöka, befintliga möjligheter att behandla personuppgifter.

Socialdataskyddsutredningen har gått igenom samtliga bestämmelser som innehåller reglering av behandling av personuppgifter inom Social- departementets verksamhetsområde och föreslår ett antal författnings- ändringar som har till syfte att anpassa den svenska lagstiftningen till dataskyddsförordningen. Av Socialdataskyddsutredningens övervägan- den framgår vilka möjligheter som bedöms finnas till nationell lagstift- ning på området och vilka ändringar som bedöms vara nödvändiga för att regleringen ska överensstämma med dataskyddsförordningen. Social- dataskyddsutredningens har genomgående bedömt det vara möjligt att behålla bestämmelser vars syfte är att ge en mer preciserad eller av- vikande reglering i förhållande till den generella regleringen.

I övrigt föreslås ändringar av lagteknisk karaktär eller i upplysande syfte. De flesta av förslagen görs till följd av att dataskyddsförordningen ska börja tillämpas och att personuppgiftslagen upphävs. Det gäller t.ex. förslag att upphäva hänvisningar till personuppgiftslagen och bestämmel- ser avseende sådant som regleras direkt i dataskyddsförordningen eller i den föreslagna dataskyddslagen. Dessa förslag, och de förslag som anger författningarnas förhållande till dataskyddsförordningen och dataskydds- lagen, bidrar till att minska eventuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra.

Behandling av personuppgifter som utförs av behörig myndighet för bl.a. syftet verkställighet av påföljder och som i dag omfattas av patient- datalagen respektive lagen om behandling av personuppgifter inom socialtjänsten, kommer till följd av ändringarna i patientdatalagen, se avsnitt 7.1.1, och lagen om behandling av personuppgifter inom social- tjänsten, se avsnitt 7.4.1, inte längre omfattas av nämnda lagar utan i stället av den brottsdatalag som föreslås i lagrådsremissen Brottsdatalag.

233

Prop. 2017/18:171 10

Författningskommentar

I avsnitt 7 har registerlagarna och behovet av ändringar i dessa redo- visats. Motiven för och kommentarer till föreslagna författnings- ändringar, ofta i form av hänvisningar till specifika avsnitt i de för flera författningar generella övervägandena framgår där. Eftersom lagändring- arna i huvudsak är av mer författningsteknisk och redaktionell karaktär, är det inte motiverat att i någon större detaljeringsgrad kommentera dessa. Förslag och bedömningar till bestämmelserna om ikraftträdande och övergångsbestämmelserna finns framförallt i avsnitt 8.1–2.

10.1Förslaget till lag om ändring i socialförsäkringsbalken

114 kap.

1§

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

–förhållandet till annan reglering i 6 §,

–personuppgiftsansvar i 6 a §,

–ändamål för behandling av personuppgifter i 7–10 §§,

–behandling av känsliga personuppgifter m.m. i 11–13 §§,

–behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

–tilldelning av behörighet i 17 §,

–direktåtkomst i 18–23 §§,

–utlämnande på medium för automatisk behandling i 24–26 a §§,

–sökbegrepp i 27 och 28 §§,

–överföring av personuppgifter till tredjeland i 29 §,

–information i 30 §,

–gallring i 31 §,

–avgifter i 32 §,

–kontrollverksamhet i 34 §, och

–tystnadsplikt i 35 §.

Paragrafen ändras till följd av vissa ändringar i kapitlets paragrafer.

2 §

Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäk- ringskassan eller Pensionsmyndigheten. Med socialförsäkringens administration avses i detta kapitel administration hos dessa myndigheter.

Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier.

Bestämmelserna i 7–16, 27, 28 och 31 §§ gäller i tillämpliga delar även upp- gifter om avlidna personer.

234

Paragrafen behandlas i avsnitt 7.5.1 och avsnitt 7.5.4. Paragrafen utformas i enlighet med Lagrådets förslag.

Förhållandet till annan reglering

6 §

Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Paragrafen behandlas i avsnitt 7.5.3 och vad gäller allmänna övervägan- den i avsnitt 6.3.

I paragrafens första stycke upplyses att bestämmelserna i kapitlet kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen att Sverige inför bestämmelser som kompletterar förordningen.

I andra stycket regleras förhållandet till dataskyddslagen. Dataskydds- lagen och föreskrifter som har meddelats i anslutning till den lagen kommer att innehålla bestämmelser som kompletterar dataskydds- förordningen på en generell nivå. Bestämmelsen innebär att om denna balk innehåller bestämmelser som avviker från vad som anges i data- skyddslagen ska de bestämmelserna ha företräde framför dataskydds- lagen.

Personuppgiftsansvar 6 a §

En myndighet inom socialförsäkringens administration är personuppgiftsan- svarig för den behandling av personuppgifter som den utför.

Paragrafen behandlas i avsnitt 7.5.4. Motsvarar tidigare 114 kap. 6 § första stycke andra mening och andra stycket. Rubriken före paragrafen är ny. Paragrafen utformas i enlighet med Lagrådets förslag.

10 §

Personuppgifter som behandlas enligt 7–9 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen behandlas i avsnitt 7.5.5 och vad gäller allmänna övervägan- den i avsnitt 6.5.3.

11 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

Prop. 2017/18:171

235

Prop. 2017/18:171

236

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

Paragrafen behandlas i avsnitt 7.5.6 och vad gäller allmänna över- väganden i avsnitt 6.6.3 och avsnitt 6.6.6.

12 §

Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administra- tion i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får upp- gifter om lagöverträdelser behandlas som enligt 15 § får behandlas i socialförsäk- ringsdatabasen.

Paragrafen behandlas i avsnitt 7.5.6 och vad gäller allmänna övervägan- den i avsnitt 6.7. Nuvarande hänvisning till 21 § personuppgiftslagen ändras till att ange uppgift om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

13 §

I 15 § finns särskilda bestämmelser om behandling i socialförsäkringsdata- basen av känsliga personuppgifter och uppgifter som avses i 12 § första stycket.

Paragrafen behandlas i avsnitt 7.5.6. Följdändring med anledning av ändring i 12 § första stycket.

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de begränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter behandlas i social- försäkringsdatabasen.

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får, utöver vad som anges i 16 §, behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.

Paragrafen behandlas i avsnitt 7.5.6. Följdändring med anledning av ändring i 12 § första stycket.

16 §

Uppgifter i en handling som kommit in i ett ärende får behandlas i social- försäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter som avses i 12 § första stycket. Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.

Paragrafen behandlas i avsnitt 7.5.6. Följdändring med anledning av ändring 12 § första stycket.

27 §

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.

Vid sökning som omfattar innehållet i fler än en handling i socialförsäkrings- databasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar före- skrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.

Paragrafen behandlas i avsnitt 7.5.7.

Överföring av personuppgifter till tredjeland 29 §

Personuppgifter får föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater.

Paragrafen behandlas i avsnitt 7.5.8. Vidare görs den språkliga justeringen att ordet tredjeland skriv ihop.

30 §

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information som avses i artikel 15 i EU:s dataskyddsförordning om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.

Paragrafen behandlas i avsnitt 7.5.10. Nuvarande hänvisning till 26 § personuppgiftslagen ändras till en hänvisning till sådan information som avses i artikel 15 i dataskyddsförordningen.

31 §

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Paragrafen behandlas i avsnitt 7.5.9 och vad gäller allmänna över- väganden i avsnitt 6.10.

Prop. 2017/18:171

237

Prop. 2017/18:171 Terminologin anpassas till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” bytts ut mot ”arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål”.

10.2Förslaget till lag om ändring i lagen (1996:1156) om receptregister

Förhållandet till annan reglering 3 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen behandlas i avsnitt 7.7.1 och vad gäller allmänna över- väganden i avsnitt 6.3.

I paragrafens första stycke upplyses att denna lag kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskydds- förordningen att Sverige inför bestämmelser som kompletterar förord- ningen.

I andra stycket regleras förhållandet till dataskyddslagen. Dataskydds- lagen och föreskrifter som har meddelats i anslutning till den lagen kommer att innehålla bestämmelser som kompletterar dataskydds- förordningen på en generell nivå. Bestämmelsen innebär att om denna lag innehåller bestämmelser som avviker från vad som anges i data- skyddslagen ska de bestämmelserna ha företräde framför dataskydds- lagen.

Personuppgiftsbehandling för andra ändamål 7 §

Personuppgifter som behandlas i receptregistret får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen behandlas i avsnitt 7.7.4 och vad gäller allmänna övervägan- den i avsnitt 6.5.3.

Behandling av känsliga personuppgifter 8 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

238

Paragrafen behandlas i avsnitt 7.7.2 och vad gäller allmänna övervägan-	Prop. 2017/18:171
den i avsnitt 6.6.4.

20 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.vilka uppgifter registret får innehålla,

2.de tystnadsplikts- och säkerhetsbestämmelser som gäller för registret,

3.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

4.de begränsningar i fråga om sökbegrepp som gäller för registret, och

5.att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Paragrafen behandlas i avsnitt 7.7.5 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2. Paragrafen har utformats i enlighet med Lagrådets förslag.

10.3Förslaget till lag om ändring i lagen (1998:543) om hälsodataregister

Förhållandet till annan reglering 2 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Paragrafen behandlas i avsnitt 7.9.1 och vad gäller allmänna över- väganden i avsnitt 6.3.

I andra stycket regleras förhållandet till dataskyddslagen. Dataskydds- lagen och föreskrifter som har meddelats i anslutning till den lagen kommer att innehålla bestämmelser som kompletterar dataskydds- förordningen på en generell nivå. Bestämmelsen innebär att om denna lag innehåller bestämmelser som avviker från vad som anges i data- skyddslagen ska de bestämmelserna ha företräde framför dataskydds- lagen.

239

Prop. 2017/18:171 10.4	Förslaget till lag om ändring i lagen (2001:454)
	om behandling av personuppgifter inom
	socialtjänsten

1 §

Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personupp- gifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.

Paragrafen behandlas i avsnitt 7.4.1. Ändring till följd av att i 3 § anges att lagen i vissa fall inte ska tillämpas.

3 §

Lagen tillämpas inte vid behandling av personuppgifter

1.hos domstolar,

2.för forsknings- och statistikändamål, eller

3.som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets

och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen behandlas i avsnitt 7.4.1 och vad gäller utgångspunkter av- snitt 3.1 samt allmänna överväganden i avsnitt 5.1 och avsnitt 6.3.

Förhållandet till annan reglering 4 §

Denna lag innehåller bestämmelser som kompletterar EU:s dataskydds- förordning.

Paragrafen behandlas i avsnitt 7.4.2 och vad gäller allmänna övervägan- den i avsnitt 6.3.

I andra stycket regleras förhållandet till dataskyddslagen. Dataskydds- lagen och föreskrifter som har meddelats i anslutning till den lagen kommer att innehålla bestämmelser som kompletterar dataskyddsförord- ningen på en generell nivå. Bestämmelsen innebär att om denna lag inne- håller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

240

7 §	Prop. 2017/18:171
Socialtjänsten får behandla

1.person- och samordningsnummer,

2.personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), samt

3.uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i förord- ningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Paragrafen behandlas i avsnitt 7.4.3 och vad gäller allmänna övervägan- den i avsnitt 6.6.4 och avsnitt 6.6.6.

10.5Förslaget till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

1 kap.

Förhållandet till annan dataskyddsreglering

4 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelser i annan lag vilka avviker från bestämmelser i denna lag ska tillämpas med det undantaget att bestämmelserna i 5 kap. om PKU-registret ska ha företräde framför bestämmelser i annan lag.

Paragrafen behandlas i avsnitt 7.11.1 och vad gäller allmänna över- väganden i avsnitt 6.3. Paragrafen har utformats i enlighet med

Lagrådets förslag.

4 kap.

4 a §

Paragrafen behandlas i avsnitt 7.11.2. Hänvisningen till personuppgifts- lagen tas bort.

241

Prop. 2017/18:171 6 kap.

Skadestånd 2 §

Huvudmannen för biobanken ska ersätta en enskild provgivare för den skada eller kränkning av den personliga integriteten som ett förfarande med vävnads- prover i strid med denna lag har orsakat honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Paragrafen behandlas i avsnitt 7.11.3 och vad gäller allmänna över- väganden i avsnitt 6.8.1 (rättelse) och avsnitt 6.11.1 (skadestånd).

3 §

Inspektionen för vård och omsorg utövar tillsyn över att denna lag och före- skrifter som har meddelats i anslutning till lagen följs. Den myndighet som är tillsynsmyndighet enligt EU:s dataskyddsförordning utövar dock tillsyn över den behandling som sker av personuppgifter.

Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut handlingar, prover och annat material som rör verksamheten samt att lämna de upplysningar om verk- samheten som inspektionen behöver för sin tillsyn.

Inspektionen för vård och omsorg får förelägga den som bedriver verksam- heten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

Paragrafen behandlas i avsnitt 7.11.4. Hänvisningen till personuppgifts- lagen ändras till att i stället avse EU:s dataskyddsförordning.

7 §

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte överklagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som Inspektionen för vård och omsorg eller allmän förvaltningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

Paragrafen behandlas i avsnitt 7.11.5 och vad gäller allmänna över- väganden i avsnitt 6.12. Ändringen innebär att tredje stycket tas bort.

10.6Förslaget till lag om ändring i lagen (2005:258) om läkemedelsförteckning

Förhållandet till annan reglering

2 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000)

med kompletterande bestämmelser till EU:s dataskyddsförordning och före-

242

skrifter som har meddelats i anslutning till den lagen, om inte annat följer av Prop. 2017/18:171 denna lag eller föreskrifter som har meddelats i anslutning till lagen.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Paragrafen behandlas i avsnitt 7.8.1 och vad gäller allmänna övervägan- den i avsnitt 6.3.

Behandling av känsliga personuppgifter

4 a § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

Paragrafen behandlas i avsnitt 7.8.2 och vad gäller allmänna övervägan- den i avsnitt 6.6.4.

Information som ska lämnas självmant 10 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.vilken typ av uppgifter som ingår i förteckningen,

2.de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen,

3.rätten att ta del av uppgifter enligt 11 §,

4.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

5.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av

uppgifter på medium för automatiserad behandling, och 6. att registreringen inte är frivillig.

Paragrafen behandlas i avsnitt 7.8.4 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2. Paragrafen har utformats i enlighet med Lagrådets förslag.

Information som ska lämnas efter ansökan 11 §

Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i artikel 15 i EU:s dataskyddsförordning.

Paragrafen behandlas i avsnitt 7.8.5 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2.

243

Prop. 2017/18:171 10.7	Förslaget till lag om ändring i lagen (2006:351)
	om genetisk integritet m.m.
1 kap.

Förhållandet till annan dataskyddsreglering

4 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Paragrafen behandlas i avsnitt 7.12.1 och vad gäller allmänna övervägan- den i avsnitt 6.3.

10.8Förslaget till lag om ändring i lagen (2006:496) om blodsäkerhet

Förhållandet till annan dataskyddsreglering

5 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Paragrafen behandlas i avsnitt 7.13.1 och vad gäller allmänna övervägan- den i avsnitt 6.3. Rubriken närmast före paragrafen har utformats i enlighet med Lagrådets förslag.

10.9Förslaget till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

12 §

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlig-

hets- och sekretesslagen (2009:400).

244

Bestämmelser om skydd mot kränkning av en enskilds personliga integritet Prop. 2017/18:171 genom behandling av personuppgifter finns i Europaparlamentets och rådets för-

ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning) och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting får överföra personuppgifter till Världshälsoorganisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvän- digt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Paragrafen behandlas i avsnitt 7.16.

10.10Förslaget till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

Förhållandet till annan dataskyddsreglering 8 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Paragrafen behandlas i avsnitt 7.14.1 och vad gäller allmänna övervägan- den i avsnitt 6.3. Rubriken närmast före paragrafen har utformats i enlighet med Lagrådets förslag.

10.11Förslaget till lag om ändring i patientdatalagen (2008:355)

1 kap.

1 §

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

245

Prop. 2017/18:171

246

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagen gäller inte vid sådan behandling av personuppgifter som avses i den ur- sprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen behandlas i avsnitt 7.1.1 och vad gäller allmänna över- väganden i avsnitt 6.3.

Förhållandet till annan dataskyddsreglering

4 §

Denna lag innehåller bestämmelser som kompletterar EU:s dataskydds- förordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen behandlas i avsnitt 7.1.2 och vad gäller allmänna övervägan- den i avsnitt 6.3.

2 kap.

5 §

Personuppgifter som behandlas för ändamål som anges i 4 § får också be- handlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen behandlas i avsnitt 7.1.4 och vad gäller allmänna övervägan- den i avsnitt 6.5.3.

7 §

En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsbe- rövanden får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser.

Paragrafen behandlas i avsnitt 7.1.5 och vad gäller allmänna övervägan- den i avsnitt 6.7.

7 a § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

Paragrafen behandlas i avsnitt 7.1.6 och vad gäller allmänna övervägan- den i avsnitt 6.6.4.

8 §

Känsliga personuppgifter eller uppgifter om lagöverträdelser som avses i 7 § får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda upp- gifter om

1.hälsa, eller

2.att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

Paragrafen behandlas i avsnitt 7.1.7.

7 kap.

3 §

Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den infor- mation som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehand- lingen påbörjas, ska den lämnas så snart som möjligt därefter.

Paragrafen behandlas i avsnitt 7.1.8 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får be- handlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regio- nalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen be- stämmer i enskilda fall medger det.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i förord- ningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Paragrafen behandlas i avsnitt 7.1.8. Paragrafen har utformats i enlighet med Lagrådets förslag.

8 a §

Uppgifter om lagöverträdelser som avses i 2 kap. 7 § får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myn- dighet som regeringen bestämmer i enskilda fall medger det.

Prop. 2017/18:171

247

Prop. 2017/18:171 Paragrafen, som är ny, behandlas i avsnitt 7.1.8. Paragrafen har utformats i enlighet med Lagrådets förslag.

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Om regeringen eller den myndighet regeringen bestämt har meddelat före- skrifter enligt 7 § andra stycket, får regeringen eller myndigheten också före- skriva att personuppgifter får bevaras för sådana ändamål.

Paragrafen behandlas i avsnitt 7.1.8 och vad gäller allmänna övervägan- den i avsnitt 6.10.

Terminologin anpassas till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” bytts ut mot ”arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål”. Paragrafen har utformats i enlighet med Lagrådets förslag.

8 kap.

6 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

3.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

4. rätten enligt 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,

5.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

6.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken informa- tion som ska lämnas i vissa fall.

Paragrafen behandlas i avsnitt 7.1.9. Paragrafen har utformats i enlighet med Lagrådets förslag.

10 kap.

2 §

Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

248

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt	Prop. 2017/18:171
8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets-
och sekretesslagen (2009:400).
Övriga beslut enligt denna lag får inte överklagas.

Paragrafen behandlas i avsnitt 7.1.11 och vad gäller allmänna övervägan- den i avsnitt 6.12. Ändringen innebär att hänvisning till personuppgifts- lagens bestämmelser om överklagande tas bort.

10.12Förslaget till lag om ändring i apoteksdatalagen (2009:367)

Förhållandet till annan reglering

5 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen behandlas i avsnitt 7.2.1 och vad gäller allmänna övervägan- den i avsnitt 6.3.

9 §

Personuppgifter som behandlas enligt 8 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen behandlas i avsnitt 7.2.3 och vad gäller allmänna övervägan- den i avsnitt 6.5.3.

Behandling av känsliga personuppgifter

9 a § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Paragrafen behandlas i avsnitt 7.2.4 och vad gäller allmänna övervägan- den i avsnitt 6.6.4.

16 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

249

Prop. 2017/18:171 3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning till

skadestånd vid behandling av personuppgifter i strid med denna lag, och 4. vad som gäller i fråga om sökbegrepp.

Paragrafen behandlas i avsnitt 7.2.6 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2. Paragrafen har utformats i enlighet med Lagrådets förslag.

10.13Förslaget till lag om ändring i lagen (2010:111) om införande av socialförsäkringsbalken

9 kap.

22 §

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda för- fattningarna. De upphävda bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens admini- stration eller föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen behandlas i avsnitt 7.6.

23 §

De upphävda bestämmelserna om skadestånd i 114 kap. 33 § socialförsäk- ringsbalken tillämpas endast om den omständighet som ett yrkande om skade- stånd grundas på har inträffat efter utgången av november 2003, men före den 25 maj 2018.

Paragrafen behandlas i avsnitt 7.6.

10.14Förslaget till lag om ändring i alkohollagen (2010:1622)

Härigenom föreskrivs att 13 kap. 5 § alkohollagen (2010:1622) ska upphöra att gälla.

Paragrafen behandlas i avsnitt 7.17 och vad gäller allmänna övervägan- den i avsnitt 6.8.1 (rättelse) och avsnitt 6.11.1 (skadestånd).

250

10.15 Förslaget till lag om ändring i lagen (2012:263) Prop. 2017/18:171 om kvalitets- och säkerhetsnormer vid

hantering av mänskliga organ

Förhållandet till annan dataskyddsreglering

4 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Paragrafen behandlas i avsnitt 7.15.1 och vad gäller allmänna övervägan- den i avsnitt 6.3.

10.16Förslaget till lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram

3 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen behandlas i avsnitt 7.10.1 och vad gäller allmänna övervägan- den i avsnitt 6.3.

6 §

Personuppgifter får behandlas för

1.framställning av statistik,

2.uppföljning, utvärdering och kvalitetssäkring av nationella vaccinations- program, samt

3.forskning och epidemiologiska undersökningar.

Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen behandlas i avsnitt 7.10.2 och vad gäller allmänna övervägan- den i avsnitt 6.5.3.

251

Prop. 2017/18:171 13 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

4.vad som gäller i fråga om sökbegrepp, och

5.att registreringen inte är frivillig.

Paragrafen behandlas i avsnitt 7.10.4 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2. Paragrafen har utformats i enlighet med Lagrådets förslag.

10.17Förslaget till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

4 §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen behandlas i avsnitt 7.3.1 och vad gäller allmänna övervägan- den i avsnitt 6.3.

9 §

Paragrafen behandlas i avsnitt 7.3.2 och vad gäller allmänna övervägan- den i avsnitt 6.5.3.

Behandling av känsliga personuppgifter

Paragrafen behandlas i avsnitt 7.3.3 och vad gäller allmänna övervägan- den i avsnitt 6.6.4.

252

21 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och be- handlingen,

4.vad som gäller i fråga om sökbegränsningar.

Paragrafen behandlas i avsnitt 7.3.5 och vad gäller allmänna övervägan- den i avsnitt 6.8.1–2. Paragrafen har utformats i enlighet med Lagrådets förslag.

Prop. 2017/18:171

253

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/1
	SV

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1), med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och av följande skäl:

(1)Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(2)Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3)Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna.

(1) EUT C 229, 31.7.2012, s. 90. (2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

254

Prop. 2017/18:171

Bilaga 1

L 119/2		Europeiska unionens officiella tidning	4.5.2016
	SV

(4)Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.

(5)Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6)Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över. Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för personuppgifter.

(7)Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

(9)Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(10)För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

255

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/3
	SV

(11)Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

(12)I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för personuppgifter.

(13)För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG (1).

(14)Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15)För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(16)Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)Europaparlamentets och rådets förordning (EG) nr 45/2001 (2) är tillämplig på den behandling av personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen. För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda förordningarna kan tillämpas samtidigt.

(18)Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

256

Prop. 2017/18:171

Bilaga 1

L 119/4		Europeiska unionens officiella tidning	4.5.2016
	SV

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls verksamhet.

(19)Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt, nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20)Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.

(21)Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations samhällets tjänster mellan medlemsstaterna.

(22)All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

257

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/5
	SV

(23)För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att erbjuda varor eller tjänster till registrerade inom unionen.

(24)Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade, bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25)Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(26)Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(27)Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28)Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.

(29)För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp giftsansvarigs verksamhet.

258

Prop. 2017/18:171

Bilaga 1

L 119/6		Europeiska unionens officiella tidning	4.5.2016
	SV

(30)Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.

(31)Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga på behandlingens ändamål.

(32)Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33)Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34)Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.

(35)Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36)Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

259

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/7
	SV

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den utförs fastställs av ett annat företag.

(37)En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en koncern.

(38)Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39)Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.

(40)För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

260

Prop. 2017/18:171

Bilaga 1

L 119/8		Europeiska unionens officiella tidning	4.5.2016
	SV

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41)När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42)När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43)För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

(44)Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal.

(45)Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

(46)Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

261

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/9
	SV

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47)En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48)Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49)Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings attacker och skador på datasystem och elektroniska kommunikationssystem.

(50)Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

262

Prop. 2017/18:171

Bilaga 1

L 119/10		Europeiska unionens officiella tidning	4.5.2016
	SV

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller annan bindande tystnadsplikt.

(51)Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52)Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.

(53)Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

263

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/11
	SV

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54)På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55)Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56)Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder fastställs.

(57)Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58)Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

(59)Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana önskemål.

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

264

Prop. 2017/18:171

Bilaga 1

L 119/12		Europeiska unionens officiella tidning	4.5.2016
	SV

(60)Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61)Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges.

(62)Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63)Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en framställan avser, innan informationen lämnas ut.

(64)Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65)Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

265

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/13
	SV

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(66)För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67)Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.

(68)För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

(69)När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(70)Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling, inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

266

Prop. 2017/18:171

Bilaga 1

L 119/14		Europeiska unionens officiella tidning	4.5.2016
	SV

(71)Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör endast tillåtas på särskilda villkor.

(72)Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73)Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74)Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

267

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/15
	SV

(75)Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(76)Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77)Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan risk.

(78)Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter, tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen, säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

(79)Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(80)När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

268

Prop. 2017/18:171

Bilaga 1

L 119/16		Europeiska unionens officiella tidning	4.5.2016
	SV

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet, vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81)För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82)För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

(83)För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84)I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar. Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85)En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

269

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/17
	SV

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86)Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens

rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87)Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning.

(88)När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en personuppgiftsincident.

(89)Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90)I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91)Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur, där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

270

Prop. 2017/18:171

Bilaga 1

L 119/18		Europeiska unionens officiella tidning	4.5.2016
	SV

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning, särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92)Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad horisontell verksamhet.

(93)Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(94)Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(95)Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.

(96)Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.

(97)När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling

271

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/19
	SV

som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

(98)Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers rättigheter och friheter.

(99)Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som mottas och de åsikter som framförs som svar på samråden.

(100)För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters dataskydd.

(101)Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(102)Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå av skydd för de registrerades grundläggande rättigheter.

(103)Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att ett sådant beslut ska återkallas.

(104)I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en

272

Prop. 2017/18:171

Bilaga 1

L 119/20		Europeiska unionens officiella tidning	4.5.2016
	SV

tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ och rättslig prövning.

(105)Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas. Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella organisationer.

(106)Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå

föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar lamentet och rådet.

(107)Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet eller organisationen för att avhjälpa situationen.

(108)Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(109)Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe

stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

273

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/21
	SV

standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(110)En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.

(111)Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(112)Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.

(113)Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera tillsynsmyndigheten och den registrerade om överföringen.

(114)Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem.

274

Prop. 2017/18:171

Bilaga 1

L 119/22		Europeiska unionens officiella tidning	4.5.2016
	SV

(115)Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en

medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

(116)När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av ömsesidighet och i överensstämmelse med denna förordning.

(117)Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(118)Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller övervakningsmekanismer eller bli föremål för domstolsprövning.

(119)Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och kommissionen.

(120)Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

(121)De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd tillsynsmyndighetens ledamot eller ledamöter.

(122)Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling

275

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/23
	SV

inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av personuppgifter.

(123)Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.

(124)Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning, framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.

(125)Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som klagomålet har lämnats in till.

(126)Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i unionen.

(127)Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall, om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den

276

Prop. 2017/18:171

Bilaga 1

L 119/24		Europeiska unionens officiella tidning	4.5.2016
	SV

ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.

(128)Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.

(129)För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter, korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel. Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den tillsynsmyndighet som antog beslutet hör.

(130)Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens territorium i samverkan med den behöriga tillsynsmyndigheten.

(131)Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas nationella rätt.

(132)Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.

277

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/25
	SV

(133)Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom en månad från det att begäran mottogs av den andra tillsynsmyndigheten.

(134)Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(135)För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen.

(136)Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande, om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter. För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.

(137)Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium med en viss giltighetsperiod, som inte bör överskrida tre månader.

(138)Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(139)I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare. Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina uppgifter.

(140)Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och rapportera till denne.

(141)Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,

278

Prop. 2017/18:171

Bilaga 1

L 119/26		Europeiska unionens officiella tidning	4.5.2016
	SV

om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

(142)Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den registrerades mandat.

(143)Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263 i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten. Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt. Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga frågor som rör den tvist som anhängiggjorts vid dem.

Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet, i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den frist som anges i artikel 263 i EUF-fördraget.

(144)Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra

279

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/27
	SV

domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden. Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika rättegångar.

(145)När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(146)Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.

(147)Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 1215/2012 (1), påverka tillämpningen av sådana särskilda bestämmelser.

(148)För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer. Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett effektivt rättsligt skydd och korrekt rättsligt förfarande.

(149)Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem enligt domstolens tolkning.

(150)För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör

samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna

(1) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).

280

Prop. 2017/18:171

Bilaga 1

L 119/28		Europeiska unionens officiella tidning	4.5.2016
	SV

förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift. Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna förordning.

(151)Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning. Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella och avskräckande.

(152)Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör fastställas i medlemsstaternas nationella rätt.

(153)Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet, vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet, som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter, personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i denna frihet, som till exempel journalistik.

(154)Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som

ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets och rådets direktiv 2003/98/EG (1) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende

(1) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (EUT L 345, 31.12.2003, s. 90).

281

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/29
	SV

på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter, tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.

(155)En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

(156)Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter). Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd, rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet. Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning, exempelvis om kliniska prövningar.

(157)Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

(158)Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

282

Prop. 2017/18:171

Bilaga 1

L 119/30		Europeiska unionens officiella tidning	4.5.2016
	SV

(159)Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i denna förordning tillämpas på dessa åtgärder.

(160)Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att denna förordning inte bör gälla för avlidna personer.

(161)När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (1) tillämpas.

(162)Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling. Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysiskperson.

(163)De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar lamentets och rådets förordning (EG) nr 223/2009 (2) innehåller ytterligare preciseringar om statistisk konfiden tialitet för europeisk statistik.

(164)Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning, genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt, där detta krävs enligt unionsrätten.

(165)Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och

religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med artikel 17 i EUF-fördraget.

(166) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av

(1) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om

upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).

(2) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

283

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/31
	SV

personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

(167)För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

(168)Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation, standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser, ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen.

(169)Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.

(170)Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(171)Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.

(172)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett yttrande den 7 mars 2012 (1).

(173)Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål som anges i Europaparlamentets och rådets direktiv 2002/58/EG (2), däribland den personuppgiftsansvariges skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv 2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över, framför allt för att säkerställa konsekvens med denna förordning.

(1) EUT C 192, 30.6.2012, s. 7.

(2) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

284

Prop. 2017/18:171

Bilaga 1

L 119/32		Europeiska unionens officiella tidning	4.5.2016
	SV

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte

1.I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Artikel 2

Materiellt tillämpningsområde

1.Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.Denna förordning ska inte tillämpas på behandling av personuppgifter som

a)utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c)en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

d)behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

3.Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med artikel 98.

4.Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Artikel 3

Territoriellt tillämpningsområde

1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.

285

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/33
	SV

2.Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till

a)utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte, eller

b)övervakning av deras beteende så länge beteendet sker inom unionen.

3.Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

Artikel 4

Definitioner

I denna förordning avses med

1.personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

3.begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden,

4.profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,

5.pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,

6.register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7.personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

8.personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

9.mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta

286

Prop. 2017/18:171

Bilaga 1

L 119/34		Europeiska unionens officiella tidning	4.5.2016
	SV

personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

10.tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

11.samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

12.personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

13.genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga,

14.biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,

15.uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

16.huvudsakligt verksamhetsställe:

a)när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,

b)när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,

17.företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes skyldigheter enligt denna förordning,

18.företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,

19.koncern: ett kontrollerande företag och dess kontrollerade företag,

20.bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,

21.tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,

287

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/35
	SV

22.berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att

a)den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats territorium,

b)registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i väsentlig grad kommer att påverkas av behandlingen, eller

c)ett klagomål har lämnats in till denna tillsynsmyndighet,

23.gränsöverskridande behandling:

a)behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller

b)behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,

24.relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt

itillämpliga fall det fria flödet av personuppgifter inom unionen,

25.informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (1),

26.internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.

KAPITEL II

Principer

Artikel 5

Principer för behandling av personuppgifter

1.Vid behandling av personuppgifter ska följande gälla:

a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts minimering).

d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

(1) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

288

Prop. 2017/18:171

Bilaga 1

L 119/36		Europeiska unionens officiella tidning	4.5.2016
	SV

e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artikel 6

Laglig behandling av personuppgifter

1.Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan svariges myndighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)unionsrätten, eller

b)en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda

289

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/37
	SV

situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp gifterna ursprungligen samlades in bland annat beakta följande:

a)Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b)Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d)Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7

Villkor för samtycke

1.Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2.Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3.De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

290

Prop. 2017/18:171

Bilaga 1

L 119/38		Europeiska unionens officiella tidning	4.5.2016
	SV

2.Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a)Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b)Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c)Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e)Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g)Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h)Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i)Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

291

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/39
	SV

j)Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3.Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4.Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 11

Behandling som inte kräver identifiering

1.Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.

2.Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

KAPITEL III

Den registrerades rättigheter

Avsnitt 1

Insyn och villkor

Artikel 12

Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

1. Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

292

				Prop. 2017/18:171
				Bilaga 1
L 119/40			Europeiska unionens officiella tidning	4.5.2016
L 119/40		SV	Europeiska unionens officiella tidning	4.5.2016

2.	Den personuppgiftsansvarige ska		underlätta utövandet av den registrerades rättigheter	i enlighet med

artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte är i stånd att identifiera den registrerade.

3.Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

4.Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

5.Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a)ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b)vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

6.Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.

Avsnitt 2

Information och tillgång till personuppgif ter

Artikel 13

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

1. Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

293

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/41
	SV

d)Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f)I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent behandling:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

c)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d)Rätten att inge klagomål till en tillsynsmyndighet.

e)Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

f)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

Artikel 14

Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)De kategorier av personuppgifter som behandlingen gäller.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

294

Prop. 2017/18:171

Bilaga 1

L 119/42		Europeiska unionens officiella tidning	4.5.2016
	SV

f)I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

c)Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet.

d)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

e)Rätten att inge klagomål till en tillsynsmyndighet.

f)Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.

g)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a)inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,

b)om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller

c)om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a)den registrerade redan förfogar över informationen,

b)tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,

c)erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller

d)personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

295

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/43
	SV

Artikel 15

Den registrerades rätt till tillgång

1.Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a)Ändamålen med behandlingen.

b)De kategorier av personuppgifter som behandlingen gäller.

c)De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e)Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f)Rätten att inge klagomål till en tillsynsmyndighet.

g)Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

h)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

2.Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Avsnitt 3

R ättelse och rader ing

Artikel 16

Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17

Rätt till radering (”rätten att bli bortglömd”)

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

296

Prop. 2017/18:171

Bilaga 1

L 119/44		Europeiska unionens officiella tidning	4.5.2016
	SV

b)Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

d)Personuppgifterna har behandlats på olagligt sätt.

e)Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f)Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

2.Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

3.Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a)För att utöva rätten till yttrande- och informationsfrihet.

c)För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d)För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e)För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 18

Rätt till begränsning av behandling

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

a)Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.

b)Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c)Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2.Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

297

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/45
	SV

3. En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift sansvarige innan begränsningen av behandlingen upphör.

Artikel 19

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.

Artikel 20

Rätt till dataportabilitet

1.Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om

a)behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och

b)behandlingen sker automatiserat.

2Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.

3.Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

Avsnitt 4

Rätt att göra invändningar och automatiserat individuellt beslutsfatt ande

Artikel 21

Rätt att göra invändningar

1.Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

2.Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering

iden utsträckning som denna har ett samband med sådan direkt marknadsföring.

3.Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.

298

Prop. 2017/18:171

Bilaga 1

L 119/46		Europeiska unionens officiella tidning	4.5.2016
	SV

4.Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

5.När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

6.Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Artikel 22

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

2.Punkt 1 ska inte tillämpas om beslutet

a)är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,

b)tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller

c)grundar sig på den registrerades uttryckliga samtycke.

3.I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.

Avsnitt 5

Beg ränsningar

Artikel 23

Begränsningar

1. Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

a)den nationella säkerheten,

b)försvaret,

c)den allmänna säkerheten,

299

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/47
	SV

d)förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e)andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

f)skydd av rättsväsendets oberoende och rättsliga åtgärder,

g)förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

h)en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,

i)skydd av den registrerade eller andras rättigheter och friheter,

j)verkställighet av civilrättsliga krav.

2. Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a)ändamålen med behandlingen eller kategorierna av behandling,

b)kategorierna av personuppgifter,

c)omfattningen av de införda begränsningarna,

d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g)riskerna för de registrerades rättigheter och friheter, och

h)de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

KAPITEL IV

Personuppgiftsansvarig och personuppgiftsbiträde

Avsnitt 1

Allmänna skyldigheter

Artikel 24

Den personuppgiftsansvariges ansvar

1.Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan svariges genomförande av lämpliga strategier för dataskydd.

3.Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

300

Prop. 2017/18:171

Bilaga 1

L 119/48		Europeiska unionens officiella tidning	4.5.2016
	SV

Artikel 25

Inbyggt dataskydd och dataskydd som standard

1.Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

2.Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

Artikel 26

Gemensamt personuppgiftsansvariga

1.Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.

Artikel 27

Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen

1.Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en företrädare i unionen.

2.Skyldigheten enligt punkt 1 i denna artikel ska inte gälla

a)tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller

b)en offentlig myndighet eller ett offentligt organ.

301

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/49
	SV

3.Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.

4.Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna förordning.

5.Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.

Artikel 28

Personuppgiftsbiträden

1.Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.

2.Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a)endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

b)säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

c)ska vidta alla åtgärder som krävs enligt artikel 32,

d)ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

e)med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f)ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

g)beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

h)ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

302

Prop. 2017/18:171

Bilaga 1

L 119/50		Europeiska unionens officiella tidning	4.5.2016
	SV

Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

4.I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses punkterna 1 och 4 i den här artikeln.

6.Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.

7.Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln, i enlighet med det granskningsförfarande som avses i artikel 93.2.

8.En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.

9.Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett elektroniskt format.

10.Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att det påverkar tillämpningen av artiklarna 82, 83 och 84.

Artikel 29

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 30

1. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a)Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.

b)Ändamålen med behandlingen.

c)En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

303

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/51
	SV

d)De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

e)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

f)Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

2.Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a)Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.

b)De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

3.De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

5.De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.

Artikel 31

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Avsnitt 2

Säkerhet för personuppgif ter

Artikel 32

Säkerhet i samband med behandlingen

1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

304

Prop. 2017/18:171

Bilaga 1

L 119/52		Europeiska unionens officiella tidning	4.5.2016
	SV

b)förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings systemen och -tjänsterna,

c)förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

d)ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2.Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

4.Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Artikel 33

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1.Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2.Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3.Den anmälan som avses i punkt 1 ska åtminstone

a)beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b)förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d)beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4.Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34

Information till den registrerade om en personuppgiftsincident

1. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

305

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/53
	SV

2.Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d.

3.Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a)Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b)Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4. Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

Avsnitt 3

Konsekvensbedömning avseende dataskydd samt föregående samråd

Artikel 35

Konsekvensbedömning avseende dataskydd

1.Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

2.Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en konsekvensbedömning avseende dataskydd.

3.En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a)En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b)Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c)Systematisk övervakning av en allmän plats i stor omfattning.

4.Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska översända dessa förteckningar till den styrelse som avses i artikel 68.

5.Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa förteckningar till styrelsen.

6.Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen.

306

Prop. 2017/18:171

Bilaga 1

L 119/54		Europeiska unionens officiella tidning	4.5.2016
	SV

7.Bedömningen ska innehålla åtminstone

a)en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b)en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c)en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d)de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

8.De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens bedömning avseende dataskydd.

9.Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

10.Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

11.Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Artikel 36

Förhandssamråd

1.Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift sansvarige vidtar åtgärder för att minska risken.

2.Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information som den har begärt med tanke på samrådet.

3.Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten lämna

a)i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b)ändamålen med och medlen för den avsedda behandlingen,

c)de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning,

d)i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

307

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/55
	SV

e)konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f)all annan information som begärs av tillsynsmyndigheten.

4.Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör behandling.

5.Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

Avsnitt 4

Dataskyddsombud

Artikel 37

Utnämning av dataskyddsombudet

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om

a)behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,

b)den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller

c)den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

2.En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett dataskyddsombud.

3.Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.

4.I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden.

5.Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

6.Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.

7.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten.

Artikel 38

Dataskyddsombudets ställning

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

308

Prop. 2017/18:171

Bilaga 1

L 119/56		Europeiska unionens officiella tidning	4.5.2016
	SV

2.Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

3.Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

4.Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

6.Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Artikel 39

Dataskyddsombudets uppgifter

1.Dataskyddsombudet ska ha minst följande uppgifter:

a)Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds bestämmelser.

b)Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.

c)Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35.

d)Att samarbeta med tillsynsmyndigheten.

e)Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor.

2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Avsnitt 5

Uppförandekod och cer tif iering

Artikel 40

Uppförandekoder

1.Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

2.Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel när det gäller

a) rättvis och öppen behandling,

309

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/57
	SV

b)personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,

c)insamling av personuppgifter,

d)pseudonymisering av personuppgifter,

e)information till allmänheten och de registrerade,

f)utövande av registrerades rättigheter,

g)information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar för barn,

h)åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32,

i)anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till registrerade,

j)överföring av personuppgifter till tredjeländer eller internationella organisationer,

k)utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga

och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77 och 79.

3.Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.

4.Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.

6.Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra uppförandekoden.

7.Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses

iartikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.

8.Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt yttrande till kommissionen.

9.Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas

ienlighet med det granskningsförfarande som avses i artikel 93.2.

310

Prop. 2017/18:171

Bilaga 1

L 119/58		Europeiska unionens officiella tidning	4.5.2016
	SV

10.Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt punkt 9 offentliggörs på lämpligt sätt.

11.Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem på lämpligt sätt.

Artikel 41

Övervakning av godkända uppförandekoder

1.Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.

2.Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ

har

a)visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns myndigheten finner tillfredsställande,

b)upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över hur den fungerar,

c)upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

d)på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte leder till en intressekonflikt.

3.Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.

4.Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för att de vidtagits.

5.Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.

6.Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.

Artikel 42

Certifiering

1. Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå, införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda behoven hos mikroföretag samt små och medelstora företag ska beaktas.

311

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/59
	SV

2.Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.

3.Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.

4.En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3 eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering, det europeiska sigillet för dataskydd.

6.Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier ingsförfarandet.

7.Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år

och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om kraven för certifieringen inte eller inte längre uppfylls.

8. Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och offentliggöra dem på lämpligt sätt.

Artikel 43

Certifieringsorgan

1. Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering. Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:

a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,

b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (1) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56.

2.Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har

a)visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande,

(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

312

Prop. 2017/18:171

Bilaga 1

L 119/60		Europeiska unionens officiella tidning	4.5.2016
	SV

b)förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,

c)upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för dataskydd,

d)upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

e)på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte leder till en intressekonflikt.

3.Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.

4.De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.

5.De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till beviljandet eller återkallelsen av den begärda certifieringen.

6.De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på lämpligt sätt.

7.Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna förordning.

8.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.

9.Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

KAPITEL V

Överföring av personuppgifter till tredjeländer eller internationella organisationer

Artikel 44

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

313

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/61
	SV

Artikel 45

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a)rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning, dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,

b)huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

c)vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln. Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings förfarande som avses i artikel 93.2.

4.Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i direktiv 95/46/EG fungerar.

5.Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.

6.Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som lett till beslutet enligt punkt 5.

7.Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga enligt artiklarna 46–49.

8.Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.

314

Prop. 2017/18:171

Bilaga 1

L 119/62		Europeiska unionens officiella tidning	4.5.2016
	SV

9. De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.

Artikel 46

Överföring som omfattas av lämpliga skyddsåtgärder

1.I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta formen av

a)ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b)bindande företagsbestämmelser i enlighet med artikel 47,

c)standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

d)standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

e)en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter, eller

f)en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller de registrerades rättigheter.

3.Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

a)avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller

b)bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

4.Tillsynsmyndigheten ska tillämpa den mekanism för enhetlighet som avses i artikel 63 i de fall som avses i punkt 3 i den här artikeln.

5.Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltigt tills det, vid behov, ändrats, ersatts eller upphävts av den tillsynsmyndigheten. De beslut som fattas av kommissionen på grundval av artikel 26.4 i direktiv 95/46/EG ska förbli i kraft tills de, vid behov, ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 2 i den här artikeln.

Artikel 47

Bindande företagsbestämmelser

1. Den behöriga tillsynsmyndigheten ska godkänna bindande företagsbestämmelser i enlighet med den mekanism för enhetlighet som föreskrivs i artikel 63 under förutsättning att de

a)är rättslig bindande, tillämpas på, och verkställs av alla delar som berörs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, inklusive deras anställda,

315

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/63
	SV

b)innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter när det gäller behandlingen av deras personuppgifter, och

c)uppfyller villkoren i punkt 2.

2.De bindande företagsbestämmelser som avses i punkt 1 ska närmare ange åtminstone följande:

a)struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet och för var och en av dess medlemmar,

b)vilka överföringar eller uppsättningar av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

c)bestämmelsernas rättsligt bindande natur, såväl internt som externt,

d)tillämpningen av allmänna principer för dataskydd, särskilt avgränsning av syften, uppgiftsminimering, begränsade lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rättslig grund för behandling, behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerhet och villkoren när det gäller vidare överföring av uppgifter till organ som inte är bundna av bindande företagsbestämmelser,

e)de registrerades rättigheter avseende behandling och medlen för att utöva dessa rättigheter, inklusive rätten att inte bli föremål för beslut grundade enbart på automatisk behandling, inklusive profilering, enligt artikel 22, rätten att inge klagomål till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbe stämmelserna,

f)att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad inom en medlemsstats territorium tar på sig ansvaret om en berörd enhet som inte är etablerad inom unionen bryter mot de bindande företagsbestäm melserna; den personuppgiftsansvarige eller personuppgiftsbiträdet får helt eller delvis undantas från denna skyldighet endast på villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som har uppkommit,

g)hur de registrerade ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,

h)uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet med ansvar för kontrollen av att de bindande företagsbestämmelserna följs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, samt i fråga om utbildning och hantering av klagomål,

i)förfaranden för klagomål,

j)rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera att de bindande företagsreglerna följs; sådana rutiner ska inbegripa dataskyddstillsyn och metoder för att säkerställa korrigerande åtgärder för att skydda de registrerades rättigheter; resultaten av sådana kontroller bör meddelas den person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet, och bör på begäran vara tillgänglig för den behöriga tillsynsmyndig heten,

k)rutinerna för att rapportera och dokumentera ändringar i bestämmelserna, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

l)rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, särskilt genom att meddela tillsynsmyndig heten resultaten av kontroller av de åtgärder som avses i led j,

m)rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet är underkastad i ett tredjeland och som sannolikt kommer att ha en avsevärd negativ inverkan på de garantier som ges genom de bindande företagsbestämmelserna, och

n)lämplig utbildning om dataskydd för personal som har ständig eller regelbunden tillgång till personuppgifter.

316

Prop. 2017/18:171

Bilaga 1

L 119/64		Europeiska unionens officiella tidning	4.5.2016
	SV

3. Kommissionen får närmare ange vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas, personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser i den mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 48

Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten

Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personupp giftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt detta kapitel.

Artikel 49

Undantag i särskilda situationer

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

a)Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d)Överföringen är nödvändig av viktiga skäl som rör allmänintresset.

e)Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

f)Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast omöverföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgift sansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhanda hållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de tvingande berättigade intressen som eftersträvas.

2. En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

317

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/65
	SV

3.Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning.

4.Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

5.Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

6.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.

Artikel 50

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta lämpliga åtgärder för att

a)utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

b)på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende behörighetskonflikter med tredjeländer.

KAPITEL VI

Oberoende tillsynsmyndigheter

Avsnitt 1

Oberoende ställning

Artikel 51

Tillsynsmyndighet

1.Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).

2.Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

3.Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 63.

4.Varje medlemsstat ska senast den 25 maj 2018 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.

318

Prop. 2017/18:171

Bilaga 1

L 119/66		Europeiska unionens officiella tidning	4.5.2016
	SV

Artikel 52

Oberoende

1.Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.

2.Varje tillsynsmyndighets ledamot eller ledamöter ska i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon.

3.Tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

4.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens verksamhet.

5.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.

6.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

Artikel 53

Allmänna villkor för tillsynsmyndighetens ledamöter

1.Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom ett öppet förfarande med insyn av

—deras parlament,

—deras regering,

—deras statschef, eller

—ett oberoende organ som genom medlemsstatens nationella rätt anförtrotts utnämningen.

2.Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.

3.En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i enlighet med den berörda medlemsstatens nationella rätt.

4.En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor som krävs för att utföra uppdraget.

Artikel 54

Regler för inrättandet av en tillsynsmyndighet

1. Varje medlemsstat ska fastställa följande i lag:

a) Varje tillsynsmyndighets inrättande.

319

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/67
	SV

b)De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet.

c)Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.

d)Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid tillsättandet av de första ledamöterna efter den 24 maj 2016, då ett stegvis tillsättningsförfarande med kortare perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.

e)Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder.

f)Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande.

2.Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska denna tystnadsplikt i synnerhet gälla rapportering från fysiska personer om överträdelser av denna förordning.

Avsnitt 2

Behör ighet, uppgif ter och befogenheter

Artikel 55

Behörighet

1.Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.

2.Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.

3.Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.

Artikel 56

Den ansvariga tillsynsmyndighetens behörighet

1. Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.

2.Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.

3.I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndighe ten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.

320

Prop. 2017/18:171

Bilaga 1

L 119/68		Europeiska unionens officiella tidning	4.5.2016
	SV

4.Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3.

5.Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.

6.Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda motpart när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behandling.

Artikel 57

Uppgifter

1. Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

a)Övervaka och verkställa tillämpningen av denna förordning.

b)Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

c)I enlighet med medlemsstatens nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling.

d)Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna förordning.

e)På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

f)Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

g)Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till att denna förordning tillämpas och verkställs på ett enhetligt sätt.

h)Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan myndighet.

i)Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika tionsteknik och affärspraxis.

j)Anta sådana standardavtalsklausuler som avses i artiklarna 28.8 och 46.2 d.

k)Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4.

l)Ge råd om behandling av personuppgifter enligt artikel 36.2.

m)Främja framtagande av uppförandekoder enligt artikel 40.1 samt yttra sig över och godkänna sådana uppförandekoder som tillhandahåller tillräckliga garantier, i enlighet med artikel 40.5.

n)Uppmuntra till inrättandet av certifieringsmekanismer för dataskydd och av sigill och märkningar för dataskydd i enlighet med artikel 42.1 samt godkänna certifieringskriterierna i enlighet med artikel 42.5.

o)I tillämpliga fall genomföra en periodisk översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

321

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/69
	SV

p)Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.

q) Ackreditera ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.

r)Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 46.3.

s)Godkänna sådana bindande företagsbestämmelser som avses i artikel 47.

t)Bidra till styrelsens verksamhet.

u)Hålla arkiv över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.

v)Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.

2.Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för dataskyddsombudet.

4.Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyn digheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.

Artikel 58

Befogenheter

1.Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

a)Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter.

b)Genomföra undersökningar i form av dataskyddstillsyn.

c)Genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

d)Meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.

e)Från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

f)Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.

2.Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

a)Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning.

b)Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot bestämmelserna i denna förordning.

c)Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning.

322

Prop. 2017/18:171

Bilaga 1

L 119/70		Europeiska unionens officiella tidning	4.5.2016
	SV

d)Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period,

e)Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.

f)Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

g)Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17 och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2 och 19.

h)Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42 eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre uppfylls.

i)Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall.

j)Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.

3.Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:

a)Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för förhandssamråd som avses i artikel 36.

b)På eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör skydd av personuppgifter.

c)Ge tillstånd till behandling enligt artikel 36.5 om medlemsstatens rätt kräver ett sådant förhandstillstånd.

d)Avge ett yttrande om och godkänna utkast till uppförandekoder enligt artikel 40.5.

e)Ackreditera certifieringsorgan i enlighet med artikel 43.

f)Utfärda certifieringar och godkänna kriterier för certifiering i enlighet med artikel 42.5.

g)Anta standardiserade dataskyddsbestämmelser enligt artiklarna 28.8 och 46.2 d.

h)Godkänna avtalsklausuler enligt artikel 46.3 a.

i)Godkänna administrativa överenskommelser enligt artikel 46.3 b.

j)Godkänna bindande företagsbestämmelser enligt artikel 47.

4.Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.

5.Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning.

6.Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av kapitel VII.

Artikel 59

Verksamhetsrapporter

Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska göras tillgängliga för allmänheten, kommissionen och styrelsen.

323

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/71
	SV

KAPITEL VII

Samarbete och enhetlighet

Avsnitt 1

Samarbete

Artikel 60

Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna

1.Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheter na ska utbyta all relevant information med varandra.

2.Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personupp giftsbiträde som är etablerad i en annan medlemsstat.

3.Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsyns myndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att

invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63.

5.Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsyns myndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det.

7.Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet.

8.Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.

9.Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och en av dessa delar av frågan. Den ansvariga tillsynsmyndigheten ska anta beslutet om den del som gäller åtgärder som avser den personuppgiftsansvarige och meddela det till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe på medlemsstatens territorium och underrätta den enskilde om detta, medan den enskildes tillsynsmyndighet ska anta beslutet för den del som gäller avvisande av eller avslag på klagomålet och meddela det till den enskilde och underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om detta.

10.Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna.

324

Prop. 2017/18:171

Bilaga 1

L 119/72		Europeiska unionens officiella tidning	4.5.2016
	SV

11.Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.

12.Den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna ska förse varandra med den information som krävs enligt denna artikel på elektronisk väg med användning av ett standardiserat format.

Artikel 61

Ömsesidigt bistånd

1.Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.

2.Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.

3.En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med begäran och skälen till denna. Information som utbytts får endast användas för det syfte för vilket den har begärts.

4.Den tillsynsmyndighet som tar emot en begäran får endast vägra att tillmötesgå begäran om

a)den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra, eller

b)det skulle stå i strid med denna förordning eller unionsrätten eller den nationella rätt i en medlemsstat som tillsyns myndigheten omfattas av att tillmötesgå begäran.

5.Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med punkt 4.

6.Den tillsynsmyndighet som tar emot en begäran ska som regel tillhandahålla den information som begärts av andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.

7.Tillsynsmyndigheter som tar emot en begäran får inte ta ut någon avgift för åtgärder som vidtagits av dem till följd av en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyn digheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.

8.Om en tillsynsmyndighet inte tillhandahåller den information som avses i punkt 5 i denna artikel inom en månad efter det att den erhållit begäran från en annan tillsynsmyndighet får den begärande myndigheten anta en provisorisk åtgärd på sin medlemsstats territorium i enlighet med artikel 55.1. I detta fall ska det brådskande behov av att agera

enligt artikel 66.1 anses vara uppfyllt och kräva ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

9. Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och styrelsen, i synnerhet det standardiserade format som avses i punkt 6 i den här artikeln. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 62

Tillsynsmyndigheters gemensamma insatser

1. Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

325

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/73
	SV

2.Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. Den tillsynsmyndighet som är behörig enligt artikel 56.1 eller 56.4 ska bjuda in tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta.

3.En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprung slandets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlemsstat som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet.

4.Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat i enlighet med punkt 1 ska värdtillsynsmyndighetens medlemsstat ansvara för deras handlingar, vilket inbegriper ansvar för skador som personalen vållar i samband med insatserna, i enlighet med rätten i den medlemsstat på vars territorium personalen verkar.

5.Den medlemsstat på vars territorium skadorna förorsakades ska ersätta sådana skador enligt de villkor som gäller för skador som förorsakas av dess egen personal. Den medlemsstat vars tillsynsmyndighets tjänstemän har orsakat en person skada på någon annan medlemsstats territorium ska fullt ut ersätta den andra medlemsstaten för det belopp som denna har betalat ut till den personens rättsinnehavare.

6.Utan att det påverkar rättigheterna gentemot tredje man och tillämpningen av punkt 5, ska varje medlemsstat i de fall som nämns i punkt 1 avstå från att kräva ersättning från en annan medlemsstat för skador som avses i punkt 4.

7.Om en gemensam insats planeras och en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt punkt 2 i den här artikeln, andra meningen får övriga tillsynsmyndigheter anta provisoriska åtgärder på sina respektive medlemsstaters territorium i enlighet med artikel 55. I detta fall ska det brådskande behov av att agera enligt artikel 66.1 anses vara uppfyllt och kräva ett yttrande eller ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

Avsnitt 2

Enhetlighet

Artikel 63

Mekanism för enhetlighet

För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.

Artikel 64

Yttrande från Styrelsen

1. Styrelsen ska avge ett yttrande när en behörig tillsynsmyndighet avser att anta någon av åtgärderna nedan. I detta syfte ska den behöriga tillsynsmyndigheten skicka utkastet till beslut till styrelsen när det

a)syftar till att anta en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4,

b)rör ett ärende i enlighet med artikel 40.7 om huruvida ett utkast till uppförandekoder eller en ändring eller förlängning av en uppförandekod är förenlig med denna förordning,

326

Prop. 2017/18:171

Bilaga 1

L 119/74		Europeiska unionens officiella tidning	4.5.2016
	SV

c)syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt artikel 43.3,

d)syftar till att fastställa standardiserade dataskyddsbestämmelser enligt artiklarna 46.2 d och 28.8,

e)syftar till att godkänna sådana avtalsklausuler som avses i artikel 46.3 a, eller

f)syftar till att godkänna bindande företagsbestämmelser enligt artikel 47.

2.Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.

3.I de fall som avses i punkterna 1 och 2 ska styrelsen avge ett yttrande i den fråga som ingivits till den, förutsatt att den inte redan har avgett ett yttrande i samma fråga. Detta yttrande ska antas med enkel majoritet av styrelsens ledamöter inom åtta veckor. Denna period får förlängas med ytterligare sex veckor med hänsyn till sakfrågans komplexitet. Vad gäller det utkast till beslut som avses i punkt 1 som spridits till styrelsens ledamöter i enlighet med punkt 5, ska en ledamot som inte har gjort invändningar inom en rimlig period som ordföranden angett anses samtycka till utkastet till beslut.

4.Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format till styrelsen översända all relevant information, som allt efter omständigheterna får utgöras av en sammanfattning av sakförhållanden, utkastet till beslut, grunden till att en sådan åtgärd är nödvändig och synpunkter från övriga berörda tillsynsmyndigheter.

5.Styrelsens ordförande ska utan onödigt dröjsmål och på elektronisk väg upplysa

a)styrelsens ledamöter samt kommissionen om all relevant information som meddelats styrelsen i ett standardiserat format; styrelsens sekretariat ska vid behov tillhandahålla översättningar av relevant information; och

b)den tillsynsmyndighet som, allt efter omständigheterna, avses i punkterna 1 och 2 samt kommissionen om yttrandet, och ska också offentliggöra det.

6.Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i punkt 3.

7.Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om huruvida den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet till beslut.

8.Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i den här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering, ska artikel 65.1 tillämpas.

Artikel 65

Tvistlösning genom styrelsen

1. För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

a)Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en överträdelse av denna förordning.

327

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/75
	SV

b)Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga verksamhetsstället.

c)Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller kommissionen översända ärendet till styrelsen.

2.Det beslut som avses i punkt 1 ska antas inom en månad efter det att sakfrågan hänskjutits med två tredjedels majoritet av styrelsens ledamöter. Denna period får förlängas med ytterligare en månad med hänsyn till sakfrågans komplexitet. Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla berörda tillsynsmyndigheter och ska vara bindande för dem.

3.Om styrelsen inte har kunnat anta något beslut inom de perioder som avses i punkt 2 ska den anta sitt beslut inom två veckor efter utgången av den andra månad som avses i punkt 2 med enkel majoritet av styrelsens ledamöter. Om styrelsens ledamöter är delade i frågan ska beslutet antas i enlighet med ordförandens röst.

4.De berörda tillsynsmyndigheterna ska inte anta något beslut om den sakfråga som ingivits till styrelsen i enlighet med punkt 1 under de perioder som avses i punkterna 2 och 3.

5.Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.

6.Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta styrelsen om vilken dag dess slutliga beslut meddelas till den personuppgiftsansvarige respektive personuppgiftsbiträdet och den registrerade. De berörda tillsynsmyndigheternas slutliga beslut ska antas i enlighet med bestämmelserna i artikel 60.7, 60.8 och 60.9. Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.

Artikel 66

Skyndsamt förfarande

1.Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna, styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.

2.Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från styrelsen; den ska då motivera varför den begär ett sådant yttrande eller beslut.

3.Om en behörig tillsynsmyndighet inte har vidtagit någon lämplig åtgärd i en situation som kräver skyndsam handling för att skydda registrerades rättigheter och friheter, får vilken tillsynsmyndighet som helst begära ett brådskande yttrande eller, i tillämpliga fall, ett brådskande bindande beslut från styrelsen, varvid den ska motivera varför den begär ett sådant yttrande eller beslut och varför åtgärden måste vidtas skyndsamt.

4.Genom undantag från artiklarna 64.3 och 65.2 ska ett brådskande yttrande eller ett brådskande beslut enligt punkterna 2 och 3 i den här artikeln antas inom två veckor med enkel majoritet av styrelsens ledamöter.

328

Prop. 2017/18:171

Bilaga 1

L 119/76		Europeiska unionens officiella tidning	4.5.2016
	SV

Artikel 67

Utbyte av information

Kommissionen får anta genomförandeakter med allmän räckvidd i syfte att närmare ange tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen, särskilt det standardiserade format som avses i artikel 64.

Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Avsnitt 3

Europeiska dataskyddsstyrelsen

Artikel 68

Europeiska dataskyddsstyrelsen

1.Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning som juridisk person.

2.Styrelsen ska företrädas av sin ordförande.

3.Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare.

4.Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av bestämmelserna i denna förordning ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella rätt.

5.Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten utan rösträtt. Kommissionen ska utse en egen företrädare. Styrelsens ordförande ska underrätta kommissionen om styrelsens verksamhet.

6.I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen endast ha rösträtt i fråga om beslut som rör principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar dem i denna förordning.

Artikel 69

Oberoende

1.Styrelsen ska vara oberoende när den fullgör sina uppgifter eller utövar sina befogenheter i enlighet med artiklarna 70 och 71.

2.Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.

Artikel 70

Styrelsens uppgifter

1. Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i förekommande fall på begäran av kommissionen, i synnerhet

a)övervaka och säkerställa korrekt tillämpning av denna förordning i de fall som avses i artiklarna 64 och 65 utan att det påverkar de nationella tillsynsmyndigheternas uppgifter,

329

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/77
	SV

b)ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av denna förordning,

c)ge kommissionen råd om format och förfaranden för informationsutbyte mellan personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,

d)utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt artikel 17.2,

e)på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen av denna förordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning av denna förordning,

f)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och villkoren för profileringsbaserade beslut enligt artikel 22.2,

g)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att konstatera sådana personuppgiftsincidenter och fastställa sådant onödigt dröjsmål som avses i artikel 33.1 och 33.2 och för de särskilda omständigheter under vilka en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att anmäla personuppgiftsincidenten,

h)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt angående de omständigheter under vilka en personuppgiftsincident sannolikt kommer att leda till hög risk för rättigheterna och friheterna för de fysiska personer som avses i artikel 34.1,

i)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och kraven för överföringar av personuppgifter på grundval av bindande företagsbestämmelser som personuppgiftsansvariga eller personuppgiftsbiträden följer samt ytterligare nödvändiga krav för att säkerställa skyddet för personuppgifter för berörda registrerade enligt artikel 47,

j)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och villkoren för överföring av personuppgifter på grundval av artikel 49.1,

k)utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 58.1, 58.2 och 58.3 och fastställandet av administrativa sanktionsavgifter i enlighet med artikel 83,

l)se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i leden e och f,

m)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att fastställa gemensamma förfaranden för fysiska personers rapportering av överträdelser av denna förordning enligt artikel 54.2,

n)främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd i enlighet med artiklarna 40 och 42,

o)ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,

p)närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,

q)avge ett yttrande till kommissionen om de certifieringskrav som avses i artikel 43.8,

r)avge ett yttrande till kommissionen om de symboler som avses i artikel 12.7,

s)avge ett yttrande till kommissionen för bedömningen av adekvat skyddsnivå i ett tredjeland eller en internationell organisation, inklusive för bedömningen av huruvida ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå; i detta syfte ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med regeringen i tredjelandet, med avseende på tredjelandet, territoriet eller den specificerade sektorn, eller till databehandlingssektorn i tredjelandet eller den internationella organisationen,

330

Prop. 2017/18:171

Bilaga 1

L 119/78		Europeiska unionens officiella tidning	4.5.2016
	SV

t)avge yttranden om utkast till beslut som läggs fram av tillsynsmyndigheter inom den mekanism för enhetlighet som avses i artikel 64.1, i ärenden som ingivits i enlighet med artikel 64.2 och anta bindande beslut i enlighet med artikel 65, inbegripet de fall som avses i artikel 66,

u)främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn digheterna,

v)främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna och där så är lämpligt även med tillsynsmyndigheter i tredjeländer eller internationella organisationer,

w)främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för dataskydd med tillsynsmyndigheter för dataskydd i hela världen.

x)avge yttranden över de uppförandekoder som utarbetas på unionsnivå i enlighet med artikel 40.9, och

y)föra ett offentligt elektroniskt register över tillsynsmyndigheters beslut och domstolars avgöranden i frågor som hanteras inom mekanismen för enhetlighet.

2.När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet

är.

3.Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och bästa praxis till kommissionen och till den kommitté som avses i artikel 93, samt offentliggöra dem.

4.När så är lämpligt ska styrelsen samråda med berörda parter och ge dem möjlighet att yttra sig inom rimlig tid. styrelsen ska, utan att det påverkar tillämpningen av artikel 76, offentliggöra resultatet av samrådsförfarandet.

Artikel 71

Rapporter

1.Styrelsen ska sammanställa en årsrapport om skydd av fysiska personer vid behandling inom unionen och, i förekommande fall, i tredjeländer och internationella organisationer. Rapporten ska offentliggöras och översändas till Europaparlamentet, rådet och kommissionen.

2.Årsrapporten ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer och rekommen dationer och den bästa praxis som avses i artikel 70.1 l liksom de bindande beslut som avses i artikel 65.

Artikel 72

Förfarande

1.Styrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i denna förordning.

2.Styrelsen ska själv anta sin arbetsordning med två tredjedels majoritet av sina ledamöter och fastställa sina arbetsformer.

Artikel 73

Ordförande

1.Styrelsen ska med enkel majoritet välja en ordförande och två vice ordförande bland sina ledamöter.

2.Ordförandens och de vice ordförandenas mandattid ska vara fem år och kunna förnyas en gång.

331

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/79
	SV

Artikel 74

Ordförandens uppgifter

1.Ordföranden ska ha i uppgift att

a)sammankalla till styrelsens möten och planera dagordningen,

b)meddela beslut som antas av styrelsen i enlighet med artikel 65 till den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna,

c)se till att styrelsens uppgifter fullgörs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 63.

2.Fördelningen av uppgifter mellan ordföranden och de vice ordförandena ska fastställas i styrelsens arbetsordning.

Artikel 75

Sekretariatet

1.Styrelsen ska förfoga över ett sekretariat som ska tillhandahållas av Europeiska datatillsynsmannen.

2.Sekretariatet ska utföra sina uppgifter enbart under ledning av ordföranden för styrelsen.

3.Den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning ska följa separata rapporteringsvägar från den personal som utför de uppgifter som Europeiska datatill synsmannen tilldelas.

4.När så är lämpligt ska styrelsen och Europeiska datatillsynsmannen fastställa och offentliggöra ett samförståndsavtal för genomförande av denna artikel, som fastställer villkoren för deras samarbete, och som ska tillämpas på den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning.

5.Sekretariatet ska förse styrelsen med analysstöd samt administrativt och logistiskt stöd.

6.Sekretariatet ska särskilt ansvara för

a)styrelsens löpande arbete,

b)kommunikationen mellan styrelsens ledamöter, dess ordförande och kommissionen,

c)kommunikationen med andra institutioner och med allmänheten,

d)användningen av elektroniska medel för intern och extern kommunikation,

e)översättning av relevant information,

f)förberedelser och uppföljning av styrelsens möten,

g)förberedelse, sammanställning och offentliggörande av yttranden, beslut om lösning av tvister mellan tillsynsmyn digheter och andra texter som antas av styrelsen.

Artikel 76

Konfidentialitet

1. Styrelsens överläggningar ska vara konfidentiella i de fall som styrelsen bedömer detta vara nödvändigt, i enlighet med vad som anges i dess arbetsordning.

332

Prop. 2017/18:171

Bilaga 1

L 119/80		Europeiska unionens officiella tidning	4.5.2016
	SV

2. Tillgången till handlingar som skickas till styrelsens ledamöter, till experter eller till företrädare för tredje part ska regleras av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (1).

KAPITEL VIII

Rättsmedel, ansvar och sanktioner

Artikel 77

Rätt att lämna in klagomål till en tillsynsmyndighet

1.Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.

Artikel 78

Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut

1.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

2.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det.

3.Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt

säte.

4.Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande eller beslut till domstolen.

Artikel 79

Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde

1.Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.

2.Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(1) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

333

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/81
	SV

Artikel 80

Företrädande av registrerade

1.Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.

Artikel 81

Vilandeförklaring av förfaranden

1.Om en behörig domstol i en medlemsstat har information om att förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat ska den kontakta denna domstol i den andra medlemsstaten för att bekräfta förekomsten av sådana förfaranden.

2.Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemstat får alla andra behöriga domstolar än den där förfarandena först inleddes vilandeförklara förfarandena.

3.Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes, också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.

Artikel 82

Ansvar och rätt till ersättning

1.Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

4.Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en personuppgiftsansvarig och ett personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan för att säkerställa att den registrerade får effektiv ersättning.

5.Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.

334

Prop. 2017/18:171

Bilaga 1

L 119/82		Europeiska unionens officiella tidning	4.5.2016
	SV

6. Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den nationella rätten i den medlemsstat som avses i artikel 79.2.

Artikel 83

Allmänna villkor för påförande av administrativa sanktionsavgifter

1.Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2.Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)Om överträdelsen skett med uppsåt eller genom oaktsamhet.

c)De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit.

d)Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

e)Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till.

f)Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

g)De kategorier av personuppgifter som påverkas av överträdelsen.

h)Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.

i)När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgifts biträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.

j)Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i enlighet med artikel 42.

k)Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

4.Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.

b)Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.

c)Övervakningsorganets skyldigheter enligt artikel 41.4.

335

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/83
	SV

5. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b)Registrerades rättigheter enligt artiklarna 12–22.

c) Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 44–49.

d)Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.

e)Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

6.Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

7.Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

8.Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhets garantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet.

9.Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till kommissionen anmäla de bestämmelser i deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 84

Sanktioner

1.Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.

2.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

KAPITEL IX

Bestämmelser om särskilda behandlingssituationer

Artikel 85

Behandling och yttrande- och informationsfriheten

1. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

336

Prop. 2017/18:171

Bilaga 1

L 119/84		Europeiska unionens officiella tidning	4.5.2016
	SV

2.Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

3.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 86

Behandling och allmänhetens tillgång till allmänna handlingar

Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.

Artikel 87

Behandling av nationella identifikationsnummer

Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning.

Artikel 88

Behandling i anställningsförhållanden

1.Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsför hållandet.

2.Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.

3.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

Artikel 89

Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt

337

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/85
	SV

principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

2.Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det

iunionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

3.Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på behandling för de ändamål som avses i dessa punkter.

Artikel 90

Tystnadsplikt

1. Medlemsstaterna får anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas befogenheter enligt artikel 58.1 e och f gentemot personuppgiftsansvariga eller personuppgiftsbiträden som enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt.

2. Varje medlemsstat ska till kommissionen anmäla de bestämmelser den har antagit i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella ändringar som berör dem.

Artikel 91

Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund

1.Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.

2.Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 i denna artikel ska vara föremål för kontroll av en oberoende tillsynsmyndighet som kan vara specifik, förutsatt att den uppfyller de villkor som fastställs i kapitel VI i denna förordning.

KAPITEL X

Delegerade akter och genomförandeakter

Artikel 92

Utövande av delegeringen

1. Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

338

Prop. 2017/18:171

Bilaga 1

L 119/86		Europeiska unionens officiella tidning	4.5.2016
	SV

2.Den befogenhet att anta delegerade akter som avses i artikel 12.8 och artikel 43.8 ska ges till kommissionen tills vidare från och med den 24 maj 2016.

3.Den delegering av befogenhet som avses i artikel 12.8 och artikel 43.8 får när som helst återkallas av Europapar lamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

5.En delegerad akt som antas enligt artikel 12.8 och artikel 43.8 ska träda i kraft endast om varken Europapar lamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 93

Kommittéförfarande

1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas.

KAPITEL XI

Slutbestämmelser

Artikel 94

Upphävande av direktiv 95/46/EG

1.Direktiv 95/46/EG ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.

Artikel 95

Förhållande till direktiv 2002/58/EG

Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de för samma ändamål i enlighet med direktiv 2002/58/EG.

eller juridiska personer som behandlar elektroniska kommunikationstjänster i redan omfattas av särskilda skyldigheter

339

Prop. 2017/18:171

Bilaga 1

4.5.2016		Europeiska unionens officiella tidning	L 119/87
	SV

Artikel 96

Förhållande till tidigare ingångna avtal

De internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta datum, ska fortsätta att gälla tills de ändras, ersätts eller återkallas.

Artikel 97

Kommissionsrapporter

1.Senast den 25 maj 2020 och därefter vart fjärde år ska kommissionen överlämna en rapport om tillämpningen och översynen av denna förordning till Europaparlamentet och rådet.

2.Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen särskilt undersöka hur följande bestämmelser tillämpas och fungerar:

a)Kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer, särskilt när det gäller beslut som antagits enligt artikel 45.3 i den här förordningen och beslut som antagits på grundval av artikel 25.6 i direktiv 95/46/EG.

b)Kapitel VII om samarbete och enhetlighet.

3.Med avseende på tillämpningen av punkt 1 får kommissionen begära information från medlemsstaterna och till synsmyndigheterna.

4.Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.

5.Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället.

Artikel 98

Översyn av andra unionsrättsakter om dataskydd

Kommissionen ska, om så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra andra unionsrättsakter om skydd av personuppgifter, för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandling. Detta gäller i synnerhet bestämmelserna om skyddet för fysiska personer i samband med behandling som utförs av unionens institutioner, organ och byråer samt om det fria flödet av sådana uppgifter.

Artikel 99

Ikraftträdande och tillämpning

1.Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.Den ska tillämpas från och med den 25 maj 2018.

340

					Prop. 2017/18:171
					Bilaga 1
L 119/88		Europeiska unionens officiella tidning			4.5.2016
L 119/88	SV	Europeiska unionens officiella tidning			4.5.2016

	Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
	Utfärdad i Bryssel den 27 april 2016.
		På Europaparlamentets vägnar		På rådets vägnar
		M. SCHULZ	J.A. HENNIS-PLASSCHAERT
		Ordförande		Ordförande

341

Prop. 2017/18:171

Bilaga 2

Sammanfattning av betänkandet Dataskydd inom Socialdepartementets verksamhetsområde

– en anpassning till EU:s dataskyddsförordning (SOU 2017:66)

EU:s dataskyddsförordning blir tillämplig i Sverige den 25 maj 2018 och ersätter då personuppgiftslagen. Utredningen har inför det sett över registerförfattningarna inom Socialdepartementets verksamhetsområde. Utredningens målsättning, eller utgångspunkt, har varit att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. Den målsätt- ningen har uppnåtts efter en ingående analys av både dataskyddsförord- ningen och registerförfattningarna. Utredningens förslag, som i huvudsak är av författningsteknisk karaktär, inskränker alltså inte nuvarande möjlig- heter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Å andra sidan föreslås inte heller författningsstöd för sådan behandling som inte är laglig i dag.

Dataskyddsförordningen

EU har beslutat om en förordning – den s.k. dataskyddsförordningen – som utgör en ny generell reglering för behandling av personuppgifter inom EU. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vid samma tidpunkt kommer personuppgiftslagen att upphävas. Dataskydds- förordningen är direkt tillämplig och dess bestämmelser är tvingande. Nationell lagstiftning på området kommer därför endast att komplettera data- skyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen.

Dataskyddsutredningen har föreslagit en ny lag – dataskyddslagen – som, om förslaget leder till lagstiftning, kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå.

Det har sedan över ett år tillbaka dessutom pågått ett omfattande arbete med att anpassa befintliga registerförfattningar till dataskyddsförordningen. Registerförfattningarna kommer att komplettera dataskyddsförordningen på verksamhetsspecifik nivå. Den föreslagna dataskyddslagen kommer att vara subsidiär i förhållande till registerförfattningarna och är tillämplig i verksamheter som omfattas av en särskild registerförfattning endast om inget annat följer av registerförfattningen eller föreskrifter som har med- delats med stöd av den.

Socialdataskyddsutredningen har haft i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.

I det följande sammanfattas de viktigaste bedömningarna och förslagen i betänkandet.

342

Utgångspunkter för översynen

En utgångspunkt för utredningen har varit att de personuppgiftsansvariga ska kunna fortsätta att behandla personuppgifter på samma sätt som de får i dag. Det innebär att översynen har inriktats på att undersöka om behand- ling som i dag är laglig kommer att kunna ske när dataskyddsförordningen ska tillämpas.

Prop. 2017/18:171

Bilaga 2

Konsekvenser för verksamheter som inte har en registerförfattning

När personuppgiftslagen upphävs försvinner möjligheten att behandla personuppgifter med stöd av den s.k. missbruksregeln (5 a § person- uppgiftslagen). Någon motsvarande regel finns inte i dataskyddsförord- ningen.

Offentliga myndigheter får enligt dataskyddsförordningen inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina arbetsuppgifter, vilket lär innefatta de arbetsuppgifter de utför inom den myndighetsspecifika verksamheten. Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar därmed.

Det har inte framkommit att några myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en register- författning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Utredningen har dock genom tilläggsdirektiv fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys. Det upp- draget ska redovisas senast den 15 januari 2018.

Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen

Medlemsstaternas nationella lagstiftning får enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen för såväl myndigheter som enskilda när det gäller behandling av personuppgifter som är tillåten enligt artikel 6.1 c eller e. Det innebär att det är möjligt att i registerförfatt- ningarna närmare reglera förutsättningarna för behandling när behand- lingen är nödvändig

1.för att fullgöra en rättslig förpliktelse,

2.för att utföra en arbetsuppgift av allmänt intresse, eller

3.för att utföra en arbetsuppgift som ett led i den personuppgifts- ansvariges myndighetsutövning.

Därutöver hindrar	dataskyddsförordningen inte att	medlemsstaterna i
nationell rätt inför	mer restriktiva bestämmelser än	enligt dataskydds-	343
			343

Prop. 2017/18:171	förordningen för sina egna myndigheters behandling av personuppgifter eller
Bilaga 2	ålägger dem utökade skyldigheter.

Registerförfattningarnas tillämpningsområde

Nationell lagstiftning som kompletterar dataskyddsförordningen kan ha både ett vidare och ett snävare tillämpningsområde än dataskydds- förordningen. Bestämmelser om registerförfattningars tillämpningsområde behöver därför i regel inte ändras med anledning av data- skyddsförordningen. Patientdatalagen, lagen om behandling av person- uppgifter inom socialtjänsten och den tillhörande förordningen om behandling av personuppgifter inom socialtjänsten omfattar dock viss behandling av personuppgifter som syftar till att verkställa straffrättsliga påföljder, såsom rättspsykiatrisk vård och ungdomsvård. Sådan behandling omfattas inte av dataskyddsförordningen utan av det nya dataskyddsdirektivet som i Sverige föreslås bli genomfört genom en ny brottsdatalag. Utredningen föreslår därför att lagen om behandling av personuppgifter inom socialtjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Patientdatalagen föreslås däremot gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård.

Rättslig grund för behandling av personuppgifter

Ändamål

Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i data- skyddsförordningen är uppfyllt. Villkoren i artikel 6.1 i dataskyddsför- ordningen är i huvudsak desamma som anges i artikel 7 i dataskydds- direktivet och 10 § personuppgiftslagen.

I registerförfattningar anges ofta de ändamål för vilka personuppgifter får behandlas. Utredningen har konstaterat att de ändamål som anges i de registerförfattningar som setts över grundar sig på rättsliga förpliktelser eller arbetsuppgifter av allmänt intresse eller som ett led i myndighets- utövning. Ändamålen har därmed stöd i dataskyddsförordningen och kan behållas.

Nya krav på den rättsliga grunden

Det har i och med dataskyddsförordningen tillkommit vissa nya krav på de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av all- mänt intresse eller som ett led i myndighetsutövning måste grunden fast- ställas i nationell rätt eller EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndig-

hetsutövning gäller i stället att syftet med behandlingen ska vara nödvän-

344

digt för ändamålet. Den författning eller det beslut som utgör den	Prop. 2017/18:171
rättsliga grunden för behandling av personuppgifter för att uppfylla en	Bilaga 2
rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller
som ett led i myndighetsutövning måste slutligen också uppfylla ett mål av
allmänt intresse och vara proportionell mot det legitima mål som
eftersträvas.
Myndighetsutövning måste alltid ha stöd i författning och rättsliga för-
pliktelser är till sin natur sådana förpliktelser som redan framgår av eller
meddelas med stöd av gällande rätt. Arbetsuppgifter av allmänt intresse
härrör från uppdrag och åligganden som framgår av olika verksamhets-
orienterade författningar eller regeringsbeslut. Är den rättsliga grunden
inte fastställd i annan författning, är den dessutom i vart fall fastställd
genom registerförfattningens ändamålsbestämmelser. Utredningen
bedömer därför att kravet på att grunden ska vara fastställd genomgående
är uppfyllt.
Syftet med en behandling av personuppgifter med anledning av en
rättslig förpliktelse kan enligt utredningens bedömning framgå av en
registerförfattning eller av exempelvis den författning som reglerar själva
verksamheten. För arbetsuppgifter av allmänt intresse eller som ett led i
myndighetsutövning får det förutsättas att tidigare bedömningar av
lagligt stöd för behandling av personuppgifter även innefattat ett
ställningstagande till att syftet med behandlingen för det aktuella
ändamålet också är nödvändigt för ändamålet.
Även kravet på att den författning eller det beslut som utgör den
rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål
av allmänt intresse och vara proportionell mot det legitima mål som
eftersträvas får anses vara uppfyllt genom tidigare ställningstaganden.

Samtycke

Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförord- ningen en rättslig grund för behandling av personuppgifter. Utredningen har funnit att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan behållas.

Finalitetsprincipen

Utredningens utgångspunkt är att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget. Det krävs därför att det är tydligt att de uppräknade ändamålen i registerförfattningarna inte är uttömmande när så har gällt tidigare. Utredningen behåller därför i sina förslag bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.

345

Prop. 2017/18:171

Bilaga 2

346

Känsliga personuppgifter och uppgifter om lagöverträdelser

Nya kategorier av känsliga personuppgifter

Det har i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Att nya kategorier lagts till de befintliga innebär att det kommer att vara fler uppgifter som kategoriseras som känsliga och som därmed omfattas av artikel 9 i dataskyddsförordningen. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.

Bestämmelser i särskilda registerförfattningar som tillåter att alla kate- gorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga person- uppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga person- uppgifter. Utredningen har dock i två fall, när det gäller patientdatalagen och läkemedelsförordningen, föreslagit förtydliganden som innebär att viss behandling av de nytillkomna kategorierna av känsliga personuppgifter ska vara tillåten även i fortsättningen. Detta eftersom det bedömts nödvän- digt för en ändamålsenlig behandling av personuppgifter i de aktuella verk- samheterna.

Tillåten behandling av känsliga personuppgifter

Utredningen bedömer att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i dataskyddsförordningen. I ett fall, när det gäller läkemedelsförord- ningen, har dock regleringen inte bedömts leva upp till det nya kravet på att det ska finnas bestämmelser om lämpliga skyddsåtgärder i den nationella lagstiftningen. Utredningen har därför föreslagit en begränsning som innebär att behandling av de där aktuella personuppgifterna endast får ske för angivna ändamål.

Viss behandling av känsliga personuppgifter – enligt lagen om blod- säkerhet, lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, lagen om skydd mot internationella hot mot människors hälsa samt lagen om register över nationella vaccinationsprogram – som tidigare tillåtits med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet har utredningen bedömt vara tillåten med stöd av det s.k. folkhälsoundantaget i artikel 9.2 i i dataskyddsförordningen.

Även bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvården samt inom social omsorg, såsom socialtjänst, är förenliga med dataskyddsförordningen. Sådana bestämmelser bör dock kompletteras med en bestämmelse som påminner om det nya kravet enligt artikel 9.3 i dataskyddsförordningen

på att känsliga personuppgifter endast får behandlas av eller under ansvar	Prop. 2017/18:171
av den som omfattas av tystnadsplikt.	Bilaga 2
Uppgifter om lagöverträdelser
Nuvarande bestämmelser i registerförfattningarna om uppgifter om lag-
överträdelser omfattar, utöver vad som gäller enligt dataskyddsförord-
ningen, även uppgifter om friande brottmålsdomar och administrativa
frihetsberövanden och innebär oftast restriktioner för behandlingen. Att
dessa uppgifter, som omfattas av motsvarande bestämmelse i dataskydds-
direktivet, inte omfattas av dataskyddsförordningens reglering gör det
möjligt att ta bort sådana restriktioner. Det är dock enligt utredningens
mening svårt att se varför myndigheter och enskilda skulle få behandla
sådana kategorier av personuppgifter i större utsträckning än de hittills
har bedömts ha behov av bara därför att dataskyddsförordningen gör det
möjligt. Med stöd av möjligheten att införa nationella bestämmelser för
att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen
bör även de begränsningar för uppgifter om lagöverträdelser som inte
omfattas av artikel 10 i dataskyddsförordningen behållas.

Personnummer

Bestämmelser om att personnummer får registreras, t.ex. i en databas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor för behandlingen av personnummer enligt artikel 87 i dataskyddsförordningen. Det behöver därför inte iakttas några sådana lämpliga skyddsåtgärder som krävs enligt samma artikel. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor, är de bestämmelser som redan finns i registerförfattningarna att anse som lämpliga skyddsåtgärder.

Överföring till tredjeland

Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredjeland. En nationell bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild, bestämmelse som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Bestämmelserna i registerförfatt- ningarna som anger när överföring av personuppgifter till tredjeland är tillåten har bedömts förenliga med dataskyddsförordningen och behöver därför inte ändras.

347

Prop. 2017/18:171

Bilaga 2

348

Rättigheter och skyldigheter

Nya rättigheter och skyldigheter

Det är utredningens övergripande bedömning att de nya rättigheter för registrerade och de nya skyldigheter för personuppgiftsansvariga som dataskyddsförordningen medför normalt sett inte kan anses så betungande för de personuppgiftsansvariga att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen.

Rätt att göra invändningar

Flera registerförfattningar innehåller bestämmelser som begränsar rätten att göra invändningar. Utredningen har i fråga om sådana bestämmelser gjort en prövning av om begränsningen är tillåten enligt den undantags- möjlighet som anges i artikel 23.1 i dataskyddsförordningen i förhållande till varje enskild registerförfattning. Prövningarna har lett till slutsatsen att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett.

Information till registrerade

Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Rättelse

Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga. Bestämmelser i register- författningar med hänvisningar till bestämmelserna i personuppgiftslagen om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Automatiserade beslut

Utredningen bedömer att artikel 22.1 i dataskyddsförordningen omfattar enbart beslut som grundas på automatiserad behandling och inkluderar profilering. I den mån det inom Socialdepartementets verksamhets- område förekommer sådana beslut, krävs att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt utredningens tolkning inte av artikel 22 i dataskyddsförordningen, och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande ska regleras särskilt.

Prop. 2017/18:171

Bilaga 2

Säkerhetsåtgärder

Bestämmelser om säkerhetsåtgärder/skyddsåtgärder som finns i register- författningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Myndigheter kan vidare genom nationell lag åläggas krav på säkerhets- åtgärder utan hinder av dataskyddsförordningen. Vid viss behandling av känsliga personuppgifter krävs det dessutom att skyddsåtgärder regleras i nationell rätt. Så är fallet även vid behandling av uppgifter om lagöver- trädelser som inte utförs under kontroll av en myndighet.

Gallring

Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande kan behållas under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.

Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med formuleringen i dataskyddsförordningen. Enligt utredningens bedömning innebär omformuleringen inte någon skillnad i sak.

Tillsyn

Av Dataskyddsutredningens förslag till dataskyddslag framgår att
tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska
gälla även vid tillsyn över efterlevnaden av bestämmelserna i data-
skyddslagen och andra författningar som kompletterar data-
skyddsförordningen. Det behövs därför inte några särskilda be-
stämmelser om tillsyn i de registerförfattningar som omfattas av
översynen.	349
	349

Prop. 2017/18:171

Bilaga 2

350

Sanktioner

Skadestånd

Bestämmelserna i dataskyddsförordningen om skadestånd är direkt til- lämpliga även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde, under förutsättning att det rör sig om sådan behandling som också omfattas av dataskyddsförordningen. Bestämmelser i registerförfattningar med hänvisningar till bestämmel- serna om skadestånd i personuppgiftslagen bör därför upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Sanktionsavgifter

I artikel 83 i dataskyddsförordningen finns en uttömmande uppräkning av när det är möjligt att utfärda sanktionsavgifter. Eftersom endast över- trädelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter påföras endast vid överträdelser av sådana nationella bestämmelser. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en överträdelse av dataskydds- förordningens bestämmelser, är det dock enligt utredningens bedömning möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen. Utredningen bedömer att det inte finns något behov av bestämmelser om administrativa sanktionsavgifter i registerförfattningarna.

Överklagande

Dataskyddsutredningen har föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande av personuppgiftsansvariga myndig- heters beslut. Den bestämmelsen kommer att vara tillämplig även inom registerförfattningarnas tillämpningsområde, på samma sätt som personuppgiftslagens bestämmelser är det i dag. Något skäl att reglera överklagandemöjligheten på annat sätt än vad Dataskyddsutredningen föreslagit har inte framkommit. Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör därför upphävas. I de fall registerförfattningen även innehåller överklagandebestämmelser avseende andra beslut än sådana som berör behandling av personuppgifter bör det dock införas en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

Uppgiftsskyldigheter

För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt data- skyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen alternativt omfattas av ett tillåtet undantag från den principen. De bestämmelser om uppgiftsskyldighet som finns inom

Socialdepartementets verksamhetsområde är därmed lika tillåtna enligt	Prop. 2017/18:171
dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgifts-	Bilaga 2
skyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den
reglering om dataskydd som finns i bl.a. dataskyddsförordningen.

Barns personuppgifter

Utredningen har tänkt på barnens rättigheter enligt barnkonventionen när förslagen skrivits. Det behövs inte några nya bestämmelser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.

Författningar som bör upphävas

Utredningen har kommit fram till att två av de författningar som ingått i översynen, förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföre- skrifter för socialförsäkringsregister, är obsoleta, överspelade. De författ- ningarna bör därför inte anpassas till dataskyddsförordningen utan i stället upphävas.

Ikraftträdande och övergångsbestämmelser

Författningsändringar till följd av dataskyddsförordningen bör träda i kraft den 25 maj 2018, medan författningsändringar till följd av den föreslagna brottsdatalagen bör träda i kraft den 1 maj 2018. Utredningen föreslår att övergångsbestämmelser införs avseende bestämmelser om överklagande och skadestånd.

Konsekvenser

Utredningens förslag leder inte till att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Skyddsåtgärden innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inga konsekvenser. Däremot får förstås den direkt tillämpliga dataskyddsförordningen konsekvenser, vilka är generella för alla verksamheter i Sverige och beskrivs översiktligt.

351

Prop. 2017/18:171

Bilaga 3

Lagförslag till betänkandet Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66)

1.1Förslag till

lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken dels att 114 kap. 33 § ska upphöra att gälla,

dels att rubriken närmast före 114 kap. 33 § ska utgå,

dels att 114 kap. 1, 6, 10, 11, 12, 13, 15, 16, 27, 29, 30, 31 och 36 §§ och rubriken närmast före 114 kap. 6 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 a §, och närmast före 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

114 kap.

1 §1

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

– personuppgiftslagen och per-	– förhållandet till annan data-
sonuppgiftsansvar i 6 §,	skyddsreglering i 6 §,
	– personuppgiftsansvar i 6 a §,

–ändamål för behandling av personuppgifter i 7–10 §§,

–behandling av känsliga personuppgifter m.m. i 11–13 §§,

–behandling av personuppgifter i socialförsäkringsdatabasen i 14– 16 §§,

–tilldelning av behörighet i 17 §,

–direktåtkomst i 18–23 §§,

–utlämnande på medium för automatisk behandling i 24–26 a §§,

–sökbegrepp i 27 och 28 §§,

– överföring av	personuppgifter	– överföring av personuppgifter
till tredje land i 29	§,	till tredjeland i 29 §,
– information i 30 §,
– gallring i 31 §,
– avgifter i 32 §,
– rättelse och skadestånd i 33 §,
– kontrollverksamhet i 34 §,
– tystnadsplikt i 35 §, och
– överklagande i	36 §.

1 Senaste lydelse 2012:935.

352

Personuppgiftslagen

Förhållandet till annan

och personuppgiftsansvar

dataskyddsreglering

6 §

Personuppgiftslagen

(1998:204)

Bestämmelserna i

detta

kapitel

gäller vid behandling av person-

kompletterar

Europaparlamentets

uppgifter inom socialförsäkringens

och

rådets

förordning

(EU)

administration, om inte annat följer

2016/679 av den 27 april 2016 om

av detta kapitel eller föreskrifter

skydd för fysiska personer med

som meddelas med stöd av kapitlet

avseende

på

behandling

eller av personuppgiftslagen. Med

personuppgifter och om det fria

socialförsäkringens administration

flödet av sådana uppgifter och om

avses i detta kapitel Försäkrings-

upphävande

direktiv 95/46/EG

kassan och Pensionsmyndigheten.

(allmän dataskyddsförordning).

En myndighet inom socialförsäk-

Lagen (2018:xx) med kom-

ringens administration är person-

pletterande bestämmelser till EU:s

uppgiftsansvarig för den behand-

dataskyddsförordning

gäller

vid

ling av personuppgifter som den

behandling av personuppgifter en-

utför.

ligt detta kapitel, om inte annat

följer av detta kapitel eller före-

skrifter som har meddelats med

stöd av kapitlet.

Personuppgiftsansvar

6 a §

Med

socialförsäkringens

admi-

nistration avses i detta kapitel

administration

hos

Försäkrings-

kassan och Pensionsmyndigheten.

En myndighet inom social-

försäkringens

administration

är

personuppgiftsansvarig för den be-

handling

personuppgifter som

den utför.

10 §

I fråga om behandling av

Att personuppgifter som be-

personuppgifter för annat ändamål

handlas för ändamål som anges i

än vad som anges i 7–9 §§ gäller

7 § även får behandlas för andra

9 §

första

stycket d

och

andra

ändamål framgår av artikel 5.1 b i

stycket

personuppgiftslagen

Europaparlamentets

och

rådets

(1998:204).

förordning (EU) 2016/679.

11 §

Känsliga

personuppgifter som

Sådana

särskilda kategorier

avses i 13 § personuppgiftslagen

personuppgifter som anges i arti-

(1998:204)

(känsliga

person-

kel 9.1 i Europaparlamentets och

uppgifter) får behandlas om upp-

rådets

förordning (EU) 2016/679

gifterna lämnats till en myndighet

(känsliga

personuppgifter)

får

inom

socialförsäkringens

admini-

behandlas om uppgifterna lämnats

Prop. 2017/18:171

Bilaga 3

353

Prop. 2017/18:171

stration

i ett

ärende eller

är

nöd-

till en myndighet inom social-

Bilaga 3

vändiga

för

handläggning

av ett

försäkringens

administration i

ett

ärende.

Känsliga

personuppgifter

ärende eller är nödvändiga för

får vidare behandlas för något av

handläggning

av ett ärende.

de ändamål som anges i 7 § första

Känsliga

personuppgifter

får

stycket 1 samt 8 och 9 §§ om det är

vidare behandlas för något av de

nödvändigt med hänsyn till ända-

ändamål som anges i 7 § första

målet.

stycket 1 samt 8 och 9 §§ om det är

nödvändigt med hänsyn till ända-

målet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får

sådana känsliga personuppgifter behandlas som rör hälsa och som är

nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra

stycket får känsliga personuppgifter inte behandlas för de ändamål som

anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de

ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om

andra sådana känsliga personuppgifter än dem som behandlas eller har

behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

12 §

Uppgifter

lagöverträdelser

Uppgifter

lagöverträdelser

m.m. som

avses

i 21 §

person-

som innefattar brott, domar i

uppgiftslagen (1998:204) får be-

brottmål, straffprocessuella tvångs-

handlas om uppgifterna lämnats till

medel eller administrativa frihets-

en myndighet inom social-

berövanden (uppgifter om lagöver-

försäkringens

administration

i ett

trädelser)

får

behandlas

ärende eller är nödvändiga för

uppgifterna lämnats till en myn-

handläggning

ett

ärende.

dighet

inom

socialförsäkringens

Uppgifter

lagöverträdelser

administration i ett ärende eller är

m.m. som

avses

i 21 §

person-

nödvändiga

för handläggning

uppgiftslagen

får

behandlas

för

ett ärende. Uppgifter om lag-

något av de ändamål som anges i

överträdelser

får

behandlas

för

7 § första stycket 1 samt 8 och 9 §§

något av de ändamål som anges i

om det är nödvändigt med hänsyn

7 § första stycket 1 samt 8 och 9 §§

till ändamålet.

om det är nödvändigt med hänsyn

till ändamålet.

För något av de ändamål som

anges i 7 § första

stycket 2,

3, 5

anges i

7 §

första stycket 2, 3, 5

och 6 får sådana uppgifter om

och 6 får uppgifter om lagöver-

lagöverträdelser m.m. som avses i

trädelser behandlas som enligt 15 §

21 §

personuppgiftslagen

be-

får behandlas i socialförsäk-

handlas som enligt 15 § får be-

ringsdatabasen.

handlas

socialförsäkringsdata-

basen.

Utöver vad som följer av första stycket första meningen och andra

stycket får sådana uppgifter inte behandlas för de ändamål som anges i

7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som

anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana

354

uppgifter om lagöverträdelser än dem som behandlas eller har behandlats					Prop. 2017/18:171
för något av de ändamål som anges i 7 § första stycket 2–4.					Bilaga 3
		13 §
I 15 §	finns särskilda bestäm-		I 15 § finns särskilda	bestäm-
melser om behandling i social-			melser om behandling i social-
försäkringsdatabasen		av känsliga	försäkringsdatabasen av	sådana
personuppgifter och		uppgifter om	känsliga personuppgifter som avses
lagöverträdelser m.m. som avses i			i 11 § första stycket och sådana
21 §	personuppgiftslagen		uppgifter om lagöverträdelser som
(1998:204).			avses i 12 § första stycket.

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de begränsningar som följer av 7 och 14 §§, identifierings- och adress- uppgifter behandlas i socialförsäkringsdatabasen.

Känsliga			personuppgifter eller			Sådana känsliga personuppgifter
uppgifter om lagöverträdelser m.m.						som avses i 11 § första stycket eller
som	avses		i	21 §	person-	sådana uppgifter om lagöver-
uppgiftslagen (1998:204) får ut-						trädelser som avses i 12 § första
över vad som anges i 16 § be-						stycket får, utöver vad som anges i
handlas		i	socialförsäkringsdata-			16 §, behandlas i socialförsäkrings-
basen bara om det särskilt anges i						databasen bara om det särskilt
lag eller förordning. För sådan						anges i lag eller förordning. För
behandling gäller de begränsningar						sådan	behandling		gäller	de
som följer av 11 och 12 §§. Rege-						begränsningar som följer av 11 och
ringen eller den myndighet som						12 §§.	Regeringen		eller	den
regeringen			bestämmer		meddelar	myndighet som regeringen bestäm-
föreskrifter om ytterligare begräns-						mer meddelar föreskrifter				om
ningar för vilka uppgifter som får						ytterligare begränsningar för vilka
behandlas			i	socialförsäkrings-		uppgifter som får behandlas i
databasen.						socialförsäkringsdatabasen.
					16 §
Uppgifter i en handling som						Uppgifter i en handling som
kommit in i ett ärende får be-						kommit in i ett ärende får be-
handlas		i	socialförsäkringsdata-			handlas	i	socialförsäkringsdata-
basen även om de utgör känsliga						basen även om de utgör sådana
personuppgifter eller uppgifter om						känsliga personuppgifter som avses
lagöverträdelser m.m. som avses i						i 11 § första stycket eller sådana
21 §			personuppgiftslagen			uppgifter om lagöverträdelser som
(1998:204). Sådana uppgifter i en						avses i 12 § första stycket. Sådana
handling som upprättats i ett						uppgifter i en handling som
ärende får behandlas i socialför-						upprättats i ett ärende får
säkringsdatabasen, om uppgifterna						behandlas i		socialförsäkringsdata-
är	nödvändiga			för	ärendets	basen, om uppgifterna är nöd-
handläggning.						vändiga för ärendets handläggning.

355

Prop. 2017/18:171

Bilaga 3

356

					27 §
Känsliga		personuppgifter			eller	Sådana känsliga personuppgifter
uppgifter om lagöverträdelser m.m.						som avses i 11 § första stycket eller
som avses		i	21 §	person-		sådana uppgifter om lagöverträ-
uppgiftslagen (1998:204)				får	inte	delser som avses i 12 § första
användas	som		sökbegrepp		vid	stycket får inte användas som
sökning	i	socialförsäkringsdata-				sökbegrepp vid sökning i social-
basen.						försäkringsdatabasen.

Vid sökning som omfattar innehållet i fler än en handling i social- försäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får

användas.
					29 §
Överföring	av	personuppgifter				Personuppgifter		får	föras över
till tredje land på grund av åtagan-						till tredjeland på grund av åtaganden
den i avtal om social trygghet som						i avtal om social trygghet som
Sverige ingått med andra stater får						Sverige ingått med andra stater.
ske utan hinder av 33 § person-
uppgiftslagen (1998:204).
					30 §
Personuppgifter		i	handlingar			Personuppgifter		i	handlingar
som kommit in i ett ärende eller						som kommit in i ett ärende eller
upprättats i ett ärende behöver inte						upprättats i ett ärende behöver inte
tas med i information			enligt 26 §			tas med i sådan information som
personuppgiftslagen			(1998:204)			avses i	artikel 15		i	Europa-
om den registrerade tagit del av						parlamentets och rådets förord-
handlingens innehåll. Av informa-						ning (EU) 2016/679 om den regi-
tionen ska det dock framgå vilka						strerade tagit del av handlingens
sådana handlingar som behandlas.						innehåll. Av informationen ska det
Om den	registrerade			begär		dock framgå vilka sådana handl-
information om uppgifter i en						ingar som behandlas. Om den
sådan handling och anger vilken						registrerade begär information om
handling som avses, ska dock						uppgifter i en sådan handling och
informationen omfatta dessa upp-						anger vilken handling som avses,
gifter, om inte annat följer av						ska dock	informationen			omfatta
bestämmelser	om sekretess.				I	dessa uppgifter, om inte annat
sistnämnda fall ska begränsningen						följer av bestämmelser om sekre-
i 26 § personuppgiftslagen om att						tess.
information bara behöver lämnas
gratis en gång per kalenderår
gälla varje handling för sig.
					31 §
Personuppgifter		som	behandlas			Personuppgifter		som	behandlas
automatiserat	ska	gallras		när	de	automatiserat ska		gallras		när de

inte längre är nödvändiga för de

ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

inte längre är nödvändiga för de				Prop. 2017/18:171
ändamål som anges i 7		§, om inte		Bilaga 3
regeringen eller den myndighet som
regeringen	bestämmer	meddelar
föreskrifter om att uppgifter får
bevaras	för arkivändamål		av
allmänt intresse, vetenskapliga eller
historiska	forskningsändamål		eller
statistiska ändamål.

36 §

I fråga om överklagande av beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) tillämpas bestämmel- serna i den lagen. Andra beslut enligt detta kapitel får inte över- klagas.

Bestämmelser om överklagande finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Andra beslut enligt detta kapitel än sådana som får överklagas enligt de bestämmelser som avses i första stycket får inte överklagas.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som

har meddelats före ikraftträdandet.

357

Prop. 2017/18:171

Bilaga 3

1.2Förslag till

ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen

Härigenom föreslås i fråga om förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för social- försäkringen

dels att 5 och 17 §§ ska tas bort,

dels att rubrikerna närmast före 5 och 17 §§ ska tas bort,

dels att 2, 3, 7, 8, 15 och 16 §§ och rubriken närmast före 3 § ska ha följande lydelse.

Tidigare föreslagen lydelse

Utredningens förslag till lydelse

2 §

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.

Första stycket gäller inte om personuppgifter samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behand- lingen. Bestämmelserna i 12 § personuppgiftslagen (1998:204) om återkallelse av lämnat samtycke tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag.

Förhållandet till	Förhållandet till
personuppgiftslagen	annan dataskyddsreglering
3 §
Personuppgiftslagen (1998:204)	Denna lag kompletterar Europa-
gäller vid behandling av person-	parlamentets och rådets förordning
uppgifter inom verksamheten vid	(EU) 2016/679		av den 27 april
inspektionen om inte annat följer	2016 om skydd för fysiska personer
av denna lag eller föreskrifter som	med avseende på behandling av
har meddelats med stöd av denna	personuppgifter och om det fria
lag.	flödet av sådana uppgifter och om
	upphävande	av	direktiv 95/46/EG
	(allmän dataskyddsförordning).
	Lagen (2018:xx) med kom-
	pletterande bestämmelser till EU:s
	dataskyddsförordning			gäller vid
	behandling	av	personuppgifter
358	enligt denna	lag, om		inte annat

följer av denna lag eller föreskrif-

Prop. 2017/18:171

ter som har meddelats med stöd av

Bilaga 3

lagen.

7 §

Personuppgifter

får

behandlas

Personuppgifter

får

behandlas

för att fullgöra ett utlämnande av

uppgifter som sker i överens-

stämmelse

med

lag

eller

stämmelse

med

lag

eller

förordning.

övrigt

gäller

9 §

förordning.

Att

personuppgifter

första stycket d och andra stycket

som behandlas för ändamål som

personuppgiftslagen (1998:204).

anges i 6 § även får behandlas för

andra ändamål framgår av arti-

kel 5.1 b i Europaparlamentets och

rådets förordning (EU) 2016/679.

8 §

Känsliga

personuppgifter enligt

Sådana

särskilda kategorier av

13 §

personuppgiftslagen

personuppgifter som anges i arti-

(1998:204)

och

personuppgifter

kel 9.1 i Europaparlamentets och

som avses i 21 § samma lag får

rådets

förordning

(EU)

2016/679

behandlas

om uppgifterna

har

(känsliga

personuppgifter)

och

lämnats i ett tillsyns- eller

personuppgifter om lagöverträdel-

granskningsärende

eller

annars

är

ser som innefattar brott, domar i

nödvändiga för handläggningen av

brottmål, straffprocessuella tvångs-

ett sådant ärende.

medel eller administrativa frihets-

berövanden får behandlas om upp-

gifterna har lämnats i ett tillsyns-

eller

granskningsärende

eller

annars är nödvändiga för hand-

läggningen av ett sådant ärende.

15 §

Information

som

ska

lämnas

Sådan information som avses i

enligt

26 §

personuppgiftslagen

artikel

Europaparlamentets

(1998:204)

behöver

inte

omfatta

och

rådets

förordning

(EU)

en uppgift som har försetts med en

2016/679 behöver inte omfatta en

beteckning så att den inte är direkt

uppgift som har försetts med en

hänförlig till en enskild.

beteckning så att den inte är direkt

hänförlig till en enskild.

16 §

Personuppgifter

ska

gallras

så

Personuppgifter

ska

gallras så

snart

uppgifterna

inte

längre

snart

uppgifterna

inte

längre

behövs för det ändamål som de

behandlas för, om inte regeringen

eller den myndighet som rege-

eller

den

myndighet

som

ringen

bestämmer

har

meddelat

regeringen bestämmer har med-

föreskrifter eller i ett enskilt fall

delat föreskrifter eller i ett enskilt

beslutat att gallring ska ske senast

fall beslutat

att gallring ska ske

359

Prop. 2017/18:171	vid en viss tidpunkt eller att			senast vid en viss tidpunkt eller att
Bilaga 3	uppgifter får bevaras för historiska,			uppgifter får bevaras för arkiv-
	statistiska	eller	vetenskapliga	ändamål av	allmänt	intresse,
	ändamål.			vetenskapliga eller historiska forsk-
				ningsändamål	eller	statistiska
				ändamål.

360

1.3Förslag till

lag om ändring i lagen (1996:1156) om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om recept- register18

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubriken närmast före 3 § ska ha följande

lydelse.
Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till
personuppgiftslagen19	annan dataskyddsreglering
	3 §20

Personuppgiftslagen (1998:204) gäller för behandling av person- uppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslut- ning till denna lag.

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

Prop. 2017/18:171

Bilaga 3

7 §21

I fråga om behandling av per- sonuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Att personuppgifter som be- handlas för ändamål som anges i 6 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

18Senaste lydelse av 24 § 2009:370.

19Senaste lydelse 2009:370.

20Senaste lydelse 2009:370.

21Senaste lydelse 2009:370.

361

Prop. 2017/18:171

Bilaga 3

20 §22

E-hälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgifts- ansvarig,

2.ändamålen med registret,

3.vilka uppgifter registret får innehålla,

4.de tystnadsplikts- och säkerhets- bestämmelser som gäller för registret,

5.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

6.rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 §,

7.rätten till skadestånd enligt 24 §,

8.de begränsningar i fråga om sökbegrepp och bevarande av upp-

gifter som gäller för registret, och 9. att registreringen inte är fri-

villig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registre- rade lämna information om

1.vilka uppgifter registret får innehålla,

2.de tystnadsplikts- och säker- hetsbestämmelser som gäller för registret,

3.rätten enligt artikel 82 i Europaparlamentets och rådets

förordning		(EU)	2016/679	och
8 kap.	1 §	lagen	(2018:xx)	med
kompletterande bestämmelser				till
EU:s	dataskyddsförordning			till
skadestånd		vid	behandling	av

personuppgifter i strid med denna lag,

4. de begränsningar i fråga om sökbegrepp som gäller för regist- ret, och

5. att registreringen inte är fri- villig med undantag för ändamål enligt 6 § första stycket 2 och 8.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

22 Senaste lydelse 2013:1021.

362

1.4Förslag till

lag om ändring i lagen (1998:543) om hälsodataregister

Härigenom föreskrivs i fråga om lagen (1998:543) om hälso- dataregister

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till
personuppgiftslagen	annan dataskyddsreglering
	2 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas person- uppgiftslagen (1998:204) vid be- handling av personuppgifter för hälsodataregister.

Prop. 2017/18:171

Bilaga 3

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

363

Prop. 2017/18:171

Bilaga 3

1.5Förslag till

lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4, 7 och 7 a §§ och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §23

Denna lag tillämpas vid be- handling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt ett eller flera särskilda kriterier.

Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personuppgifter inom social- tjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda krite- rier.

3 §

Lagen tillämpas inte vid be- handling av personuppgifter hos domstolar. Den tillämpas inte heller vid behandling av person- uppgifter för forsknings- och statistikändamål.

Lagen tillämpas inte vid be- handling av personuppgifter

1.hos domstolar,

2.för forsknings- och statistik- ändamål, eller

3.som utförs av behöriga myn- digheter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).

Förhållandet till	Förhållandet till
personuppgiftslagen m.m.	annan dataskyddsreglering
	4 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har meddelats

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av

23 Senaste lydelse 2003:136.

364

med stöd av denna lag eller annars av 2 § personuppgiftslagen.

personuppgifter och om det fria Prop. 2017/18:171 flödet av sådana uppgifter och om Bilaga 3 upphävande av direktiv 95/46/EG

(allmän dataskyddsförordning).

Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga	personuppgifter som	2. sådana särskilda	kategorier
avses i 13 §	personuppgiftslagen	av personuppgifter som anges i
(1998:204), samt		artikel 9.1 i Europaparlamentets och
		rådets förordning (EU)	2016/679
		(känsliga personuppgifter), samt

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verk-

samheten.	Enligt	artikel 9.3 i	Europa-

	parlamentets och rådets förord-
	ning (EU) 2016/679 får känsliga
	personuppgifter endast		behandlas
	av eller under ansvar av den som
	omfattas av tystnadsplikt.
7 a §
I sammanställningar av per-	I sammanställningar av per-
sonuppgifter får det inte tas in	sonuppgifter får det inte tas in
känsliga personuppgifter eller upp-	sådana	känsliga personuppgifter
gifter i övrigt om ömtåliga person-	som avses i 7 § första		stycket 2
liga förhållanden.	eller uppgifter i övrigt om ömtåliga
	personliga förhållanden.
Undantag från första stycket gäller för
1. uppgifter om åtgärder som har	beslutats	inom socialtjänsten som

innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,

2. uppföljning, utvärdering och kvalitetssäkring,

3. tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,

4. administration som bedrivs av Statens institutionsstyrelse centralt, och

5. verksamhet enligt lagen (2007:606) om utredningar avseende vissa

dödsfall.

365

Prop. 2017/18:171	Uppgift som avslöjar medlemskap i fackförening får aldrig tas in.
Bilaga 3

1.Denna lag träder i kraft den 1 maj 2018 i fråga om 1 och 3 §§ och i övrigt den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft-

trädandet.

366

1.6Förslag till

lag om ändring i lagen (2002:297)

om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubriken närmast före 6 kap. 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 kap. 7 a § av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 kap.

4 a §24

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och forskningsdatalagen (2018:xx).

Skadestånd m.m.		Skadestånd
	6 kap.
	2 §25
Huvudmannen	för biobanken	Huvudmannen för biobanken ska
skall ersätta en enskild provgivare		ersätta en enskild provgivare för
för den skada eller kränkning av		den skada eller kränkning av den
den personliga integriteten som ett		personliga	integriteten som	ett
förfarande med	vävnadsprover i	förfarande	med vävnadsprover	i
strid med denna lag har orsakat		strid med denna lag har orsakat
honom eller henne.		honom eller henne.

Prop. 2017/18:171

Bilaga 3

24Senaste lydelse 2008:358.

25Ändringen innebär bl.a. att tredje stycket tas bort.

367

Prop. 2017/18:171

Bilaga 3

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behand- ling av personuppgifter enligt denna lag eller föreskrifter som har med- delats med stöd av lagen.

		3 §26
Inspektionen	för vård	och	Inspektionen	för vård	och
omsorg utövar tillsyn över att			omsorg utövar tillsyn över att
denna lag och föreskrifter som har			denna lag och föreskrifter som har
meddelats i anslutning till lagen			meddelats i anslutning till lagen
följs. Den myndighet som är			följs. Den myndighet som är
tillsynsmyndighet	enligt person-		tillsynsmyndighet	enligt	lagen
uppgiftslagen (1998:204)		utövar	(2018:xx) med	kompletterande
dock tillsyn över den behandling			bestämmelser till EU:s dataskydds-
som sker av personuppgifter.			förordning utövar dock tillsyn över
			den behandling som sker av
			personuppgifter.

Inspektionen för vård och omsorg får förelägga den som bedriver verksamheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

7 §27

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte över- klagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § person- uppgiftslagen (1998:204) får över- klagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som Inspektionen för vård och omsorg eller allmän för- valtningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

26Senaste lydelse 2012:947.

27Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

368

7 a §				Prop. 2017/18:171
Bestämmelser		om	överklagande	Bilaga 3
av myndigheters beslut om sådan
behandling av personuppgifter som
avses i	artikel 2.1		i Europa-
parlamentets och rådets förordning
(EU) 2016/679 finns i lagen
(2018:xx)	med	kompletterande

bestämmelser till EU:s dataskydds- förordning.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut om behandling av personuppgifter som har meddelats före ikraftträdandet.

3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

369

Prop. 2017/18:171

Bilaga 3

1.7Förslag till

lag om ändring i lagen (2005:258) om läkemedelsförteckning

Härigenom föreskrivs i fråga om lagen (2005:258) om läke- medelsförteckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållande till	Förhållandet till
personuppgiftslagen	annan dataskyddsreglering
	2 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter för läkemedelsförteck- ningen, om inget annat följer av denna lag.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Behandling av känsliga personuppgifter

4 a §

Enligt artikel 9.3 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 får sådana särskilda kategorier av person-

	uppgifter som anges i artikel 9.1 i
	samma förordning (känsliga per-
370	sonuppgifter) endast behandlas av
370

eller under ansvar av den som om-

Prop. 2017/18:171

fattas av tystnadsplikt.

Bilaga 3

Information som skall lämnas

Information som ska lämnas

självmant

10 §28

E-hälsomyndigheten ska se till

Utöver vad som framgår av

att den registrerade får informa-

artikel 13.1, 13.2, 13.3, 14.1, 14.2

tion om

läkemedelsförteckningen.

och 14.4 i Europaparlamentets och

Informationen ska innehålla upp-

rådets

förordning

(EU) 2016/679

lysningar om

ska den

personuppgiftsansvarige

1. vem

som är

personuppgifts-

enligt denna lag till den registre-

ansvarig,

rade lämna information om

2. ändamålet med förteckningen,

3. vilken

typ av uppgifter

som

1. vilken

typ

av uppgifter

som

ingår i förteckningen,

4. de

tystnadsplikts-

och säker-

2. de

tystnadsplikts-

och

säker-

hetsbestämmelser

som

gäller

för

hetsbestämmelser

som

gäller

för

förteckningen,

5. rätten att ta del av uppgifter

3. rätten att ta del av uppgifter

enligt 11 §,

6. rätten till rättelse av oriktiga

eller missvisande uppgifter,

7. rätten

till

skadestånd

vid

4. rätten

till

skadestånd

vid

behandling

av personuppgifter i

behandling

personuppgifter i

strid med denna lag,

8. vad

som gäller i

fråga

5. vad

som

gäller i

fråga

sökbegrepp,

direktåtkomst

och

sökbegrepp,

direktåtkomst

och

utlämnande

uppgifter

på

utlämnande

uppgifter

på

medium för automatiserad be-

handling,

handling, samt

9. vad som gäller i fråga om

bevarande och gallring, samt

10. att

registreringen inte

är

6. att

registreringen

inte

är

frivillig.

Information som skall lämnas

Information som ska lämnas

efter ansökan

11 §

Den registrerade har rätt att när

som helst och så fort som möjligt

få sådan information som avses i

26 §

personuppgiftslagen

artikel 15

Europaparlamentets

(1998:204).

och

rådets

förordning

(EU)

2016/679.

28 Senaste lydelse 2013:621 (jfr 2013:1023).

371

Prop. 2017/18:171

Bilaga 3

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

372

1.8Förslag till

lag om ändring i lagen (2006:351) om genetisk integritet m.m.

Härigenom föreskrivs i fråga om lagen (2006:351) om genetisk integritet m.m. att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § ska ha följande lydelse.

Prop. 2017/18:171

Bilaga 3

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till annan
personuppgiftslagen	dataskyddsreglering

1 kap.

4 §

Om inget annat följer av denna	Denna lag kompletterar Europa-
lag eller föreskrifter som meddelats	parlamentets och rådets förordning
med stöd av denna, tillämpas per-	(EU) 2016/679 av	den 27 april
sonuppgiftslagen (1998:204) vid	2016 om skydd för fysiska personer
behandling av personuppgifter.	med avseende på behandling av
	personuppgifter och om det fria
	flödet av sådana uppgifter och om
	upphävande av direktiv 95/46/EG
	(allmän dataskyddsförordning)		vid
	behandling av personuppgifter.
	Lagen (2018:xx) med kom-
	pletterande bestämmelser till EU:s
	dataskyddsförordning	gäller	vid
	behandling av personuppgifter en-
	ligt denna lag, om inte annat följer

av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Denna lag träder i kraft den 25 maj 2018.

373

Prop. 2017/18:171

Bilaga 3

1.9Förslag till

lag om ändring i lagen (2006:496) om blodsäkerhet

Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet dels att 21 § ska upphöra att gälla,

dels att 5 § ska ha följande lydelse,

dels att rubriken närmast före 4 § ska lyda ”Förhållandet till be- stämmelser i annan lagstiftning”.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till bestämmelser i	Förhållandet till bestämmelser i
annan lag	annan lagstiftning
5 §
Om inget annat följer av denna	Denna lag kompletterar Europa-
lag eller föreskrifter som har med-	parlamentets och rådets förordning
delats med stöd av lagen, gäller	(EU) 2016/679 av	den 27 april
personuppgiftslagen (1998:204) vid	2016 om skydd för fysiska personer
behandling av personuppgifter.	med avseende på behandling av
	personuppgifter och om det fria
	flödet av sådana uppgifter och om
	upphävande av direktiv 95/46/EG
	(allmän dataskyddsförordning)		vid
	behandling av personuppgifter.
	Lagen (2018:xx) med kom-
	pletterande bestämmelser till EU:s
	dataskyddsförordning	gäller	vid
	behandling av personuppgifter en-
	ligt denna lag, om inte annat följer

av denna lag eller föreskrifter som har meddelats med stöd av lagen.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft-

trädandet.

374

1.10Förslag till

lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

Härigenom föreskrivs i fråga om lagen (2006:1570) om skydd mot internationella hot mot människors hälsa att 12 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:171

Bilaga 3

12 §29

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av en enskilds personliga integritet genom behandling av personuppgifter finns i person- uppgiftslagen (1998:204). Folk- hälsomyndigheten och andra be- rörda myndigheter, kommuner och landsting får oavsett bestämmel- serna i 33 § personuppgiftslagen

överföra personuppgifter till Världs- hälsoorganisationen och tredje land för att fullgöra sin upp- giftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Bestämmelser om skydd mot kränkning av en enskilds personliga integritet genom behandling av personuppgifter finns i Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:xx) med komplette- rande bestämmelser till EU:s data- skyddsförordning. Folkhälsomyn- digheten och andra berörda myndig- heter, kommuner och landsting får överföra personuppgifter till Världshälsoorganisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis

29 Senaste lydelse 2014:1550.

375

Prop. 2017/18:171

Bilaga 3

376

automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

1.11Förslag till

lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid

hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla, dels att 8 § ska ha följande lydelse,

dels att rubriken närmast före 6 § ska lyda ”Förhållandet till be- stämmelser i annan lagstiftning”.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till bestämmelser i	Förhållandet till bestämmelser i
annan lag	annan lagstiftning

8 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Prop. 2017/18:171

Bilaga 3

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

377

Prop. 2017/18:171

Bilaga 3

1.12Förslag till

lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 och 7 §§, 10 kap. 2 § och rubrikerna närmast före 1 kap. 4 § och 8 kap. 7 § ska ha följande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas två nya paragrafer, 1 kap. 5 § och 2 kap. 7 a § av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
1 kap.
1 §
Denna lag tillämpas vid vård-	Denna lag tillämpas vid vård-
givares behandling av person-	givares behandling av person-
uppgifter inom hälso- och sjuk-	uppgifter inom hälso- och sjuk-
vården. I lagen finns också be-	vården. Vid behandling av per-
stämmelser om skyldighet att föra	sonuppgifter	inom	rättspsykiatrisk
patientjournal.	vård enligt lagen (1991:1129) om
	rättspsykiatrisk vård tillämpas dock
	inte […]. I lagen finns också
	bestämmelser	om	skyldighet att
	föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Förhållandet till	Förhållandet till
personuppgiftslagen	annan dataskyddsreglering
4 §
Personuppgiftslagen (1998:204)	Denna lag kompletterar Europa-
gäller vid sådan behandling av	parlamentets och rådets förordning
personuppgifter inom hälso- och	(EU) 2016/679		av den 27 april
sjukvården som är helt eller delvis	2016 om skydd för fysiska personer
automatiserad eller där uppgifterna	med avseende på behandling av
ingår i eller är avsedda att ingå i en	personuppgifter och om det fria
strukturerad samling av person-	flödet av sådana uppgifter och om
uppgifter som är tillgängliga för	upphävande	av	direktiv 95/46/EG
sökning eller sammanställning en-	(allmän dataskyddsförordning) vid
ligt särskilda kriterier, om inte	sådan behandling av personupp-
annat följer av denna lag eller	gifter inom hälso- och sjukvården
föreskrifter som meddelats med	som är helt eller delvis auto-
stöd av denna lag.	matiserad eller		där	uppgifterna
	ingår i eller är avsedda att ingå i en
	strukturerad samling av per-
	sonuppgifter	som är		tillgängliga
378	för sökning eller sammanställning

enligt särskilda kriterier.					Prop. 2017/18:171
Lagen	(2018:xx)		med	kom-	Bilaga 3
pletterande bestämmelser till EU:s
dataskyddsförordning			gäller	vid
sådan behandling av personupp-
gifter som avses i första stycket,
om inte annat följer av denna lag
eller föreskrifter		som	meddelats
med stöd av lagen.
5 §
Inom	rättspsykiatrisk			vård
gäller, i stället för vad som anges
i 1 kap.	4 §,	brottsdatalagen
(2018:xx) om inte annat följer av

denna lag eller föreskrifter som meddelats med stöd av lagen.

2 kap.

5 §

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Att personuppgifter som behandlas för ändamål som anges i 4 § även får behandlas för andra ändamål framgår av arti- kel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

7 §

En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgifts- lagen (1998:204) får endast behand- las om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar be- handla uppgifter om lagöverträ- delser m.m. som avses i 21 § per- sonuppgiftslagen.

En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) får endast behandlas om det är absolut nöd- vändigt för ett sådant ändamål. Även en vårdgivare som inte är stat- lig myndighet, landsting eller kommun får under dessa förutsätt- ningar behandla uppgifter om lagöverträdelser.

379

Sådana känsliga personuppgifter som avses i 7 a § eller sådana - uppgifter om lagöverträdelser som avses i 7 § får inte användas som sökbegrepp. Inte heller får upp- gifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

Prop. 2017/18:171

Bilaga 3

380

7 a §

Enligt artikel 9.3 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 får sådana särskilda kategorier av person- uppgifter som anges i artikel 9.1 i samma förordning (känsliga per- sonuppgifter) endast behandlas av eller under ansvar av den som om- fattas av tystnadsplikt.

8 §

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om

1. hälsa, eller	1. hälsa, inklusive	genetiska och
	biometriska uppgifter och uppgifter
	om sexuell läggning, eller
2. att någon varit föremål	för tvångsingripande	enligt lagen

(1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots för- budet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags samman-

ställningar.
				7 kap.
				3 §
Innan personuppgifter behandlas i					Innan personuppgifter behandlas i
ett	nationellt		eller	regionalt	ett	nationellt	eller	regionalt
kvalitetsregister ska den som är					kvalitetsregister ska den som är
personuppgiftsansvarig se till att den					personuppgiftsansvarig			se till	att
enskilde,		utöver	den information		den	enskilde,	utöver		den
som ska lämnas enligt 8 kap. 6 §, får					information som ska lämnas enligt
information om					8 kap.	6 §, får	information		om
1. rätten		att när som		helst få	rätten att när som helst få uppgifter
uppgifter om sig själv utplånade ur					om sig själv utplånade ur registret.
registret,

2. i	vilken utsträckning		person-	Prop. 2017/18:171
uppgifter		inhämtas från	någon	Bilaga 3
annan källa än från den enskilde
själv	eller	dennes patientjournal,
och

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan person- uppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga		personuppgifter		som	Uppgifter om hälsa får be-
avses	i 13 § personuppgiftslagen				handlas i nationella och regionala
(1998:204) och som inte rör hälsa					kvalitetsregister.		Andra		sådana
samt uppgifter om lagöverträdelser					känsliga personuppgifter som av-
m.m. som avses i 21 § samma lag					ses i 2 kap. 7 a § patientdatalagen
får behandlas endast om regeringen					får behandlas i nationella och
eller	den	myndighet		som	regionala kvalitetsregister endast
regeringen		bestämmer	i enskilda		om regeringen eller den myndighet
fall medger det.					som regeringen bestämmer i en-
					skilda fall medger det. Sådana
					uppgifter om lagöverträdelser som
					avses i 2 kap. 7 § får behandlas i
					nationella och regionala kvalitets-
					register endast om regeringen eller
					den	myndighet	som	regeringen
					bestämmer i enskilda fall medger
					det. Enligt artikel 9.3			i	Europa-
					parlamentets och rådets förord-
					ning (EU) 2016/679 får sådana
					känsliga personuppgifter som av-
					ses i 2 kap. 7 a § endast behandlas
					av eller under ansvar av den som
					omfattas av tystnadsplikt.
				10 §
Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras
när de inte längre behövs för det ändamål som anges i 4 §.
En	arkivmyndighet		inom	ett	En	arkivmyndighet		inom ett
landsting eller en kommun får					landsting eller en kommun får
dock föreskriva att personuppgifter					dock föreskriva att personuppgifter
i ett	nationellt eller		regionalt		i ett	nationellt	eller		regionalt	381
										381

Prop. 2017/18:171

kvalitetsregister

som

förs inom

kvalitetsregister

som

förs inom

Bilaga 3

landstinget

eller

kommunen

får

landstinget eller

kommunen

får

bevaras

för

historiska, statistiska

bevaras

för

arkivändamål

eller vetenskapliga ändamål.

allmänt

intresse,

vetenskapliga

eller historiska forskningsändamål

eller statistiska ändamål.

regeringen

eller

den

regeringen

eller

den

myndighet regeringen bestämt har

meddelat föreskrifter

enligt

7 §

meddelat

föreskrifter

enligt

7 §

andra stycket, får regeringen eller

myndigheten också

föreskriva

att

myndigheten också föreskriva

att

personuppgifter

får

bevaras

för

personuppgifter

får

bevaras

för

historiska, statistiska eller veten-

arkivändamål av allmänt intresse,

skapliga ändamål.

vetenskapliga

eller

historiska

forskningsändamål

eller statistiska

ändamål.

8 kap.

6 §

Den som är personuppgifts-

Utöver vad som framgår av

ansvarig enligt denna lag ska se

artikel 13.1, 13.2, 13.3, 14.1, 14.2

till att den registrerade får infor-

och 14.4 i Europaparlamentets och

mation

personuppgiftsbehand-

rådets förordning

(EU) 2016/679

lingen.

ska den

personuppgiftsansvarige

Informationen

ska

innehålla

enligt denna lag till den registre-

upplysningar om

rade lämna information om

1.vem som är personuppgifts- ansvarig,

2.ändamålet med behandlingen,

3.vilka kategorier av uppgifter som behandlas,

4. den

uppgiftsskyldighet

som

1. den

uppgiftsskyldighet

som

kan följa av lag eller förordning,

5. de

sekretess-

och

säkerhets-

2. de

sekretess-

och

säkerhets-

bestämmelser som gäller för upp-

gifterna och behandlingen,

6. rätten enligt

4 kap.

4 §

att i

3. rätten

enligt

4 kap. 4 § att

vissa fall begära att uppgifter

spärras,

7. rätten enligt

5 § att

få

infor-

4. rätten

enligt

5 §

att få

infor-

mation om den direktåtkomst och

elektroniska

åtkomst

som

elektroniska åtkomst som förekom-

förekommit,

mit,

artikel 82

8. rätten att ta del av uppgifter

5. rätten

enligt

26 §

personuppgiftslagen

Europaparlamentets och rådets för-

(1998:204),

ordning

(EU) 2016/679

och

8 kap.

9. rätten till rättelse och under-

1 § lagen

(2018:xx)

med

kom-

rättelse av tredje man enligt 28 §

pletterande bestämmelser till EU:s

personuppgiftslagen,

dataskyddsförordning

till

skade-

10. rätten

enligt 10 kap. 1 § till

stånd vid

behandling

av person-

382

skadestånd	vid	behandling	av	uppgifter i strid med denna		lag,	Prop. 2017/18:171
personuppgifter i strid med denna				samt			Bilaga 3
lag,
11. vad som gäller i fråga om				6. vad som	gäller i fråga	om
sökbegrepp,	direktåtkomst		och	sökbegrepp,	direktåtkomst	och
utlämnande	av	uppgifter	på	utlämnande av uppgifter på medium
medium för automatiserad be-				för automatiserad behandling.
handling,

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgifts- behandlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

Andra rättigheter	Andra rättigheter
enligt denna lag	för den enskilde
	7 §

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§. Ytterligare föreskrifter om rättigheter för den enskilde finns i Europaparla- mentets och rådets förordning (EU) 2016/679.

10 kap.

Skadestånd och överklagande

Överklagande

2 §30

Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets- och sekretesslagen (2009:400).

Vid sådan behandling av per- sonuppgifter som avses i 1 kap. 4 §

30 Senaste lydelse 2012:954.

383

Prop. 2017/18:171

Bilaga 3

384

finns ytterligare bestämmelser om	finns ytterligare bestämmelser om
överklagande i 51–53 §§ person-	överklagande av myndigheters
uppgiftslagen (1998:204).	beslut i lagen (2018:xx) med kom-
	pletterande bestämmelser till EU:s
	dataskyddsförordning.

Övriga beslut enligt denna lag får inte överklagas.

1.Denna lag träder i kraft den 1 maj 2018 i fråga om 1 kap. 1 och 5 §§ och rubriken närmast före 1 kap. 4 §, och i övrigt den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

3.Äldre föreskrifter om skadestånd gäller fortfarande om den omstän- dighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.13Förslag till

lag om ändring i apoteksdatalagen (2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367) dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

Prop. 2017/18:171

Bilaga 3

Nuvarande lydelse	Föreslagen lydelse
Förhållande till	Förhållandet till
personuppgiftslagen	annan dataskyddsreglering
	5 §

Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslut- ning till denna lag.

9 §

I fråga om behandling av per- sonuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Att personuppgifter som be- handlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

Behandling av känsliga personuppgifter

9 a §

Enligt artikel 9.3 i Europa- parlamentets och rådets förord-

ning (EU) 2016/679 får sådana

385

Prop. 2017/18:171

Bilaga 3

386

särskilda kategorier av person-

uppgifter som anges i artikel 9.1 i

samma förordning (känsliga per-

sonuppgifter) endast behandlas av

eller under ansvar av den som om-

fattas av tystnadsplikt.

16 §

Tillståndshavaren ska se till att

Utöver vad som framgår av

den enskilde får information om

artikel 13.1, 13.2, 13.3, 14.1, 14.2

personuppgiftsbehandlingen.

och 14.4 i Europaparlamentets och

Informationen

ska

innehålla

rådets förordning

(EU) 2016/679

upplysningar om

ska den

personuppgiftsansvarige

1. vem

som

är

personuppgifts-

enligt denna lag till den registre-

ansvarig,

rade lämna information om

2. ändamålen med behandlingen,

3. den

uppgiftsskyldighet

som

1. den

uppgiftsskyldighet

som

kan följa av lag eller förordning,

4. de

tystnadsplikts-

och

säker-

2. de

tystnadsplikts-

och

säker-

hetsbestämmelser

som

gäller för

hetsbestämmelser som

gäller

för

uppgifterna och behandlingen,

5. rätten att ta del av uppgifterna

3. rätten

enligt

artikel 82

enligt 26 §

personuppgiftslagen

Europaparlamentets och rådets för-

(1998:204),

ordning

(EU) 2016/679

och

8 kap.

6. rätten

enligt

15 §

till rättelse

1 § lagen (2018:xx) med komplette-

av oriktiga eller missvisande upp-

rande

bestämmelser

till

EU:s

gifter,

dataskyddsförordning

till

skade-

7. rätten

enligt

15 §

till

skade-

stånd vid behandling av person-

uppgifter i strid med denna lag,

och

8. vad som gäller i fråga om sök-

4. vad som gäller i fråga om sök-

begrepp,

begrepp.

9.vad som gäller i fråga om bevarande, samt

10.huruvida personuppgifts- behandlingen är frivillig eller inte.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft-

trädandet.

1.14Förslag till

lag om ändring i lagen (2010:111)

om införande av socialförsäkringsbalken

Härigenom föreskrivs i fråga om lagen (2010:111) om införande av socialförsäkringsbalken att 9 kap. 22 och 23 §§ ska ha följande lydelse.

Prop. 2017/18:171

Bilaga 3

Nuvarande lydelse

Föreslagen lydelse

9 kap.

22 §

Bestämmelserna

114 kap.

Bestämmelserna

114 kap.

socialförsäkringsbalken

tillämpas

socialförsäkringsbalken

tillämpas

även i fråga om förmåner som

avser tid före ikraftträdandet. Det

som föreskrivs

114 kap.

2 §

som föreskrivs

114 kap.

2 §

balken om förmåner enligt denna

ska då avse förmåner enligt de

upphävda

författningarna. Bestäm-

upphävda

författningarna.

melserna

i 114 kap.

33 § balken

upphävda

bestämmelserna

om skadestånd på grund av

114 kap. 33 §

balken

skade-

behandling enligt det kapitlet eller

stånd på grund av behandling enligt

föreskrifter som har meddelats i

det kapitlet eller föreskrifter som

anslutning till det kapitlet ska även

har meddelats i anslutning till det

avse behandling enligt den upp-

kapitlet ska även avse behandling

hävda lagen (2003:763) om behand-

enligt

den

upphävda

lagen

ling av personuppgifter inom social-

(2003:763)

behandling

försäkringens administration

eller

personuppgifter

inom

socialför-

föreskrifter som har meddelats i

säkringens

administration

eller

anslutning till den lagen.

föreskrifter som har meddelats i

anslutning till den lagen.

23 §

Bestämmelserna om skadestånd i

De upphävda bestämmelserna om

114 kap.

33 §

socialförsäkrings-

skadestånd i 114 kap. 33 § social-

balken tillämpas endast om den

försäkringsbalken

tillämpas

endast

omständighet som ett yrkande om

om den omständighet som ett

skadestånd grundas på har inträffat

yrkande om skadestånd grundas på

efter utgången av november 2003.

har inträffat efter utgången av

I annat fall tillämpas de dess-

november

2003,

men

före

den

förinnan gällande bestämmelserna.

25 maj

2018. Har

omständigheten

inträffat före utgången av november

2003, tillämpas de då gällande be- stämmelserna.

Denna lag träder i kraft den 25 maj 2018.

387

Prop. 2017/18:171	1.15		Förslag till
Bilaga 3			lag om ändring i alkohollagen (2010:1622)
			lag om ändring i alkohollagen (2010:1622)
	Härigenom föreskrivs i fråga om			alkohollagen (2010:1622)	att
	13 kap. 5 § ska upphöra att gälla.

	1.	Denna lag träder i kraft den 25 maj 2018.
	2.	Äldre	föreskrifter om skadestånd	gäller fortfarande om	den
	omständighet som yrkandet hänför sig till har inträffat före ikraft-
	trädandet.

388

1.16Förslag till

lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

dels att 8 § ska upphöra att gälla,

dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till annan lag	Förhållandet till annan
	dataskyddsreglering
	4 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Prop. 2017/18:171

Bilaga 3

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den

omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

389

Prop. 2017/18:171

Bilaga 3

1.17Förslag till

lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram

Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 3, 6 och 13 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §31

6 § Personuppgifter får behandlas för

1.framställning av statistik,

2.uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt

3.forskning och epidemiologiska undersökningar.

31 Senaste lydelse 2013:637.

390

får behandlas för andra ändamål

Prop. 2017/18:171

framgår av artikel 5.1 b i Europa-

Bilaga 3

parlamentets och rådets förord-

ning (EU) 2016/679.

13 §32

Folkhälsomyndigheten ska se till

Utöver vad som framgår av

att den enskilde får information om

artikel 13.1, 13.2, 13.3, 14.1, 14.2

personuppgiftsbehandlingen.

och 14.4 i Europaparlamentets och

Informationen

ska

innehålla

rådets

förordning

(EU) 2016/679

upplysningar om

ska den

personuppgiftsansvarige

1. vem som

är

personuppgifts-

enligt denna lag till den registre-

ansvarig,

rade lämna information om

2. ändamålen med behandlingen,

3. den

uppgiftsskyldighet

som

1. den

uppgiftsskyldighet

som

kan följa av lag eller förordning,

4. de

tystnadsplikts-

och

säker-

2. de

tystnadsplikts-

och

säker-

hetsbestämmelser

som

gäller för

hetsbestämmelser som gäller för upp-

uppgifterna och behandlingen,

gifterna och behandlingen,

5. rätten att ta del av uppgifterna

3. rätten

enligt

artikel 82 i

enligt

26 §

personuppgiftslagen

Europaparlamentets och rådets för-

(1998:204),

ordning

(EU) 2016/679

och

8 kap.

6. rätten enligt

12 §

till rättelse

1 § lagen (2018:xx) med komplette-

av oriktiga eller missvisande upp-

rande bestämmelser till EU:s data-

gifter,

skyddsförordning

till

skadestånd

vid behandling av personuppgifter

i strid med denna lag,

7.rätten enligt 12 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

8.vad som gäller i fråga om sökbegrepp,

9.vad som gäller i fråga om bevarande, samt

10.att registreringen inte är

frivillig.

4.vad som gäller i fråga om sökbegrepp, samt

5.att registreringen inte är frivillig.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

32 Senaste lydelse 2013:637.

391

Prop. 2017/18:171

Bilaga 3

1.18Förslag till

lag om ändring i lagen (2016:526)

om behandling av personuppgifter i ärenden om licens för läkemedel

Härigenom föreskrivs i fråga om lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

dels att 20 § ska upphöra att gälla,

dels att rubrikerna närmast före 3 och 20 §§ ska utgå, dels att 4, 9 och 21 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 4 och 9 a §§ nya rubriker av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	Förhållandet till annan
	dataskyddsreglering
	4 §

9 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Att personuppgifter som be- handlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

392

Behandling av känsliga	Prop. 2017/18:171
personuppgifter	Bilaga 3

9 a §

21 §

Den

personuppgiftsansvarige

Utöver vad som framgår av

ska se till att den registrerade får

artikel 13.1, 13.2, 13.3, 14.1, 14.2

information om

personuppgifts-

och 14.4 i Europaparlamentets och

behandlingen.

rådets

förordning

(EU)

2016/679

Informationen

ska

innehålla

ska den

personuppgiftsansvarige

upplysningar om

enligt denna lag till den registre-

1. vem

som

är

personuppgifts-

rade lämna information om

ansvarig,

2. ändamålen med behandlingen,

3. den

uppgiftsskyldighet som

1. den

uppgiftsskyldighet

som

kan följa av lag eller förordning,

4. de

sekretess- och säkerhets-

2. de

sekretess-

och

säkerhets-

bestämmelser som gäller för upp-

gifterna och behandlingen,

5. rätten att ta del av uppgifterna

3. rätten

enligt

artikel 82 i

enligt 26 §

personuppgiftslagen

Europaparlamentets

och rådets

(1998:204),

förordning

(EU)

2016/679

och

6. rätten enligt 20 §

till rättelse

8 kap.

1 §

lagen

(2018:xx)

med

av oriktiga eller missvisande upp-

kompletterande bestämmelser

till

gifter och till skadestånd vid be-

EU:s

dataskyddsförordning

till

handling av personuppgifter i strid

skadestånd

vid

behandling

med denna lag,

personuppgifter i strid med denna

lag, och

7. vad

som gäller i fråga om

4. vad

som gäller

fråga

sökbegränsningar, och

sökbegränsningar.

8. vad som gäller i fråga om

gallring.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft-

trädandet.

393

Prop. 2017/18:171

Bilaga 4

394

Förteckning över remissinstanser av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning

Riksdagens ombudsmän (JO), Riksrevisionen, Attunda tingsrätt, Kammarrätten i Stockholm, Förvaltningsrätten i Umeå, Förvaltnings- rätten i Falun, Justitiekanslern (JK), Domstolsverket, Åklagarmyndig- heten, Polismyndigheten, Kriminalvården, Rättsmedicinalverket, Myndigheten för samhällsskydd och beredskap (MSB), Datainspek- tionen, Försvarsmakten, Totalförsvarets rekryteringsmyndighet, Försäk- ringskassan. Socialstyrelsen, Inspektionen för vård och omsorg, Läke- medelsverket, Hälso- och sjukvårdens ansvarsnämnd, Myndigheten för familjerätt och föräldraskap, Folkhälsomyndigheten, Myndigheten för vård- och omsorgsanalys, Statens beredning för medicinsk och social utvärdering, Statens institutionsstyrelse, Myndigheten för delaktighet, Barnombudsmannen, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvård- och läkemedelsförmånsverket, Inspektionen för social- försäkringen, Pensionsmyndigheten, E-hälsomyndigheten, Skatteverket, Statistiska centralbyrån, Arbetsgivarverket, Statens tjänstepensionsverk, Vetenskapsrådet, Regionala etikprövningsnämnden i Uppsala, Centrala etikprövningsnämnden, Centrala studiestödsnämnden, Karolinska institutet, Regelrådet, Riksarkivet, Diskrimineringsombudsmannen, Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen, Askersunds kommun, Borgholms kommun, Bräcke kommun, Danderyds kommun, Dorotea kommun, Enköpings kommun, Eskilstunas kommun, Falköpings kommun, Göteborgs kommun, Helsingborgs kommun, Järfälla kommun, Gällivare kommun, Kalmar kommun, Karlskrona , kommun, Luleå kommun, Nacka kommun, Nykvarns kommun, Strömstad kommun, Uppsala kommun, Örebro kommun, Östersunds kommun, Stockholms läns landsting, Uppsala läns landsting, Öster- götlands läns landsting, Jönköpings läns landsting, Kalmar läns landsting, Blekinge läns landsting, Skåne läns landsting, Örebro läns landsting, Västernorrlands läns landsting, Funktionsrätt Sverige, Apoteket AB, Föreningen Sveriges socialchefer, Inera AB, KPA Pension AB, Lika Unika, federationen mänskliga rättigheter för personer med funktionsnedsättning, Läkemedelsindustriföreningen (LIF), Pensionä- rernas riksorganisation (PRO), Privattandläkarna, Riksföreningen för medicinskt ansvariga sjuksköterskor och medicinskt, ansvariga för reha- bilitering (MAS-MAR-föreningen), Riksorganisationen för idéburen vård och omsorg (FAMNA), Svenska kommunalarbetarförbundet, Svenska Läkaresällskapet, Svenska Sjuksköterskeföreningen, Landsorganisa- tionen i Sverige (LO), Svenskt näringsliv, Sveriges Advokatsamfund, Sveriges Akademikers Centralorganisation (SACO), Sveriges Apoteks- förening, Sveriges Företagshälsor, Sveriges Kommuner och Landsting (SKL), Sveriges läkarförbund, Swedish Medtech, Tjänstemännens centralorganisation (TCO), Tjänstetandläkarna, Vårdföretagarna.

Utöver remisslistan har även Dataskydd.net inkommit med synpunkter.

Lagrådsremissens lagförslag

Förslag till lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken dels att 114 kap. 33 och 36 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 114 kap. 33 och 36 §§ ska utgå,

dels att 114 kap. 1, 6, 10–13, 15, 16, 27, 29–31 §§ och rubriken när- mast före 114 kap. 6 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 114 kap. 6 a §, och närmast före 114 kap. 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:171

Bilaga 5

114 kap.

1 §1

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

– personuppgiftslagen och per-	– förhållandet till annan regle-
sonuppgiftsansvar i 6 §,	ring i 6 §,

–personuppgiftsansvar i 6 a §,

–ändamål för behandling av personuppgifter i 7–10 §§,

–behandling av känsliga personuppgifter m.m. i 11–13 §§,

–behandling av personuppgifter i socialförsäkringsdatabasen i 14– 16 §§,

–tilldelning av behörighet i 17 §,

–direktåtkomst i 18–23 §§,

–utlämnande på medium för automatisk behandling i 24–26 a §§,

–sökbegrepp i 27 och 28 §§,

– överföring av	personuppgifter	– överföring av	personuppgifter
till tredje land i 29	§,	till tredjeland i 29	§,
– information i 30 §,
– gallring i 31 §,
– avgifter i 32 §,
– rättelse och skadestånd i 33 §,
– kontrollverksamhet i 34 §,		– kontrollverksamhet i 34 §, och
– tystnadsplikt i 35 §, och		– tystnadsplikt i 35 §.
– överklagande i 36 §.

1 Senaste lydelse 2012:935.

395

Prop. 2017/18:171

Bilaga 5

396

Personuppgiftslagen och	Förhållandet till annan reglering
personuppgiftsansvar

6 §

En myndighet inom socialförsäk- ringens administration är person- uppgiftsansvarig för den behand- ling av personuppgifter som den utför.

Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsför- ordning.

Vid behandling av personupp- gifter enligt detta kapitel gäller lagen (2018:000) med komp- letterande bestämmelser till EU:s dataskyddsförordning och före- skrifter som meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats med stöd av kapitlet.

Personuppgiftsansvar

6 a §

Med socialförsäkringens admi- nistration avses i detta kapitel administration hos Försäkrings- kassan och Pensionsmyndigheten.

					En myndighet inom socialförsäk-					Prop. 2017/18:171
					ringens administration är person-					Bilaga 5
					uppgiftsansvarig för den behand-
					ling av personuppgifter som den
					utför.
				10 §
I fråga om behandling av per-
sonuppgifter för annat ändamål än
vad som anges i 7–9 §§ gäller 9 §
första stycket d och andra stycket
personuppgiftslagen (1998:204).					Personuppgifter		som	behandlas
					Personuppgifter		som	behandlas
					enligt 7–9 §§ får behandlas även
					för andra ändamål, under förut-
					sättning att uppgifterna inte be-
					handlas på ett sätt som är ofören-
					ligt med det ändamål för vilket
					uppgifterna samlades in.
				11 §
Känsliga			personuppgifter som		Personuppgifter		som	avses	i
avses	i	13 § personuppgiftslagen			artikel 9.1 i	EU:s	dataskyddsför-
(1998:204)			(känsliga personupp-		ordning (känsliga personuppgifter)
gifter) får behandlas om uppgift-					får behandlas om uppgifterna läm-
erna lämnats till en myndighet					nats till en myndighet inom social-
inom	socialförsäkringens admini-				försäkringens	administration i			ett
stration i ett ärende eller är nöd-					ärende eller är nödvändiga för
vändiga för handläggning av ett					handläggning av ett ärende. Käns-
ärende.		Känsliga		personuppgifter	liga personuppgifter får vidare be-
får vidare behandlas för något av					handlas för något av de ändamål
de ändamål som anges i 7 § första					som anges i	7 §	första	stycket 1
stycket 1 samt 8 och 9 §§ om det					samt 8 och 9 §§ om det är nöd-
är nödvändigt med hänsyn till					vändigt med hänsyn till ändamålet.
ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får
sådana känsliga personuppgifter behandlas som rör hälsa och som är
nödvändiga med hänsyn till ändamålet.
Utöver vad som följer av första stycket första meningen och andra
stycket får känsliga personuppgifter inte behandlas för de ändamål som
anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ända-
mål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra
sådana känsliga personuppgifter än dem som behandlas eller har behand-
lats för något av de ändamål som anges i 7 § första stycket 2–4.
				12 §
Uppgifter			om	lagöverträdelser	Uppgifter	om	lagöverträdelser
m.m. som avses i 21 § personupp-					som innefattar brott, domar i
giftslagen (1998:204) får behand-					brottmål,	straffprocessuella
las om uppgifterna lämnats till en					tvångsmedel	eller	administrativa
myndighet			inom	socialförsäkring-	frihetsberövanden		får	behandlas		397

om uppgifterna lämnats till en myndighet inom socialförsäkring- ens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöver- trädelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får uppgifter om lagöverträ- delser behandlas som enligt 15 § får behandlas i socialförsäkrings- databasen.

Prop. 2017/18:171

Bilaga 5

398

ens administration i ett ärende eller

är nödvändiga för handläggning av ett ärende. Uppgifter om lagöver- trädelser m.m. som avses i 21 § personuppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

13 §

I 15 § finns särskilda bestäm- melser om behandling i socialför- säkringsdatabasen av känsliga per- sonuppgifter och uppgifter som avses i 12 § första stycket.

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de be- gränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter behandlas i socialförsäkringsdatabasen.

Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personupp- giftslagen (1998:204) får utöver vad som anges i 16 § behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen be- stämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får, utöver vad som anges i 16 §, behandlas i socialförsäk- ringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de be- gränsningar som följer av 11 och 12 §§. Regeringen eller den myn- dighet som regeringen bestämmer meddelar föreskrifter om ytterlig- are begränsningar för vilka upp- gifter som får behandlas i social- försäkringsdatabasen.

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sök- begrepp vid sökning i socialförsäk- ringsdatabasen.

	16 §		Prop. 2017/18:171
Uppgifter i en handling som		Uppgifter i en handling som	Bilaga 5
kommit in i ett ärende får behand-		kommit in i ett ärende får behand-
las i	socialförsäkringsdatabasen	las i socialförsäkringsdatabasen
även om de utgör känsliga person-		även om de utgör känsliga person-
uppgifter eller uppgifter om lag-		uppgifter eller uppgifter som avses
överträdelser m.m. som avses i		i 12 § första stycket. Sådana upp-
21 §	personuppgiftslagen	gifter i en handling som upprättats
(1998:204). Sådana uppgifter i en		i ett ärende får behandlas i social-
handling som upprättats i ett ären-		försäkringsdatabasen, om uppgift-
de får behandlas i socialförsäk-		erna är nödvändiga för ärendets
ringsdatabasen, om uppgifterna är		handläggning.
nödvändiga för ärendets handlägg-
ning.

27 §

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.

29 §
Överföring av personuppgifter	Personuppgifter får föras över
till tredje land på grund av åtagan-	till tredjeland på grund av åtagan-
den i avtal om social trygghet som	den i avtal om social trygghet som
Sverige ingått med andra stater får	Sverige ingått med andra stater,
ske utan hinder av 33 § person-	under förutsättning att villkoren i
uppgiftslagen (1998:204).	kapitel V i EU:s dataskyddsför-
	ordning är uppfyllda.

		30 §
Personuppgifter	i	handlingar	Personuppgifter	i	handlingar
som kommit in i ett ärende eller			som kommit in i ett ärende eller
upprättats i ett ärende behöver inte			upprättats i ett ärende behöver inte
tas med i information		enligt 26 §	tas med i sådan information som
personuppgiftslagen		(1998:204)	avses i artikel 15	i	EU:s data-
om den registrerade tagit del av			skyddsförordning om den regi-
handlingens innehåll. Av informa-			strerade tagit del av handlingens
tionen ska det dock framgå vilka			innehåll. Av informationen ska det
sådana handlingar som behandlas.			dock framgå vilka sådana hand-
Om den registrerade begär infor-			lingar som behandlas. Om den
mation om uppgifter i en sådan			registrerade begär information om
handling och anger	vilken hand-		uppgifter i en sådan handling och			399

Prop. 2017/18:171

Bilaga 5

ling som avses, ska dock informa- tionen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska begränsningen i 26 § personupp- giftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekre- tess.

31 §

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 25 maj 2018.

400

Förslag till lag om ändring i lagen (1996:1156) om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om receptregister1 dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 8 a §, och närmast före 8 a § en ny rubrik av följande lydelse.

Prop. 2017/18:171

Bilaga 5

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till annan reglering
personuppgiftslagen2

3 §3

Personuppgiftslagen (1998:204) gäller för behandling av person- uppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslut- ning till denna lag.

Denna lag kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

1Senaste lydelse av 24 § 2009:370.

2Senaste lydelse 2009:370.

3Senaste lydelse 2009:370.

401

Prop. 2017/18:171

Bilaga 5

7 §4

I fråga om behandling av per- sonuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Behandling av känsliga personuppgifter

8 a §

20 §5

E-hälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgifts- ansvarig,

2.ändamålen med registret,

3.vilka uppgifter registret får innehålla,

4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för registret,

5.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i EU:s dataskyddsförord- ning ska den personuppgiftsan- svarige enligt denna lag till den registrerade lämna information om

1.vilka uppgifter registret får innehålla,

2.de tystnadsplikts- och säker- hetsbestämmelser som gäller för registret,

4 Senaste lydelse 2009:370.

5 Senaste lydelse 2013:1021.

402

6. rätten till rättelse av oriktiga				Prop. 2017/18:171
eller missvisande uppgifter	enligt			Bilaga 5
24 §,
7. rätten till skadestånd	enligt	3. rätten enligt artikel 82 i EU:s
24 §,		dataskyddsförordning	och	7 kap.
		1 § lagen (2018:000) med komp-
		letterande bestämmelser till EU:s
		dataskyddsförordning	till	skade-
		stånd vid behandling av person-
8. de begränsningar i fråga om		uppgifter i strid med denna lag,
		4. de begränsningar i fråga om
sökbegrepp och bevarande av upp-		sökbegrepp som gäller för regi-
gifter som gäller för registret, och		stret, och
9. att registreringen inte är fri-		5. att registreringen	inte	är fri-
villig med undantag för ändamål		villig med undantag för ändamål
enligt 6 § första stycket 2 och 8.		enligt 6 § första stycket 2 och 8.

Denna lag träder i kraft den 25 maj 2018.

403

Prop. 2017/18:171

Bilaga 5

Förslag till lag om ändring i lagen (1998:543) om hälsodataregister

Härigenom föreskrivs i fråga om lagen (1998:543) om hälsodataregi- ster

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till annan reglering
personuppgiftslagen

2 §

Om inget annat följer av denna lag eller föreskrifter som meddel- ats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för hälsodataregister.

Denna lag träder i kraft den 25 maj 2018.

404

Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4 och 7 §§ och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

3 §

Lagen tillämpas inte vid behand-	Lagen tillämpas inte vid behand-
ling av personuppgifter hos dom-	ling av personuppgifter
stolar. Den tillämpas inte heller	1. hos domstolar,
vid behandling av personuppgifter	2. för forsknings- och statistik-
för forsknings- och statistikända-	ändamål, eller
mål.	3. som utförs av behöriga myn-
	digheter för syften som anges i
	brottsdatalagen (2018:000).

Prop. 2017/18:171

Bilaga 5

Förhållandet till	Förhållandet till annan reglering
personuppgiftslagen m.m.

4 §

1 Senaste lydelse 2003:136.

405

Prop. 2017/18:171

Bilaga 5

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga personuppgifter som	2. personuppgifter	som avses i
avses i 13 § personuppgiftslagen	artikel 9.1 i EU:s	dataskyddsför-
(1998:204), samt	ordning (känsliga	personuppgift-
	er), samt

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgift- erna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i förordningen under förut- sättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

Denna lag träder i kraft den 1 augusti 2018 i fråga om 1 och 3 §§ och i övrigt den 25 maj 2018.

406

Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs att 1 kap. 4 §, 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubrikerna närmast före 1 kap. 4 § och 6 kap. 2 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Prop. 2017/18:171

Bilaga 5

1 kap.

Förhållande till personuppgiftslagen

4 §

Bestämmelser i annan lag vilka avviker från bestämmelser i denna lag skall tillämpas med det undan- taget att bestämmelserna i 5 kap. om PKU-registret skall ha före- träde framför bestämmelser i annan lag.

Förhållandet till annan dataskyddsreglering

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data– skyddsförordning och föreskrifter som meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

407

Prop. 2017/18:171

Bilaga 5

4 kap.

4 a §1

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på be- gäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journal- handlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgifts- lagen (1998:204).

Skadestånd m.m. Skadestånd

6 kap.

	2 §2
Huvudmannen	för biobanken	Huvudmannen	för biobanken
skall ersätta en enskild provgivare		ska ersätta en enskild provgivare
för den skada eller kränkning av		för den skada eller kränkning av
den personliga integriteten som ett		den personliga integriteten som ett
förfarande med	vävnadsprover i	förfarande med	vävnadsprover i
strid med denna lag har orsakat		strid med denna lag har orsakat
honom eller henne.		honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behand- ling av personuppgifter enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

3 §3

Inspektionen för vård och om- sorg utövar tillsyn över att denna lag och föreskrifter som har med- delats i anslutning till lagen följs. Den myndighet som är tillsyns- myndighet enligt personuppgifts- lagen (1998:204) utövar dock till-

1Senaste lydelse 2008:358.

2Ändringen innebär bl.a. att tredje stycket tas bort.

3Senaste lydelse 2012:947.

408

syn över den behandling som sker	syn över den behandling som sker	Prop. 2017/18:171
av personuppgifter.	av personuppgifter.	Bilaga 5

Inspektionen för vård och omsorg får förelägga den som bedriver verk- samheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

7 §4

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte över- klagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § person- uppgiftslagen (1998:204) får över- klagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som Inspektionen för vård och omsorg eller allmän förvalt- ningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

Denna lag träder i kraft den 25 maj 2018.

4 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

409

Prop. 2017/18:171

Bilaga 5

Förslag till lag om ändring i lagen (2005:258) om läkemedelsförteckning

Härigenom föreskrivs i fråga om lagen (2005:258) om läkemedelsför- teckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållande till	Förhållandet till annan reglering
personuppgiftslagen

2 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter för läkemedelsförteck- ningen, om inget annat följer av denna lag.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

410

Behandling av känsliga personuppgifter

4 a §

Information som skall lämnas	Information som ska lämnas
självmant	självmant
10 §1
E-hälsomyndigheten ska se till	Utöver vad som framgår av
att den registrerade får informa-	artikel 13.1, 13.2, 13.3, 14.1, 14.2
tion om läkemedelsförteckningen.	och 14.4 i EU:s dataskyddsförord-
Informationen ska innehålla upp-	ning ska den personuppgiftsan-
lysningar om	svarige enligt denna lag till den
1. vem som är personuppgiftsan-	registrerade lämna	information
svarig,	om
2. ändamålet med förteckningen,	1. vilken typ av uppgifter som
3. vilken typ av uppgifter som	1. vilken typ av uppgifter som
ingår i förteckningen,	ingår i förteckningen,
4. de tystnadsplikts- och säker-	2. de tystnadsplikts-	och	säker-
hetsbestämmelser som gäller för	hetsbestämmelser som	gäller för
förteckningen,	förteckningen,
5. rätten att ta del av uppgifter	3. rätten att ta del av uppgifter
enligt 11 §,	enligt 11 §,
6. rätten till rättelse av oriktiga
eller missvisande uppgifter,	4. rätten enligt artikel 82 i EU:s
7. rätten till skadestånd vid be-	4. rätten enligt artikel 82 i EU:s
handling av personuppgifter i strid	dataskyddsförordning	och	7 kap.
med denna lag,	1 § lagen (2018:000)	med	kom-
	pletterande bestämmelser till EU:s
	dataskyddsförordning	till	skade-
	stånd vid behandling av person-
	uppgifter i strid med denna lag,
8. vad som gäller i fråga om sök-	5. vad som gäller i fråga om sök-
begrepp, direktåtkomst och utläm-	begrepp, direktåtkomst och utläm-
nande av uppgifter på medium för	nande av uppgifter på medium för
automatiserad behandling,	automatiserad behandling, och
9. vad som gäller i fråga om
bevarande och gallring, samt

Prop. 2017/18:171

Bilaga 5

1 Senaste lydelse 2013:1023.

411

Prop. 2017/18:171

Bilaga 5

10. att registreringen inte är fri-		6. att registreringen inte är fri-
villig.		villig.
Information som skall lämnas		Information som ska lämnas
efter ansökan		efter ansökan
	11 §
Den registrerade har rätt att när		Den registrerade har rätt att när
som helst och så fort som möjligt		som helst och så fort som möjligt
få sådan information som avses i		få sådan information som avses i
26 §	personuppgiftslagen	artikel 15 i EU:s dataskyddsför-
(1998:204).		ordning.

Denna lag träder i kraft den 25 maj 2018.

412

Förslag till lag om ändring i lagen (2006:351) om genetisk integritet m.m.

Härigenom föreskrivs att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § lagen (2006:351) om genetisk integritet m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Prop. 2017/18:171

Bilaga 5

1 kap.

Förhållandet till personuppgiftslagen

4 §

Om inget annat följer av denna lag eller föreskrifter som meddel- ats med stöd av denna, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Förhållandet till annan dataskyddsreglering

Denna lag träder i kraft den 25 maj 2018.

413

Prop. 2017/18:171

Bilaga 5

Förslag till lag om ändring i lagen (2006:496) om blodsäkerhet

Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet dels att 21 § ska upphöra att gälla,

dels att 5 § ska ha följande lydelse,

dels att rubriken närmast före 4 § ska lyda ”Förhållandet till annan dataskyddsreglering”.

Nuvarande lydelse

Föreslagen lydelse

5 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag träder i kraft den 25 maj 2018.

414

Förslag till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

Härigenom föreskrivs att 12 § lagen (2006:1570) om skydd mot inter- nationella hot mot människors hälsa ska ha följande lydelse.

Prop. 2017/18:171

Bilaga 5

Nuvarande lydelse

Föreslagen lydelse

12 §1

Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) och i lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som meddelats i anslutning till den lagen. Folkhälsomyndigheten och andra berörda myndigheter, kom- muner och landsting får överföra personuppgifter till Världshälso- organisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndig- het, en kommun eller ett landsting

1 Senaste lydelse 2014:1550.

415

Prop. 2017/18:171

Bilaga 5

416

ska kunna fullgöra sin uppgifts- skyldighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla, dels att 8 § ska ha följande lydelse,

dels att rubriken närmast före	6 § ska lyda ”Förhållandet till annan
dataskyddsreglering”.
Nuvarande lydelse	Föreslagen lydelse

8 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Prop. 2017/18:171

Bilaga 5

Denna lag träder i kraft den 25 maj 2018.

417

Prop. 2017/18:171

Bilaga 5

Förslag till lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 §, 10 kap. 2 § och rubriken närmast före 1 kap. 4 § ska ha följ- ande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas en ny paragraf, 2 kap. 7 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

1 §

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagen gäller inte vid behandling av personuppgifter i vårdgivares verksamhet som omfattas av brottsdatalagens (2018:000) tillämpningsområde.

Förhållandet till	Förhållandet till annan
personuppgiftslagen	dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning en- ligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

418

Denna lag kompletterar Euro- paparlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende


på behandling av personuppgift-						Prop. 2017/18:171
er och		om det		fria flödet av		Bilaga 5
sådana uppgifter och om upp-
hävande		av direktiv 95/46/EG
(allmän		dataskyddsförordning),
här benämnd EU:s dataskydds-
förordning, vid sådan behand-
ling	av	personuppgifter			inom
hälso- och sjukvården som är
helt	eller delvis			automatiserad
eller där uppgifterna ingår i eller
är avsedda att ingå i en struktu-
rerad samling av personupp-
gifter som är tillgängliga för
sökning		eller	sammanställning
enligt särskilda kriterier.
Vid behandling av personupp-
gifter som avses i första stycket
gäller lagen			(2018:000)		med
kompletterande				bestämmelser
till	EU:s dataskyddsförordning
och föreskrifter som meddelats i

anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

2 kap.

5 §

7 §

En vårdgivare får behandla en- dast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personupp- giftslagen (1998:204) får endast

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förord- ning. I övrigt gäller att person- uppgifter som behandlas får be- handlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

En vårdgivare får behandla en- dast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser som innefattar brott, domar i

brottmål, straffprocessuella

419

Prop. 2017/18:171

Bilaga 5

behandlas om det är absolut nöd-		tvångsmedel	eller	administrativa
vändigt för ett sådant ändamål.		frihetsberövanden får endast be-
Även en vårdgivare som inte är		handlas om det är absolut nöd-
statlig myndighet, landsting	eller	vändigt för ett sådant ändamål.
kommun får under dessa förutsätt-		Även en vårdgivare som inte är
ningar behandla uppgifter om lag-		statlig myndighet,		landsting	eller
överträdelser m.m. som avses i		kommun får under dessa förutsätt-
21 § personuppgiftslagen.		ningar behandla uppgifter om lag-
		överträdelser.
		7 a §
		Personuppgifter		som avses i
		artikel 9.1 i EU:s dataskyddsför-
		ordning (känsliga personuppgifter)
		får behandlas med stöd av artikel
		9.2 h i förordningen under förut-
		sättning att kravet på tystnadsplikt
		i artikel 9.3 i förordningen är upp-
		fyllt.
		8 §
Känsliga personuppgifter	som	Känsliga	personuppgifter		eller
avses i 13 § personuppgiftslagen		uppgifter om lagöverträdelser som
(1998:204) eller uppgifter om lag-		avses i 7 § får inte användas som
överträdelser m.m. som avses i		sökbegrepp. Inte heller får upp-
21 § samma lag får inte användas		gifter om att någon fått bistånd
som sökbegrepp. Inte heller får		eller varit föremål för andra in-
uppgifter om att någon fått bistånd		satser inom socialtjänsten eller en-
eller varit föremål för andra insat-		ligt utlänningslagen (2005:716)
ser inom socialtjänsten eller enligt		användas som sökbegrepp.
utlänningslagen (2005:716) använ-
das som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om

1 hälsa, eller

2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rätts- psykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots för- budet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra in- satser inom socialtjänsten eller varit föremål för åtgärder enligt utlän- ningslagen som sökbegrepp för att göra vissa slags sammanställningar.

7 kap.

		3 §
	Innan personuppgifter behandlas	Innan personuppgifter behandlas
	i ett nationellt eller regionalt kvali-	i ett nationellt eller regionalt kvali-
420	tetsregister ska den som är person-	tetsregister ska den som är person-
420

uppgiftsansvarig se till att den en- skilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om

1. rätten att när som helst få upp- gifter om sig själv utplånade ur registret,

uppgiftsansvarig se till att den en- skilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv ut- plånade ur registret.

2.i vilken utsträckning person- uppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3.vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgifts- behandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

Uppgifter om hälsa får behand- las i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter får behandlas i nationella och regionala kvalitets- register endast om regeringen eller den myndighet som rege- ringen bestämmer i enskilda fall medger det. Känsliga personupp- gifter får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tyst- nadsplikt i artikel 9.3 i förord- ningen är uppfyllt.

Uppgifter om lagöverträdelser som avses i 2 kap. 7 § får behand-

Prop. 2017/18:171

Bilaga 5

421

Prop. 2017/18:171

Bilaga 5

las i nationella och regionala kva- litetsregister endast om regeringen eller den myndighet som rege- ringen bestämmer i enskilda fall medger det.

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.


En	arkivmyndighet			inom	ett	En	arkivmyndighet			inom	ett
landsting eller en kommun får						landsting eller en kommun får
dock föreskriva att personuppgifter						dock föreskriva att personuppgifter
i ett nationellt eller regionalt kvali-						i ett nationellt eller regionalt kvali-
tetsregister som förs inom lands-						tetsregister som förs inom lands-
tinget eller kommunen får bevaras						tinget eller kommunen får bevaras
för historiska,		statistiska			eller	för arkivändamål av allmänt in-
vetenskapliga ändamål.						tresse, vetenskapliga eller histori-
						ska forskningsändamål eller stati-
Om regeringen eller den myn-						stiska ändamål.
						Om regeringen eller den myn-
dighet	regeringen		bestämt		har	dighet	regeringen		bestämt		har
meddelat föreskrifter				enligt	7 §	meddelat föreskrifter				enligt	7 §
andra stycket, får regeringen eller						andra stycket, får regeringen eller
myndigheten också			föreskriva att			myndigheten också			föreskriva		att
personuppgifter		får	bevaras		för	personuppgifter		får	bevaras		för
historiska, statistiska eller veten-						arkivändamål av allmänt intresse,
skapliga ändamål.						vetenskapliga		eller		historiska
						forskningsändamål eller statistiska
						ändamål.

8 kap.

6 §

	Den som är personuppgiftsan-	Utöver vad som framgår av
	svarig enligt denna lag ska se till	artikel 13.1, 13.2, 13.3, 14.1, 14.2
	att den registrerade får informa-	och 14.4 i EU:s dataskyddsförord-
	tion om personuppgiftsbehandling-	ning ska den personuppgiftsan-
	en.	svarige enligt denna lag till den
	Informationen ska innehålla	registrerade lämna information
	upplysningar om	om
	1. vem som är personuppgiftsan-
	svarig,
	2. ändamålet med behandlingen,
	3. vilka kategorier av uppgifter
	som behandlas,
	4. den uppgiftsskyldighet som	1. den uppgiftsskyldighet som
	kan följa av lag eller förordning,	kan följa av lag eller förordning,
	5. de sekretess- och säkerhetsbe-	2. de sekretess- och säkerhetsbe-
	stämmelser som gäller för uppgift-	stämmelser som gäller för uppgift-
422	erna och behandlingen,	erna och behandlingen,
422

6. rätten enligt		4 kap. 4 §	att i	3. rätten	enligt 4 kap. 4 § att i			Prop. 2017/18:171
vissa fall begära att uppgifter				vissa fall	begära att	uppgifter		Bilaga 5
spärras,				spärras,
7. rätten enligt		5 § att få infor-		4. rätten	enligt 5 § att få infor-
mation om den direktåtkomst och				mation om den direktåtkomst och
elektroniska åtkomst som före-				elektroniska åtkomst som före-
kommit,				kommit,
8. rätten att ta del av uppgifter
enligt 26 §	personuppgiftslagen
(1998:204),
9. rätten till rättelse och under-
rättelse av tredje man enligt 28 §
personuppgiftslagen,
10. rätten	enligt 10 kap. 1 § till			5. rätten enligt artikel 82 i EU:s
skadestånd	vid	behandling	av	dataskyddsförordning och			7 kap.
personuppgifter i strid med denna				1 § lagen	(2018:000)	med	kom-
lag,				pletterande bestämmelser till EU:s
				dataskyddsförordning		till	skade-
				stånd vid behandling av person-
				uppgifter i strid med denna lag,
				och
11. vad som gäller i fråga om				6. vad som gäller i fråga om sök-
sökbegrepp, direktåtkomst och ut-				begrepp, direktåtkomst och ut-
lämnande av uppgifter på medium				lämnande av uppgifter på medium
för automatiserad behandling,				för automatiserad behandling.

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgiftsbe- handlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

10 kap.

2 §1

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets- och sekretesslagen (2009:400).

Vid sådan behandling av per- sonuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om

1 Senaste lydelse 2012:954. Ändringen innebär att tredje stycket tas bort.

423

Prop. 2017/18:171

Bilaga 5

424

överklagande i 51–53 §§ person- uppgiftslagen (1998:204).

Övriga beslut enligt denna lag får inte överklagas.

Denna lag träder i kraft den 1 augusti 2018 i fråga om 1 kap. 1 § och i övrigt den 25 maj 2018.

Förslag till lag om ändring i apoteksdatalagen (2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367) dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

Prop. 2017/18:171

Bilaga 5

Nuvarande lydelse

Föreslagen lydelse

Förhållande till personuppgiftslagen

5 §

Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslut- ning till denna lag.

Förhållandet till reglering

9 §
I fråga om behandling av per-
sonuppgifter för annat ändamål än
vad som anges i 8 § gäller 9 §
första stycket d och andra stycket
personuppgiftslagen (1998:204).	425