Regeringens proposition 2017/18:171

Dataskydd inom Socialdepartementets

Prop.

verksamhetsområde - en anpassning till EU:s

2017/18:171

dataskyddsförordning

 

Regeringen överlämnar denna proposition till riksdagen.

Linköping den 15 mars 2018

Stefan Löfven

Lena Hallengren

(Socialdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag som syftar till att anpassa lagar inom Socialdepartementets verksamhetsområde till EU:s nya dataskydds- förordning. Förslagen innebär att lagarna om personuppgiftsbehandling i de berörda verksamheterna ska utgöra kompletteringar till dataskydds- förordningen och den nya generella dataskyddslagen. Hänvisningar till personuppgiftslagen (1998:204) tas bort och ersätts i vissa fall av hän- visningar till dataskyddsförordningen och dataskyddslagen. Vidare före- slås t.ex. att bestämmelser om rättelse och skadestånd ska tas bort efter- som sådant i stället kommer att regleras av dataskyddsförordningen och dataskyddslagen.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

1

Prop. 2017/18:171 Innehållsförteckning

1

Förslag till riksdagsbeslut .................................................................

9

2

Lagtext

............................................................................................

 

10

 

2.1

Förslag till lag om ändring i socialförsäkringsbalken .......

10

 

2.2

Förslag till lag om ändring i lagen (1996:1156) om

 

 

 

receptregister ....................................................................

16

 

2.3

Förslag till lag om ändring i lagen (1998:543) om

 

 

...............................................................

hälsodataregister

19

 

2.4

Förslag till lag om ändring i lagen (2001:454) om

 

 

.........

behandling av personuppgifter inom socialtjänsten

20

 

2.5

Förslag till lag om ändring i lagen (2002:297) om

 

 

............................

biobanker i hälso - och sjukvården m.m

22

 

2.6

Förslag till lag om ändring i lagen (2005:258) om

 

 

......................................................

läkemedelsförteckning

25

 

2.7

Förslag till lag om ändring i lagen (2006:351) om

 

 

.....................................................

genetisk integritet m.m

28

 

2.8

Förslag till lag om ändring i lagen (2006:496) om

 

 

.....................................................................

blodsäkerhet

29

 

2.9

Förslag till lag om ändring i lagen (2006:1570) om

 

 

.......

skydd mot internationella hot mot människors hälsa

30

 

2.10

Förslag till lag om ändring i lagen (2008:286) om

 

 

 

kvalitets - och säkerhetsnormer vid hantering av

 

 

.........................................

mänskliga vävnader och celler

32

 

2.11

Förslag till lag om ändring i patientdatalagen

 

 

........................................................................

(2008:355)

33

 

2.12

Förslag till lag om ändring i apoteksdatalagen

 

 

........................................................................

(2009:367)

40

 

2.13

Förslag till lag om ändring i lagen (2010:111) om

 

 

...............................

införande av socialförsäkringsbalken

43

 

2.14

Förslag till lag om ändring i alkohollagen

 

 

......................................................................

(2010:1622)

44

 

2.15

Förslag till lag om ändring i lagen (2012:263) om

 

 

 

kvalitets - och säkerhetsnormer vid hantering av

 

 

...............................................................

mänskliga organ

45

 

2.16

Förslag till lag om ändring i lagen (2012:453) om

 

 

...................

register över nationella vaccinationsprogram

46

 

2.17

Förslag till lag om ändring i lagen (2016:526) om

 

 

 

behandling av personuppgifter i ärenden om licens

 

 

....................................................................

för läkemedel

49

3

Ärendet ............................................................och dess beredning

52

4

Något om ....................................................................gällande rätt

52

 

4.1 ....................................

Internationella överenskommelser

52

 

...........................................

4.1.1

Förenta nationerna

52

 

 

4.1.2

OECD53

 

 

4.2 .........................................................................

Europarätt

 

53

 

.....................................................

4.2.1

Europarådet

53

2

.........................................

4.2.2

Europeiska unionen

54

4.3 ........................................................................

Svensk rätt

56

 

 

4.3.1

Regeringsformen ............................................

56

Prop. 2017/18:171

 

 

4.3.2

Dataskyddsdirektivets genomförande –

 

 

 

 

 

personuppgiftslagen........................................

56

 

5

Utgångspunkter för lagstiftningsärendet ........................................

56

 

 

5.1

EU:s dataskyddsreform ...................................................

56

 

5.2Behandling av personuppgifter som i dag är laglig bör kunna fortsätta men författningsstöd för annan

behandling bör inte införas nu .........................................

58

5.3Författningsreglering som motsvarar bestämmelser i

 

 

dataskyddsförordningen bör behållas om det blir

 

 

 

tydligare...........................................................................

61

 

5.4

Myndigheter och verksamheter som inte har

 

 

 

registerförfattningar.........................................................

63

6

Allmänna överväganden.................................................................

68

6.1Nationella bestämmelser anpassar tillämpningen av

 

bestämmelserna i dataskyddsförordningen......................

68

6.2

Registerförfattningarnas tillämpningsområde..................

70

6.3Registerförfattningarnas förhållande till annan

 

dataskyddsreglering.........................................................

71

6.4

Principer för personuppgiftsbehandling ..........................

75

6.5

Rättslig grund för behandling av personuppgifter ...........

76

 

6.5.1

Laglig behandling av personuppgifter vid

 

 

 

rättslig förpliktelse, allmänt intresse och

 

 

 

myndighetsutövning .......................................

76

 

6.5.2

Samtycke som rättslig grund ..........................

84

 

6.5.3

Finalitetsprincipen ..........................................

88

6.6

Känsliga personuppgifter.................................................

91

6.6.1Förbud mot att behandla känsliga personuppgifter och möjligheterna till

undantag .........................................................

91

6.6.2Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt

 

skydd .............................................................

93

6.6.3

Undantag för viktiga allmänna intressen ........

94

6.6.4Undantag för hälso- och sjukvård samt

 

social omsorg..................................................

97

6.6.5

Undantag för folkhälsoområdet ....................

107

6.6.6Fler uppgifter blir känsliga

 

 

personuppgifter.............................................

109

6.7

Uppgifter om lagöverträdelser.......................................

113

6.8

Den registrerades rättigheter..........................................

117

 

6.8.1

Utökade rättigheter för registrerade..............

117

6.8.2Begränsningar av den registrerades

 

 

rättigheter......................................................

128

6.9

Skyddsåtgärder ..............................................................

134

 

6.9.1

Den generella regleringen av åtgärder

 

 

 

som begränsar behandlingen av

 

 

 

personuppgifter.............................................

134

3

Prop. 2017/18:171

6.9.2

Bestämmelser om skyddsåtgärder i

 

 

 

registerförfattningar.......................................

136

6.10

Gallring och bevarande ..................................................

142

6.11

Sanktioner ......................................................................

147

 

6.11.1

Skadestånd.....................................................

147

 

6.11.2

Administrativa sanktionsavgifter...................

150

6.12

Överklagande av beslut som fattats av en myndighet

 

 

i egenskap av personuppgiftsansvarig ............................

152

7 Särskilda överväganden och förslag som rör lagar inom

 

Socialdepartementets verksamhetsområde....................................

154

7.1

Patientdatalagen (2008:355)...........................................

154

 

7.1.1

Lagens tillämpningsområde...........................

154

 

7.1.2

Förhållandet till annan

 

 

 

dataskyddsreglering.......................................

158

 

7.1.3

Samtycke som grund för behandlingen .........

159

 

7.1.4

Ändrad hänvisning i fråga om

 

 

 

finalitetsprincipen..........................................

160

 

7.1.5

Personuppgifter som får behandlas i fråga

 

 

 

om uppgifter om lagöverträdelser..................

161

 

7.1.6

Känsliga personuppgifter...............................

161

 

7.1.7

Sökbegränsningar ..........................................

163

 

7.1.8

Nationella och regionala kvalitetsregister .....

164

 

7.1.9

Rättigheter för den enskilde...........................

168

 

7.1.10

Skadestånd.....................................................

171

 

7.1.11

Bestämmelsen om överklagande upphävs .....

171

7.2

Apoteksdatalagen (2009:367).........................................

172

 

7.2.1

Förhållandet till annan reglering....................

172

 

7.2.2

Den enskildes inställning till behandling

 

 

 

av personuppgifter.........................................

172

 

7.2.3

Ändrad hänvisning i fråga om

 

 

 

finalitetsprincipen..........................................

175

 

7.2.4

Känsliga personuppgifter...............................

175

 

7.2.5

Bestämmelsen om rättelse och skadestånd

 

 

 

upphävs..........................................................

176

 

7.2.6

Information som ska lämnas självmant .........

177

7.3

Lagen (2016:526) om behandling av personuppgifter

 

 

i ärenden om licens för läkemedel..................................

178

 

7.3.1

Förhållandet till annan reglering....................

178

 

7.3.2

Ändrad hänvisning i fråga om

 

 

 

finalitetsprincipen..........................................

179

 

7.3.3

Känsliga personuppgifter...............................

179

 

7.3.4

Bestämmelsen om rättelse och skadestånd

 

 

 

upphävs..........................................................

181

 

7.3.5

Information som ska lämnas självmant .........

181

7.4

Lagen (2001:454) om behandling av personuppgifter

 

 

inom socialtjänsten.........................................................

183

 

7.4.1

Lagens tillämpningsområde...........................

183

 

7.4.2

Förhållandet till annan reglering....................

184

 

7.4.3

Känsliga personuppgifter...............................

185

4

 

 

 

7.4.4Bestämmelsen om rättelse och skadestånd

 

 

upphävs.........................................................

187

 

7.4.5

Bestämmelsen om överklagande upphävs ....

187

7.5

Socialförsäkringsbalken ................................................

188

 

7.5.1

Bestämmelsen om tillämpningsområdet

 

 

 

behålls...........................................................

188

 

7.5.2

Rätten att invända mot behandling av

 

 

 

personuppgifter.............................................

188

 

7.5.3

Förhållandet till annan reglering...................

190

 

7.5.4

Bestämmelsen om personuppgiftsansvar

 

 

 

placeras i en egen paragraf ...........................

190

 

7.5.5

Ändrad hänvisning i fråga om

 

 

 

finalitetsprincipen .........................................

192

 

7.5.6

Känsliga personuppgifter och uppgifter

 

 

 

om lagöverträdelser ......................................

193

 

7.5.7

Sökbegränsningar .........................................

195

 

7.5.8

Överföring av personuppgifter till

 

 

 

tredjeländer...................................................

196

 

7.5.9

Bestämmelsen om gallring får ändrad

 

 

 

lydelse...........................................................

198

 

7.5.10

Information som ska lämnas på begäran.......

198

7.5.11Bestämmelsen om rättelse och skadestånd

 

upphävs.........................................................

200

7.5.12

Bestämmelsen om överklagande upphävs ....

200

7.5.13Automatiserade beslut i

socialförsäkringsbalken ................................

200

7.6Lagen (2010:111) om införande av

 

socialförsäkringsbalken .................................................

202

7.7

Lagen (1996:1156) om receptregister............................

203

 

7.7.1

Förhållandet till annan reglering...................

203

 

7.7.2

Känsliga personuppgifter..............................

204

 

7.7.3

Den enskildes inställning till behandling

 

 

 

av personuppgifter ........................................

205

 

7.7.4

Ändrad hänvisning i fråga om

 

 

 

finalitetsprincipen .........................................

206

 

7.7.5

Information som ska lämnas självmant ........

207

7.7.6Bestämmelsen om rättelse och skadestånd

 

 

upphävs.........................................................

209

7.8

Lagen (2005:258) om läkemedelsförteckning ...............

209

 

7.8.1

Förhållandet till annan reglering...................

209

 

7.8.2

Känsliga personuppgifter..............................

209

 

7.8.3

Bestämmelsen om återkallelse av

 

 

 

samtycke upphävs.........................................

210

 

7.8.4

Information som ska lämnas självmant ........

211

 

7.8.5

Information som ska lämnas på begäran.......

213

 

7.8.6

Bestämmelsen om rättelse och skadestånd

 

 

 

upphävs.........................................................

214

7.9

Lagen (1998:543) om hälsodataregister ........................

214

 

7.9.1

Förhållandet till annan reglering...................

214

7.9.2Bestämmelsen om rättelse och skadestånd

upphävs.........................................................

214

Prop. 2017/18:171

5

Prop. 2017/18:171

6

7.10Lagen (2012:453) om register över nationella

vaccinationsprogram ......................................................

215

7.10.1

Förhållandet till annan reglering....................

215

7.10.2Ändrad hänvisning i fråga om

finalitetsprincipen..........................................

215

7.10.3Bestämmelsen om rättelse och skadestånd

 

upphävs..........................................................

216

7.10.4

Information som ska lämnas självmant .........

216

7.11Lagen (2002:297) om biobanker i hälso- och

 

sjukvården m.m. .............................................................

218

 

7.11.1

Förhållandet till annan

 

 

 

dataskyddsreglering.......................................

218

 

7.11.2

Hänvisning till personuppgiftslagen i

 

 

 

bestämmelsen om utlämnande av

 

 

 

journalhandling upphävs ...............................

219

 

7.11.3

Bestämmelsen om rättelse och skadestånd

 

 

 

upphävs..........................................................

221

 

7.11.4

Hänvisning till personuppgiftslagen i

 

 

 

bestämmelsen om tillsyn ändras....................

221

 

7.11.5

Bestämmelsen om överklagande upphävs .....

222

7.12

Lagen (2006:351) om genetisk integritet m.m. ..............

223

 

7.12.1

Förhållandet till annan

 

 

 

dataskyddsreglering.......................................

223

7.13

Lagen (2006:496) om blodsäkerhet................................

223

 

7.13.1

Förhållandet till annan

 

 

 

dataskyddsreglering.......................................

223

 

7.13.2

Bestämmelsen om rättelse och skadestånd

 

 

 

upphävs..........................................................

224

7.14Lagen (2008:286) om kvalitets- och säkerhetsnormer

vid hantering av mänskliga vävnader och celler.............

224

7.14.1

Förhållandet till annan

 

 

dataskyddsreglering.......................................

224

7.14.2Bestämmelsen om rättelse och skadestånd

upphävs..........................................................

224

7.15Lagen (2012:263) om kvalitets- och säkerhetsnormer

vid hantering av mänskliga organ...................................

225

7.15.1

Förhållandet till annan

 

 

dataskyddsreglering.......................................

225

7.15.2Bestämmelsen om rättelse och skadestånd

upphävs..........................................................

225

7.16Lagen (2006:1570) om skydd mot internationella hot

 

mot människors hälsa .....................................................

226

 

7.16.1

Hänvisningar till personuppgiftslagen i en

 

 

 

paragraf ändras ..............................................

226

7.17

Alkohollagen (2010:1622) .............................................

229

 

7.17.1

Bestämmelsen om rättelse och skadestånd

 

 

 

upphävs..........................................................

229

8 Ikraftträdande- och övergångsbestämmelser.................................

229

8.1

Ikraftträdande .................................................................

229

8.2

Övergångsbestämmelser.................................................

230

9

Konsekvenser

...............................................................................

233

Prop. 2017/18:171

 

9.1.1

Allmänna konsekvenser ................................

233

 

10

Författningskommentar ................................................................

234

 

10.1Förslaget till lag om ändring i

socialförsäkringsbalken .................................................

234

10.2Förslaget till lag om ändring i lagen (1996:1156) om

receptregister .................................................................

238

10.3Förslaget till lag om ändring i lagen (1998:543) om

hälsodataregister............................................................

239

10.4Förslaget till lag om ändring i lagen (2001:454) om

behandling av personuppgifter inom socialtjänsten.......

240

10.5Förslaget till lag om ändring i lagen (2002:297) om

biobanker i hälso- och sjukvården m.m.........................

241

10.6Förslaget till lag om ändring i lagen (2005:258) om

läkemedelsförteckning...................................................

242

10.7Förslaget till lag om ändring i lagen (2006:351) om

genetisk integritet m.m. .................................................

244

10.8Förslaget till lag om ändring i lagen (2006:496) om

blodsäkerhet...................................................................

244

10.9Förslaget till lag om ändring i lagen (2006:1570) om

skydd mot internationella hot mot människors hälsa..... 244

10.10Förslaget till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av

mänskliga vävnader och celler ......................................

245

10.11Förslaget till lag om ändring i patientdatalagen

(2008:355) .....................................................................

245

10.12Förslaget till lag om ändring i apoteksdatalagen

(2009:367) .....................................................................

249

10.13Förslaget till lag om ändring i lagen (2010:111) om

införande av socialförsäkringsbalken ............................

250

10.14Förslaget till lag om ändring i alkohollagen

(2010:1622) ...................................................................

250

10.15Förslaget till lag om ändring i lagen (2012:263) om

kvalitets- och säkerhetsnormer vid hantering av

 

mänskliga organ ............................................................

251

10.16Förslaget till lag om ändring i lagen (2012:453) om

register över nationella vaccinationsprogram................

251

10.17Förslaget till lag om ändring i lagen (2016:526) om

 

behandling av personuppgifter i ärenden om licens

 

 

för läkemedel.................................................................

252

Bilaga 1

EUROPAPARLAMENTETS OCH RÅDETS

 

 

FÖRORDNING (EU) 2016/679 av den 27 april

 

 

2016 om skydd för fysiska personer med avseende

 

 

på behandling av personuppgifter och om det fria

 

 

flödet av sådana uppgifter och om upphävande av

 

 

direktiv 95/46/EG (allmän dataskyddsförordning) ........

254

7

Prop. 2017/18:171 Bilaga 2

Sammanfattning av betänkandet Dataskydd inom

 

 

Socialdepartementets verksamhetsområde – en

 

 

anpassning till EU:s dataskyddsförordning (SOU

 

 

2017:66) .........................................................................

342

Bilaga 3

Lagförslag till betänkandet Dataskydd inom

 

 

Socialdepartementets verksamhetsområde – en

 

 

anpassning till EU:s dataskyddsförordning

 

 

(SOU 2017:66) ...............................................................

352

Bilaga 4

Förteckning över remissinstanser av betänkandet

 

 

SOU 2017:66 Dataskydd inom Socialdepartementets

 

 

verksamhetsområde – en anpassning till EU:s

 

 

dataskyddsförordning .....................................................

394

Bilaga 5

Lagrådsremissens lagförslag ..........................................

395

Bilaga 6

Lagrådets yttrande ..........................................................

437

Utdrag ur protokoll vid regeringssammanträde den 15 mars 2018.......

442

8

1

Förslag till riksdagsbeslut

Prop. 2017/18:171

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om ändring i socialförsäkringsbalken,

2.lag om ändring i lagen (1996:1156) om receptregister,

3.lag om ändring i lagen (1998:543) om hälsodataregister,

4.lag om ändring i lagen (2001:454) om behandling av person- uppgifter inom socialtjänsten,

5.lag om ändring i lagen (2002:297) om biobanker i hälso- och

sjukvården m.m.,

6.lag om ändring i lagen (2005:258) om läkemedelsförteckning,

7.lag om ändring i lagen (2006:351) om genetisk integritet m.m.,

8.lag om ändring i lagen (2006:496) om blodsäkerhet,

9.lag om ändring i lagen (2006:1570) om skydd mot internationella

hot mot människors hälsa,

10.lag om ändring i lagen (2008:286) om kvalitets- och säkerhets- normer vid hantering av mänskliga vävnader och celler,

11.lag om ändring i patientdatalagen (2008:355),

12.lag om ändring i apoteksdatalagen (2009:367),

13.lag om ändring i lagen (2010:111) om införande av socialförsäk-

ringsbalken,

14.lag om ändring i alkohollagen (2010:1622),

15.lag om ändring i lagen (2012:263) om kvalitets- och säkerhets- normer vid hantering av mänskliga organ,

16.lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram,

17.lag om ändring i lagen (2016:526) om behandling av person- uppgifter i ärenden om licens för läkemedel.

9

Prop. 2017/18:171 2

Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken dels att 114 kap. 33 och 36 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 114 kap. 33 och 36 §§ ska utgå,

dels att 114 kap. 1, 2, 6, 10–13, 15, 16, 27, 29–31 §§ och rubrikerna närmast före 114 kap. 6 och 29 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 114 kap. 6 a §, och närmast före 114 kap. 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

114 kap.

1 §1

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

– förhållandet till annan regle- ring i 6 §,

– personuppgiftslagen och per- – personuppgiftsansvar i 6 a §, sonuppgiftsansvar i 6 §,

ändamål för behandling av personuppgifter i 7–10 §§,

behandling av känsliga personuppgifter m.m. i 11–13 §§,

behandling av personuppgifter i socialförsäkringsdatabasen i 14– 16 §§,

tilldelning av behörighet i 17 §,

direktåtkomst i 18–23 §§,

utlämnande på medium för automatisk behandling i 24–26 a §§,

sökbegrepp i 27 och 28 §§,

överföring av

personuppgifter

överföring av

personuppgifter

till tredje land i 29

§,

till tredjeland i 29

§,

– information i 30 §,

 

 

– gallring i 31 §,

 

 

 

– avgifter i 32 §,

 

 

 

– rättelse och skadestånd i 33 §,

 

 

kontrollverksamhet i 34 §,

– kontrollverksamhet i 34 §, och

– tystnadsplikt i 35 §, och

– tystnadsplikt i 35 §.

överklagande i 36 §.

 

 

1 Senaste lydelse 2012:935.

10

2 §

 

 

 

 

Prop. 2017/18:171

Detta kapitel tillämpas vid be-

Detta kapitel tillämpas vid be-

handling av personuppgifter i

handling

av

personuppgifter

i

verksamhet som gäller förmåner

verksamhet som gäller

förmåner

enligt denna balk, samt andra för-

enligt denna balk, samt andra för-

måner och ersättningar som enligt

måner och ersättningar som enligt

lag eller förordning eller särskilt

lag eller förordning eller särskilt

beslut av regeringen handläggs av

beslut av regeringen handläggs av

Försäkringskassan eller Pensions-

Försäkringskassan eller

Pensions-

myndigheten.

myndigheten.

Med socialförsäk-

 

ringens

administration

avses

i

 

detta kapitel

administration hos

 

dessa myndigheter.

 

 

Kapitlet gäller endast om behandlingen är helt eller delvis automati- serad eller om uppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 7–16, 27, 28 och 31 §§ gäller i tillämpliga delar även

uppgifter om avlidna personer.

 

Personuppgiftslagen och

Förhållandet till annan reglering

personuppgiftsansvar

 

6 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialförsäkringens administration, om inte annat följer av detta kapitel eller före- skrifter som meddelas med stöd av kapitlet eller av personuppgifts- lagen. Med socialförsäkringens administration avses i detta kapitel Försäkringskassan och Pensions- myndigheten.

En myndighet inom socialförsäk- ringens administration är person- uppgiftsansvarig för den behand- ling av personuppgifter som den utför.

Detta

kapitel

 

innehåller

 

bestämmelser som

kompletterar

 

Europaparlamentets

och rådets

 

förordning (EU) 2016/679 av den

 

27 april 2016 om skydd för fysiska

 

personer

med

avseende på

 

behandling av personuppgifter och

 

om det fria flödet av sådana

 

uppgifter och om upphävande av

 

direktiv

95/46/EG

(allmän

11

 

 

 

 

Prop. 2017/18:171

dataskyddsförordning),

här

be-

 

nämnd

EU:s

dataskyddsför-

 

ordning.

 

 

 

 

 

Vid behandling av personupp-

 

gifter enligt detta kapitel gäller

 

lagen (2018:000) med komp-

 

letterande

bestämmelser till

EU:s

 

dataskyddsförordning

och

före-

skrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Personuppgiftsansvar

6 a §

En myndighet inom socialförsäk- ringens administration är person- uppgiftsansvarig för den behand- ling av personuppgifter som den utför.

10 §

I fråga om behandling av per- sonuppgifter för annat ändamål än vad som anges i 7–9 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter som behandlas enligt 7–9 §§ får behandlas även för andra ändamål, under förut- sättning att uppgifterna inte be- handlas på ett sätt som är ofören- ligt med det ändamål för vilket uppgifterna samlades in.

11 §

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personupp- gifter) får behandlas om uppgift- erna lämnats till en myndighet inom socialförsäkringens admini- stration i ett ärende eller är nöd- vändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas om uppgifterna läm- nats till en myndighet inom social- försäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Käns- liga personuppgifter får vidare be- handlas för något av de ändamål som anges i 7 § första stycket 1

12

Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkring- ens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöver- trädelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får uppgifter om lagöverträ- delser behandlas som enligt 15 § får behandlas i socialförsäkrings- databasen.

stycket 1 samt 8 och 9 §§ om det

samt 8 och 9 §§ om det är nöd-

är nödvändigt med hänsyn till

vändigt med hänsyn till ändamålet.

ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ända- mål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behand- lats för något av de ändamål som anges i 7 § första stycket 2–4.

12 §

Uppgifter om lagöverträdelser m.m. som avses i 21 § personupp- giftslagen (1998:204) får behand- las om uppgifterna lämnats till en myndighet inom socialförsäkring- ens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöver- trädelser m.m. som avses i 21 § personuppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lag- överträdelser m.m. som avses i 21 § personuppgiftslagen behand- las som enligt 15 § får behandlas i socialförsäkringsdatabasen.

Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

13 §

I 15 § finns särskilda bestäm- melser om behandling i socialför- säkringsdatabasen av känsliga per- sonuppgifter och uppgifter om lag- överträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).

I 15 § finns särskilda bestäm- melser om behandling i socialför- säkringsdatabasen av känsliga per- sonuppgifter och uppgifter som avses i 12 § första stycket.

Prop. 2017/18:171

13

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sök- begrepp vid sökning i socialförsäk- ringsdatabasen.

Prop. 2017/18:171

 

 

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de be-

gränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter

behandlas i socialförsäkringsdatabasen.

Känsliga

personuppgifter

eller

Känsliga personuppgifter eller

uppgifter

om

lagöverträdelser

uppgifter som avses i 12 § första

m.m. som avses i 21 § personupp-

stycket får, utöver vad som anges i

giftslagen

(1998:204) får

utöver

16 §, behandlas i socialförsäk-

vad som anges i 16 § behandlas i

ringsdatabasen bara om det särskilt

socialförsäkringsdatabasen

bara

anges i lag eller förordning. För

om det särskilt anges i lag eller

sådan behandling gäller de be-

förordning. För

sådan behandling

gränsningar som följer av 11 och

gäller de begränsningar som följer

12 §§. Regeringen eller den myn-

av 11 och 12 §§. Regeringen eller

dighet som regeringen bestämmer

den myndighet som regeringen be-

meddelar föreskrifter om ytterlig-

stämmer meddelar föreskrifter om

are begränsningar för vilka upp-

ytterligare begränsningar för vilka

gifter som får behandlas i social-

uppgifter som får behandlas i

försäkringsdatabasen.

socialförsäkringsdatabasen.

 

 

 

 

 

16 §

Uppgifter i en handling som kommit in i ett ärende får behand- las i socialförsäkringsdatabasen även om de utgör känsliga person- uppgifter eller uppgifter om lag- överträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ären- de får behandlas i socialförsäk- ringsdatabasen, om uppgifterna är nödvändiga för ärendets handlägg- ning.

Uppgifter i en handling som kommit in i ett ärende får behand- las i socialförsäkringsdatabasen även om de utgör känsliga person- uppgifter eller uppgifter som avses i 12 § första stycket. Sådana upp- gifter i en handling som upprättats i ett ärende får behandlas i social- försäkringsdatabasen, om uppgift- erna är nödvändiga för ärendets handläggning.

27 §

Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdata- basen

Vid sökning som omfattar innehållet i fler än en handling i socialför- säkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.

14

Överföring av personuppgifter

Överföring av personuppgifter

Prop. 2017/18:171

till tredje land

till tredjeland

 

29 §

 

Överföring av personuppgifter

Personuppgifter får föras över

 

till tredje land på grund av åtagan-

till tredjeland på grund av åtagan-

 

den i avtal om social trygghet som

den i avtal om social trygghet som

 

Sverige ingått med andra stater får

Sverige ingått med andra stater.

 

ske utan hinder av 33 § person-

 

 

uppgiftslagen (1998:204).

 

 

30 §

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen (1998:204) om den registrerade tagit del av handlingens innehåll. Av informa- tionen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär infor- mation om uppgifter i en sådan handling och anger vilken hand- ling som avses, ska dock informa- tionen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska begränsningen i 26 § personupp- giftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information som avses i artikel 15 i EU:s data- skyddsförordning om den regi- strerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana hand- lingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekre- tess.

31 §

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att uppgifter får bevaras för historiska, statisti- ska eller vetenskapliga ändamål.

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 25 maj 2018.

15

Prop. 2017/18:171 2.2

Förslag till lag om ändring i lagen (1996:1156)

 

om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om receptregister1 dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubrikerna närmast före 3 och 7 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 8 a §, och närmast före 8 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till annan reglering

personuppgiftslagen2

 

3 §3

Personuppgiftslagen (1998:204) gäller för behandling av person- uppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslut- ning till denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av

1Senaste lydelse av 24 § 2009:370.

2Senaste lydelse 2009:370.

3Senaste lydelse 2009:370.

16

 

denna lag eller föreskrifter som Prop. 2017/18:171

 

har meddelats i anslutning till

 

lagen.

Personuppgiftsbehandling för

Personuppgiftsbehandling för

annat ändamål

andra ändamål

7 §4

I fråga om behandling av per- sonuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter som behandlas i receptregistret får behandlas även för andra ändamål, under förut- sättning att uppgifterna inte be- handlas på ett sätt som är oför- enligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

8 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av ar- tikel 9.2 h i förordningen under förutsättning att kravet på tyst- nadsplikt i artikel 9.3 i förord- ningen är uppfyllt.

 

 

 

20 §5

 

 

E-hälsomyndigheten ska se till

Utöver vad som framgår av

att den enskilde får information

artiklarna 13 och

14 i

EU:s

om personuppgiftsbehandlingen.

dataskyddsförordning ska den som

Informationen

ska

innehålla

är personuppgiftsansvarig

enligt

upplysningar om

 

 

denna lag lämna information till

1. vem

som är

personuppgifts-

den registrerade om

 

 

ansvarig,

 

 

 

 

 

 

2. ändamålen med registret,

 

 

 

3. vilka

uppgifter registret får

1. vilka uppgifter

registret får

innehålla,

 

 

 

innehålla,

 

 

4. de tystnadsplikts-

och säker-

2. de tystnadsplikts- och

säker-

4Senaste lydelse 2009:370.

5Senaste lydelse 2013:1021.

17

Prop. 2017/18:171 hetsbestämmelser som gäller för

hetsbestämmelser som

gäller för

registret,

 

registret,

 

 

5. rätten att ta del av uppgifter

 

 

 

enligt

26 § personuppgiftslagen

 

 

 

(1998:204),

 

 

 

 

6. rätten till rättelse av oriktiga

 

 

 

eller

missvisande uppgifter

enligt

 

 

 

24 §,

 

 

 

 

 

7. rätten till skadestånd

enligt

3. rätten enligt artikel 82 i EU:s

24 §,

 

 

dataskyddsförordning

och

7 kap.

 

 

 

1 § lagen (2018:000) med komp-

 

 

 

letterande bestämmelser till EU:s

 

 

 

dataskyddsförordning

till

skade-

 

 

 

stånd vid behandling av person-

8. de begränsningar i fråga om

uppgifter i strid med denna lag,

4. de begränsningar i fråga om

sökbegrepp och bevarande av upp-

sökbegrepp som gäller för regi-

gifter som gäller för registret, och

stret, och

 

 

9. att registreringen inte är fri-

5. att registreringen inte är fri-

villig med undantag för ändamål

villig med undantag för ändamål

enligt 6 § första stycket 2 och 8.

enligt 6 § första stycket 2 och 8.

Denna lag träder i kraft den 25 maj 2018.

18

2.3

Förslag till lag om ändring i lagen (1998:543)

Prop. 2017/18:171

 

om hälsodataregister

 

Härigenom föreskrivs i fråga om lagen (1998:543) om hälsodataregi- ster

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till personuppgiftslagen

2 §

Om inget annat följer av denna lag eller föreskrifter som meddel- ats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för hälsodataregister.

Förhållandet till annan reglering

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

19

Prop. 2017/18:171 2.4

Förslag till lag om ändring i lagen (2001:454)

 

om behandling av personuppgifter inom

 

socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4 och 7 §§ och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Denna lag tillämpas vid behand- ling av personuppgifter inom so- cialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt ett eller flera särskilda kriterier.

Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personuppgifter inom social- tjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgäng- liga för sökning eller sammanställ- ning enligt ett eller flera särskilda kriterier.

3 §

Lagen tillämpas inte vid behand- ling av personuppgifter hos dom- stolar. Den tillämpas inte heller vid behandling av personuppgifter för forsknings- och statistikända- mål.

Lagen tillämpas inte vid behand- ling av personuppgifter

1.hos domstolar,

2.för forsknings- och statistik- ändamål, eller

3.som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

1 Senaste lydelse 2003:136.

20

Förhållandet till personuppgiftslagen m.m.

4 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

Förhållandet till annan reglering Prop. 2017/18:171

Denna lag innehåller bestäm- melser som kompletterar EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga personuppgifter som

2. personuppgifter

som avses i

avses i 13 § personuppgiftslagen

artikel 9.1 i EU:s

dataskyddsför-

(1998:204), samt

ordning (känsliga

personuppgift-

 

er), samt

 

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgift- erna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får be- handlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Denna lag träder i kraft den 25 maj 2018.

21

Prop. 2017/18:171 2.5

Förslag till lag om ändring i lagen (2002:297)

 

om biobanker i hälso- och sjukvården m.m.

 

Härigenom föreskrivs att 1 kap. 4 §, 4 kap. 4 a § och 6 kap. 2, 3 och

7 §§ och rubrikerna närmast före

1 kap.

4 §

och 6 kap.

2 §

lagen

(2002:297) om biobanker i hälso- och sjukvården m.m. ska ha följande

lydelse.

 

 

 

 

 

 

 

Nuvarande lydelse

Föreslagen lydelse

 

 

 

 

1 kap.

 

 

 

 

 

Förhållande till bestämmelser i

Förhållandet till annan

 

 

annan lag

dataskyddsreglering

 

 

 

4 §

 

 

 

 

 

Bestämmelser i annan lag vilka

Denna lag innehåller bestäm-

avviker från bestämmelser i denna

melser som kompletterar Europa-

lag skall tillämpas med det undan-

parlamentets och rådets förord-

taget att bestämmelserna i 5 kap.

ning

(EU)

2016/679

av

den

om PKU-registret skall ha före-

27 april 2016 om skydd för fysiska

träde

framför bestämmelser i

personer med avseende på be-

annan lag.

handling av

personuppgifter och

 

 

om det fria flödet av sådana upp-

 

 

gifter och om upphävande av

 

 

direktiv 95/46/EG (allmän data-

 

 

skyddsförordning),

här

benämnd

 

 

EU:s dataskyddsförordning.

 

 

 

Vid behandling av personupp-

 

 

gifter enligt denna lag gäller lagen

 

 

(2018:000)

med

kompletterande

 

 

bestämmelser till

EU:s

data–

 

 

skyddsförordning och föreskrifter

 

 

som har meddelats i anslutning till

den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser i annan lag vilka avviker från bestämmelser i denna lag ska tillämpas med det undan- taget att bestämmelserna i 5 kap. om PKU-registret ska ha företräde framför bestämmelser i annan lag.

22

 

4 kap.

Prop. 2017/18:171

 

4 a §1

 

En journalhandling inom enskild

En journalhandling inom enskild

hälso- och sjukvård som rör en

hälso- och sjukvård som rör en

viss patient ska lämnas ut på be-

viss patient ska lämnas ut på be-

gäran av den som fått tillgång till

gäran av den som fått tillgång till

kodat

humanbiologiskt material

kodat humanbiologiskt

material

från den patienten enligt 1 §, om

från den patienten enligt 1 §, om

patienten samtyckt till att journal-

patienten samtyckt till att journal-

handlingen lämnas ut. I fråga om

handlingen lämnas ut.

 

vissa

känsliga personuppgifter

 

 

finns föreskrifter i personuppgifts- lagen (1998:204).

6 kap.

Skadestånd m.m.

 

Skadestånd

 

 

2 §2

 

Huvudmannen

för biobanken

Huvudmannen

för biobanken

skall ersätta en enskild provgivare

ska ersätta en enskild provgivare

för den skada eller kränkning av

för den skada eller kränkning av

den personliga integriteten som ett

den personliga integriteten som ett

förfarande med

vävnadsprover i

förfarande med

vävnadsprover i

strid med denna lag har orsakat

strid med denna lag har orsakat

honom eller henne.

honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behand- ling av personuppgifter enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

3 §3

Inspektionen för vård och om- sorg utövar tillsyn över att denna lag och föreskrifter som har med- delats i anslutning till lagen följs. Den myndighet som är tillsyns-

Inspektionen för vård och om- sorg utövar tillsyn över att denna lag och föreskrifter som har med- delats i anslutning till lagen följs. Den myndighet som är tillsyns-

1Senaste lydelse 2008:358.

2Ändringen innebär bl.a. att tredje stycket tas bort.

3Senaste lydelse 2012:947.

23

Prop. 2017/18:171 myndighet enligt personuppgifts-

myndighet enligt EU:s data-

lagen (1998:204) utövar dock till-

skyddsförordning utövar dock till-

syn över den behandling som sker

syn över den behandling som sker

av personuppgifter.

av personuppgifter.

Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut handlingar, prover och annat material som rör verksamheten samt att lämna de upplysningar om verksamheten som inspektionen behöver för sin tillsyn.

Inspektionen för vård och omsorg får förelägga den som bedriver verk- samheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

7 §4

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte över- klagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § person- uppgiftslagen (1998:204) får över- klagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som Inspektionen för vård och omsorg eller allmän förvalt- ningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

Denna lag träder i kraft den 25 maj 2018.

4 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

24

2.6

Förslag till lag om ändring i lagen (2005:258)

Prop. 2017/18:171

 

om läkemedelsförteckning

 

Härigenom föreskrivs i fråga om lagen (2005:258) om läkemedelsför- teckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållande till

Förhållandet till annan reglering

personuppgiftslagen

 

2 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter för läkemedelsförteck- ningen, om inget annat följer av denna lag.

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data– skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

25

Prop. 2017/18:171

Behandling av känsliga

 

 

 

personuppgifter

 

 

 

 

4 a §

 

 

 

 

 

 

Personuppgifter

som

avses i

 

artikel 9.1

i

EU:s

dataskyddsför-

 

ordning (känsliga personuppgifter)

 

får behandlas med stöd av ar-

 

tikel 9.2 h

i

förordningen

under

 

förutsättning att kravet på tyst-

 

nadsplikt

i

artikel 9.3

i

förord-

 

ningen är uppfyllt.

 

 

 

Information som skall lämnas

Information som ska lämnas

självmant

självmant

 

 

10 §1

 

 

 

E-hälsomyndigheten ska se till

Utöver vad som framgår av

att den registrerade får informa-

artiklarna 13 och 14 i

EU:s

tion om läkemedelsförteckningen.

dataskyddsförordning ska den som

Informationen ska innehålla upp-

är

personuppgiftsansvarig

enligt

lysningar om

denna lag lämna information till

1. vem som är personuppgiftsan-

den registrerade om

 

 

svarig,

 

 

 

 

2. ändamålet med förteckningen,

1. vilken typ av uppgifter som

3. vilken typ av uppgifter som

ingår i förteckningen,

ingår i förteckningen,

 

 

4. de tystnadsplikts- och säker-

2. de tystnadsplikts-

och

säker-

hetsbestämmelser som gäller för

hetsbestämmelser som

gäller för

förteckningen,

förteckningen,

 

 

5. rätten att ta del av uppgifter

3. rätten att ta del av uppgifter

enligt 11 §,

enligt 11 §,

 

 

6. rätten till rättelse av oriktiga

 

 

 

 

eller missvisande uppgifter,

4. rätten enligt artikel 82 i EU:s

7. rätten till skadestånd vid be-

handling av personuppgifter i strid

dataskyddsförordning

och

7 kap.

med denna lag,

1 §

lagen (2018:000)

med

kom-

 

pletterande bestämmelser till EU:s

 

dataskyddsförordning

till

skade-

 

stånd vid behandling av person-

 

uppgifter i strid med denna lag,

8. vad som gäller i fråga om sök-

5. vad som gäller i fråga om sök-

begrepp, direktåtkomst och utläm-

begrepp, direktåtkomst och utläm-

nande av uppgifter på medium för

nande av uppgifter på medium för

automatiserad behandling,

automatiserad behandling, och

9. vad som gäller i fråga om

 

 

 

 

bevarande och gallring, samt

 

 

 

 

1 Senaste lydelse 2013:1023.

26

10. att registreringen inte är fri- villig.

6. att registreringen inte är fri- Prop. 2017/18:171 villig.

Information som skall lämnas

Information som ska lämnas

efter ansökan

 

efter ansökan

 

11 §

Den registrerade har rätt att när

Den registrerade har rätt att när

som helst och så fort som möjligt

som helst och så fort som möjligt

få sådan information som avses i

få sådan information som avses i

26 §

personuppgiftslagen

artikel 15 i EU:s dataskyddsför-

(1998:204).

 

ordning.

Denna lag träder i kraft den 25 maj 2018.

27

Prop. 2017/18:171 2.7

Förslag till lag om ändring i lagen (2006:351)

 

om genetisk integritet m.m.

Härigenom föreskrivs att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § lagen (2006:351) om genetisk integritet m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

 

1 kap.

 

 

 

Förhållandet till

Förhållandet till annan

 

personuppgiftslagen

dataskyddsreglering

 

 

4 §

 

 

 

Om inget annat följer av denna

 

 

 

lag eller föreskrifter som meddel-

 

 

 

ats med stöd av denna, tillämpas

 

 

 

personuppgiftslagen

(1998:204)

 

 

 

vid behandling av personuppgifter.

 

 

 

 

Denna lag innehåller bestäm-

 

melser som kompletterar Europa-

 

parlamentets och rådets förord-

 

ning (EU)

2016/679 av

den

 

27 april 2016 om skydd för fysiska

 

personer med avseende på be-

 

handling av

personuppgifter

och

 

om det fria flödet av sådana upp-

 

gifter och om upphävande av

 

direktiv 95/46/EG (allmän data-

 

skyddsförordning).

 

 

 

Vid behandling av personupp-

 

gifter enligt denna lag gäller lagen

 

(2018:000)

med

kompletterande

 

bestämmelser till EU:s data-

 

skyddsförordning

och föreskrifter

 

som har meddelats i anslutning till

den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

28

2.8

Förslag till lag om ändring i lagen (2006:496)

Prop. 2017/18:171

 

om blodsäkerhet

 

Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet dels att 21 § ska upphöra att gälla,

dels att 5 § ska ha följande lydelse,

dels att det ska införas en ny rubrik närmast före 5 § av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till annan data- skyddsreglering

5 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

29

Prop. 2017/18:171 2.9

Förslag till lag om ändring i lagen (2006:1570)

 

om skydd mot internationella hot mot

 

människors hälsa

Härigenom föreskrivs att 12 § lagen (2006:1570) om skydd mot inter- nationella hot mot människors hälsa ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §1

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälso- organisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i person- uppgiftslagen (1998:204). Folk- hälsomyndigheten och andra be- rörda myndigheter, kommuner och landsting får oavsett bestämmel- serna i 33 § personuppgiftslagen

överföra personuppgifter till Världshälsoorganisationen och tredje land för att fullgöra sin upp- giftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis auto- matiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) och i lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Folkhälsomyndigheten och andra berörda myndigheter, kom- muner och landsting får överföra personuppgifter till Världshälso- organisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndig- het, en kommun eller ett landsting

1 Senaste lydelse 2014:1550.

30

ska kunna fullgöra sin uppgifts- skyldighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171

31

Prop. 2017/18:171 2.10

Förslag till lag om ändring i lagen (2008:286)

 

om kvalitets- och säkerhetsnormer vid

 

hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla, dels att 8 § ska ha följande lydelse,

dels att det ska införas en ny rubrik närmast före 8 § av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

Förhållandet till annan data-

 

skyddsreglering

8 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

32

2.11

Förslag till lag om ändring i patientdatalagen

Prop. 2017/18:171

 

(2008:355)

 

Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 §, 10 kap. 2 § och rubriken närmast före 1 kap. 4 § ska ha följ- ande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas två nya paragrafer, 2 kap. 7 a § och 7 kap. 8 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagen gäller inte vid sådan behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Förhållandet till

Förhållandet till annan

personuppgiftslagen

dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person-

uppgifter som är tillgängliga för

33

Prop. 2017/18:171 sökning eller sammanställning en- ligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

Denna lag innehåller bestäm- melser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en struktu- rerad samling av personupp- gifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid behandling av personupp- gifter som avses i första stycket gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 kap.

5 §

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förord- ning. I övrigt gäller 9 § första stycket d och andra stycket person- uppgiftslagen (1998:204).

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förord- ning. Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

 

7 §

 

 

 

En vårdgivare får behandla en-

En vårdgivare får behandla en-

 

dast sådana personuppgifter som

dast

sådana personuppgifter som

 

behövs för de ändamål som anges i

behövs för de ändamål som anges i

 

4 §. Uppgifter om lagöverträdelser

4 §. Uppgifter om lagöverträdelser

34

m.m. som avses i 21 § personupp-

som

innefattar brott, domar i

 

 

 

7 a §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förut- sättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

giftslagen (1998:204) får endast

brottmål,

straffprocessuella Prop. 2017/18:171

behandlas om det är absolut nöd-

tvångsmedel

eller

administrativa

vändigt för ett sådant ändamål.

frihetsberövanden får endast be-

Även en vårdgivare som inte är

handlas om det är absolut nöd-

statlig myndighet, landsting eller

vändigt för ett sådant ändamål.

kommun får under dessa förutsätt-

Även en vårdgivare som inte är

ningar behandla uppgifter om lag-

statlig myndighet,

landsting eller

överträdelser m.m. som avses i

kommun får under dessa förutsätt-

21 § personuppgiftslagen.

ningar behandla uppgifter om lag-

 

överträdelser.

 

 

 

8 §

 

 

 

Känsliga personuppgifter som

Känsliga personuppgifter

eller

avses i

13 § personuppgiftslagen

uppgifter om lagöverträdelser som

(1998:204) eller uppgifter om lag-

avses i 7 § får inte användas som

överträdelser m.m. som avses i

sökbegrepp. Inte heller får upp-

21 § samma lag får inte användas

gifter om att någon fått bistånd

som sökbegrepp. Inte heller får

eller varit föremål för andra in-

uppgifter om att någon fått bistånd

satser inom socialtjänsten eller en-

eller varit föremål för andra insat-

ligt utlänningslagen

(2005:716)

ser inom socialtjänsten eller enligt

användas som sökbegrepp.

 

utlänningslagen (2005:716) använ-

 

 

 

das som sökbegrepp.

 

 

 

Det är trots förbudet i första stycket tillåtet att som sökbegrepp

använda uppgifter om

 

 

 

1 hälsa, eller

 

 

 

2. att

någon varit föremål för

tvångsingripande

enligt

lagen

(1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rätts-

psykiatrisk vård.

 

 

 

Regeringen får meddela föreskrifter om att en vårdgivare, trots för-

budet i första stycket, får använda uppgifter om etnicitet eller uppgifter

av betydelse för smittskyddet samt att någon fått bistånd eller andra in-

satser inom socialtjänsten eller varit föremål för åtgärder enligt utlän-

ningslagen som sökbegrepp för att göra vissa slags sammanställningar.

7 kap.

 

3 §

 

Innan personuppgifter behandlas

Innan personuppgifter behandlas

 

i ett nationellt eller regionalt kvali-

i ett nationellt eller regionalt kvali-

35

 

 

Prop. 2017/18:171 tetsregister ska den som är person-

tetsregister ska den som är person-

uppgiftsansvarig se till att den en-

uppgiftsansvarig se till att den en-

skilde, utöver den information som

skilde, utöver den information som

ska lämnas enligt 8 kap. 6 §, får

ska lämnas enligt 8 kap. 6 §, får

information om

information om rätten att när som

1. rätten att när som helst få upp-

helst få uppgifter om sig själv ut-

gifter om sig själv utplånade ur

plånade ur registret.

registret,

 

2.i vilken utsträckning person- uppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3.vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgifts- behandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ända- mål som anges i 4 § att använda kodade personuppgifter eller personupp- gifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdel- ser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i en- skilda fall medger det.

Uppgifter om hälsa får behand- las i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter får behandlas i nationella och regionala kvalitets- register endast om regeringen eller den myndighet som rege- ringen bestämmer i enskilda fall medger det.

Känsliga personuppgifter får be- handlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är upp- fyllt.

36

8 a §

Prop. 2017/18:171

Uppgifter om

lagöverträdelser

som avses i 2 kap. 7 § får behand- las i nationella och regionala kva- litetsregister endast om regeringen eller den myndighet som rege- ringen bestämmer i enskilda fall medger det.

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska

gallras när de inte längre behövs för det ändamål som anges i 4 §.

 

En

arkivmyndighet

inom

ett

En

arkivmyndighet

inom

ett

landsting eller en kommun får

landsting eller en kommun får

dock föreskriva att personuppgifter

dock föreskriva att personuppgifter

i ett nationellt eller regionalt kvali-

i ett nationellt eller regionalt kvali-

tetsregister som förs inom lands-

tetsregister som förs inom lands-

tinget eller kommunen får bevaras

tinget eller kommunen får bevaras

för historiska,

statistiska

eller

för arkivändamål av allmänt in-

vetenskapliga ändamål.

 

 

tresse, vetenskapliga eller histori-

 

 

 

 

 

 

ska forskningsändamål eller stati-

Om regeringen eller den myn-

stiska ändamål.

 

 

 

Om regeringen eller den myn-

dighet

regeringen

bestämt

har

dighet

regeringen

bestämt

har

meddelat föreskrifter

enligt

7 §

meddelat föreskrifter

enligt

7 §

andra stycket, får regeringen eller

andra stycket, får regeringen eller

myndigheten också

föreskriva att

myndigheten också

föreskriva

att

personuppgifter

får

bevaras

för

personuppgifter får

bevaras

för

historiska, statistiska eller veten-

sådana ändamål.

 

 

 

skapliga ändamål.

 

 

 

 

 

 

 

 

8 kap.

6 §

Den som är personuppgiftsan-

Utöver vad som framgår av

svarig enligt denna lag ska se till

artiklarna 13 och 14 i EU:s data-

att den registrerade får informa-

skyddsförordning ska den som är

tion om personuppgiftsbehandling-

personuppgiftsansvarig enligt den-

en.

na lag lämna information till den

Informationen ska innehålla

registrerade om

upplysningar om

 

1. vem som är personuppgiftsan-

 

svarig,

 

2. ändamålet med behandlingen,

 

3. vilka kategorier av uppgifter

 

som behandlas,

 

4. den uppgiftsskyldighet som

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

kan följa av lag eller förordning,

37

Prop. 2017/18:171

5. de sekretess- och säkerhetsbe-

2. de sekretess- och säkerhetsbe-

 

stämmelser som gäller för uppgift-

stämmelser som gäller för uppgift-

 

erna och behandlingen,

 

erna och behandlingen,

 

 

 

6. rätten enligt

4 kap. 4 §

att i

3. rätten enligt 4 kap. 4 § att i

 

vissa fall begära att uppgifter

vissa fall begära att uppgifter

 

spärras,

 

 

 

spärras,

 

 

 

7. rätten enligt

5 § att få infor-

4. rätten enligt 5 § att få

infor-

 

mation om den direktåtkomst och

mation om den direktåtkomst och

 

elektroniska åtkomst som före-

elektroniska åtkomst som före-

 

kommit,

 

 

 

kommit,

 

 

 

8. rätten att ta del av uppgifter

 

 

 

 

enligt 26 §

personuppgiftslagen

 

 

 

 

(1998:204),

 

 

 

 

 

 

 

9. rätten till rättelse och under-

 

 

 

 

rättelse av tredje man enligt 28 §

 

 

 

 

personuppgiftslagen,

 

 

 

 

 

10. rätten

enligt 10 kap. 1 § till

5. rätten enligt artikel 82 i EU:s

 

skadestånd

vid

behandling

av

dataskyddsförordning

och

7 kap.

 

personuppgifter i strid med denna

1 § lagen (2018:000)

med

kom-

 

lag,

 

 

 

pletterande bestämmelser till EU:s

 

 

 

 

 

dataskyddsförordning

till

skade-

 

 

 

 

 

stånd vid behandling av person-

 

 

 

 

 

uppgifter i strid med denna lag,

 

 

 

 

 

och

 

 

 

11. vad som gäller i fråga om

6. vad som gäller i fråga om sök-

 

sökbegrepp, direktåtkomst och ut-

begrepp, direktåtkomst och ut-

 

lämnande av uppgifter på medium

lämnande av uppgifter på medium

 

för automatiserad behandling,

 

för automatiserad behandling.

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgiftsbe- handlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

10 kap.

2 §1

Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Pröv- ningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets- och sekretesslagen (2009:400).

1 Senaste lydelse 2012:954. Ändringen innebär att tredje stycket tas bort.

38

Vid sådan behandling av per- sonuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 51–53 §§ person- uppgiftslagen (1998:204).

Övriga beslut enligt denna lag får inte överklagas.

Denna lag träder i kraft den 25 maj 2018.

Prop. 2017/18:171

39

Prop. 2017/18:171 2.12

Förslag till lag om ändring i apoteksdatalagen

 

(2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367) dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

 

 

 

 

Förhållande till

Förhållandet till annan reglering

 

personuppgiftslagen

 

 

 

 

 

 

 

5 §

 

 

 

 

 

Personuppgiftslagen

(1998:204)

 

 

 

 

 

gäller för öppenvårdsapotekens

 

 

 

 

 

behandling av personuppgifter, om

 

 

 

 

 

inte annat följer av denna lag eller

 

 

 

 

 

föreskrifter som meddelas i anslut-

 

 

 

 

 

ning till denna lag.

Denna lag innehåller bestäm-

 

 

 

 

melser som kompletterar Europa-

 

 

parlamentets och rådets förord-

 

 

ning (EU)

2016/679

av

den

 

 

27 april 2016 om skydd för fysiska

 

 

personer med avseende på be-

 

 

handling av

personuppgifter

och

 

 

om det fria flödet av sådana upp-

 

 

gifter och om upphävande av

 

 

direktiv 95/46/EG (allmän data-

 

 

skyddsförordning),

här

benämnd

 

 

EU:s dataskyddsförordning.

 

 

 

Vid behandling av personupp-

 

 

gifter enligt denna lag gäller lagen

 

 

(2018:000)

med

kompletterande

 

 

bestämmelser till EU:s data-

 

 

skyddsförordning

och föreskrifter

 

 

som har meddelats i anslutning till

 

 

den lagen, om inte annat följer av

 

 

denna lag eller föreskrifter som

 

 

har meddelats i anslutning till

 

 

lagen.

 

 

 

 

 

 

9 §

 

 

 

 

 

I fråga om behandling av per-

 

 

 

 

 

sonuppgifter för annat ändamål än

 

 

 

 

40

vad som anges i 8 §

gäller 9 §

 

 

 

 

första stycket d och andra stycket personuppgiftslagen (1998:204).

Prop. 2017/18:171

Personuppgifter som behandlas enligt 8 § får behandlas även för andra ändamål, under förutsätt- ning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

9 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av ar- tikel 9.2 h i förordningen under förutsättning att kravet på tyst- nadsplikt i artikel 9.3 i förord- ningen är uppfyllt.

16 §

Tillståndshavaren ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgiftsan- svarig,

2.ändamålen med behandling-

en,

3.den uppgiftsskyldighet som kan följa av lag eller förordning,

4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,

5.rätten att ta del av uppgift- erna enligt 26 § personuppgifts- lagen (1998:204),

6.rätten enligt 15 § till rättelse av oriktiga eller missvisande upp- gifter,

7.rätten enligt 15 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1. den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,

3.rätten enligt artikel 82 i EU:s

dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med komp- letterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person-

41

Prop. 2017/18:171

uppgifter i strid med denna lag,

 

och

8. vad som gäller i fråga om sök-

4. vad som gäller i fråga om sök-

begrepp,

begrepp.

9. vad som gäller i fråga om be-

 

varande, samt

 

10. huruvida personuppgiftsbe-

 

handlingen är frivillig eller inte.

 

Denna lag träder i kraft den 25 maj 2018.

42

2.13

Förslag till lag om ändring i lagen (2010:111)

Prop. 2017/18:171

 

om införande av socialförsäkringsbalken

 

Härigenom föreskrivs att 9 kap. 22 och 23 §§ lagen (2010:111) om in-

 

förande av socialförsäkringsbalken ska ha följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

 

9 kap.

22 §

Bestämmelserna i 114 kap. so- cialförsäkringsbalken tillämpas även i fråga om förmåner som av- ser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna. Bestäm- melserna i 114 kap. 33 § balken om skadestånd på grund av be- handling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upp- hävda lagen (2003:763) om be- handling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har med- delats i anslutning till den lagen.

Bestämmelserna i 114 kap. so- cialförsäkringsbalken tillämpas även i fråga om förmåner som av- ser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balk- en om förmåner enligt denna ska då avse förmåner enligt de upp- hävda författningarna. De upphäv- da bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upp- hävda lagen (2003:763) om be- handling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har med- delats i anslutning till den lagen.

23 §

Bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkrings- balken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003.

I annat fall tillämpas de dessför- innan gällande bestämmelserna.

De upphävda bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003 men före den 25 maj 2018.

Denna lag träder i kraft den 25 maj 2018.

43

Prop. 2017/18:171

44

2.14Förslag till lag om ändring i alkohollagen (2010:1622)

Härigenom föreskrivs att 13 kap. 5 § alkohollagen (2010:1622) ska upphöra att gälla.

Denna lag träder i kraft den 25 maj 2018.

2.15 Förslag till lag om ändring i lagen (2012:263) Prop. 2017/18:171 om kvalitets- och säkerhetsnormer vid

hantering av mänskliga organ

Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

dels att 8 § ska upphöra att gälla,

dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till annan lag

4 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Förhållandet till annan dataskyddsreglering

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

45

Prop. 2017/18:171 2.16

Förslag till lag om ändring i lagen (2012:453)

 

om register över nationella

 

vaccinationsprogram

Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 3, 6 och 13 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §1

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter i Folkhälsomyndighetens verksamhet när det gäller natio- nella vaccinationsprogram, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

6 §

Personuppgifter får behandlas för

1 Senaste lydelse 2013:637.

46

1. framställning av statistik,

Prop. 2017/18:171

2.uppföljning, utvärdering och kvalitetssäkring av nationella vaccina- tionsprogram, samt

3.forskning och epidemiologiska undersökningar.

Personuppgifter som behandlas

Personuppgifter som behandlas

för de ändamål som anges i första

för de ändamål som anges i första

stycket får också behandlas för att

stycket får också behandlas för att

fullgöra uppgiftsutlämnande som

fullgöra

uppgiftsutlämnande som

sker i överensstämmelse med lag

sker i överensstämmelse med lag

eller förordning. I övrigt gäller 9 §

eller förordning. Personuppgifter-

första stycket d och andra stycket

na får även behandlas för andra

personuppgiftslagen (1998:204).

ändamål,

under förutsättning att

 

uppgifterna inte behandlas på ett

 

sätt som är oförenligt med det

 

ändamål

för vilket uppgifterna

 

samlades in.

13 §2

 

Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgiftsan- svarig,

2.ändamålen med behandling-

en,

3.den uppgiftsskyldighet som kan följa av lag eller förordning,

4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för

uppgifterna och behandlingen,

5.rätten att ta del av uppgift- erna enligt 26 § personuppgifts- lagen (1998:204),

6.rätten enligt 12 § till rättelse av oriktiga eller missvisande upp- gifter,

7.rätten enligt 12 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

8.vad som gäller i fråga om sök- begrepp,

Utöver vad som framgår av artiklarna 13 och 14 i EU:s data- skyddsförordning ska den som är personuppgiftsansvarig enligt den- na lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de tystnadsplikts- och säker- hetsbestämmelser som gäller för

uppgifterna och behandlingen,

3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med komp- letterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

4. vad som gäller i fråga om sök- begrepp, och

2 Senaste lydelse 2013:637.

47

Prop. 2017/18:171

9. vad som gäller i fråga om be-

 

 

varande, samt

 

 

10. att registreringen inte är fri-

5. att registreringen inte är fri-

 

villig.

villig.

Denna lag träder i kraft den 25 maj 2018.

48

2.17 Förslag till lag om ändring i lagen (2016:526) Prop. 2017/18:171 om behandling av personuppgifter i ärenden

om licens för läkemedel

Härigenom föreskrivs i fråga om lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

dels att 20 § ska upphöra att gälla,

dels att rubriken närmast före 20 § ska utgå, dels att 4, 9 och 21 §§ ska ha följande lydelse,

dels att rubriken närmast före 3 § ska lyda ”Förhållandet till annan reglering”,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a §§ en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 §

Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och E-hälsomyndighetens behandling av personuppgifter i verksamhet som rör ärenden om ansökan om licens för läkemedel, om inte annat följer av denna lag eller föreskrif- ter som meddelas i anslutning till denna lag.

Denna lag innehåller bestäm- melser som kompletterar Europa- parlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till

lagen.

49

Prop. 2017/18:171

9 §

I fråga om behandling av per-

sonuppgifter för annat ändamål än

vad

som anges i 8 § gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204).

 

 

 

 

 

Personuppgifter

som

 

behandlas

 

 

 

 

 

enligt 8 § får behandlas även för

 

 

 

 

 

andra ändamål, under förutsätt-

 

 

 

 

 

ning att uppgifterna inte behandlas

 

 

 

 

 

på ett sätt som är oförenligt med

 

 

 

 

 

det ändamål för vilket uppgifterna

 

 

 

 

 

samlades in.

 

 

 

 

 

 

 

 

 

 

 

Behandling av känsliga

 

 

 

 

 

 

 

 

personuppgifter

 

 

 

 

 

 

 

 

 

 

9 a §

 

 

 

 

 

 

 

 

 

 

 

 

Personuppgifter

som

avses i

 

 

 

 

 

artikel 9.1

i

EU:s

dataskyddsför-

 

 

 

 

 

ordning (känsliga personuppgifter)

 

 

 

 

 

får behandlas med stöd av ar-

 

 

 

 

 

tikel 9.2 h

i

förordningen

 

under

 

 

 

 

 

förutsättning att kravet på tyst-

 

 

 

 

 

nadsplikt

i

artikel 9.3

 

i

förord-

 

 

 

 

 

ningen är uppfyllt.

 

 

 

 

 

 

 

 

 

21 §

 

 

 

 

 

 

 

 

Den

personuppgiftsansvarige

Utöver vad som framgår av

 

ska se till att den registrerade får

artiklarna 13 och 14 i EU:s data-

 

information om personuppgiftsbe-

skyddsförordning ska den som är

 

handlingen.

 

 

personuppgiftsansvarig enligt den-

 

Informationen

ska

innehålla

na lag lämna information till den

 

upplysningar om

 

 

registrerade om

 

 

 

 

 

 

1. vem som är personuppgiftsan-

 

 

 

 

 

 

 

 

 

svarig,

 

 

 

 

 

 

 

 

 

 

 

 

2. ändamålen

med

behandling-

 

 

 

 

 

 

 

 

 

en,

 

 

 

 

 

 

 

 

 

 

 

 

3. den

uppgiftsskyldighet som

1. den

uppgiftsskyldighet

som

 

kan följa av lag eller förordning,

kan följa av lag eller förordning,

 

4. de sekretess- och säkerhetsbe-

2. de sekretess- och säkerhetsbe-

 

stämmelser som gäller för uppgift-

stämmelser som gäller för uppgift-

 

erna och behandlingen,

 

erna och behandlingen,

 

 

 

 

 

5. rätten att ta del av uppgifter-

 

 

 

 

 

 

 

 

 

na enligt 26 § personuppgiftslagen

 

 

 

 

 

 

 

 

 

(1998:204),

 

 

 

 

 

 

 

 

 

 

 

6. rätten enligt 20 § till rättelse

3. rätten enligt artikel 82 i EU:s

 

av oriktiga eller missvisande upp-

dataskyddsförordning

och

 

7 kap.

 

gifter och till skadestånd vid be-

1 § lagen (2018:000) med komp-

 

handling av personuppgifter i strid

letterande

bestämmelser

till

EU:s

50

med denna lag,

 

 

dataskyddsförordning

till

skade-

 

 

 

 

 

 

 

 

 

 

 

 

7.vad som gäller i fråga om sök- begränsningar, och

8.vad som gäller i fråga om gallring.

stånd vid behandling av person- Prop. 2017/18:171 uppgifter i strid med denna lag,

och

4. vad som gäller i fråga om sök- begränsningar.

Denna lag träder i kraft den 25 maj 2018.

51

Prop. 2017/18:171 3

Ärendet och dess beredning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EU:s dataskyddsförordning, bilaga 1. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018.

Regeringen beslutade den 16 juni 2016 att tillkalla en särskild utredare med uppdrag att bl.a. analysera vilka konsekvenser dataskyddsförord- ningen medför i fråga om personuppgiftsbehandling inom Socialdeparte- mentets verksamhetsområde samt föreslå behövliga och lämpliga anpass- ningar av författningar inom verksamhetsområdet till följd av den nya förordningen (dir. 2016:52). Utredningen, som tog sig namnet Social- dataskyddsutredningen, överlämnade i augusti 2017 sitt betänkande Dataskydd inom Socialdepartementets verksamhetsområde – en anpass- ning till EU:s dataskyddsförordning (SOU 2017:66) till regeringen. En sammanfattning av betänkandet finns i bilaga 2. Socialdataskyddsutred- ningens lämnade lagförslag framgår av bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena och en remissammanställning finns tillgängliga i Socialdepartementet (dnr S2017/04726/SAM).

Lagrådet

Regeringen beslutade den 8 februari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådets synpunkter och förslag behandlas i avsnitten 7.1.1, 7.1.2, 7.1.8, 7.4.1, 7.5.1, 7.5.4, 7.5.8, 7.11.1, 8.1 och i författningskommentaren 10.1, 10.2, 10.5, 10.6, 10.8, 10.10, 10.11, 10.12, 10.16 och 10.17. Regeringen har i huvudsak följt Lagrådets synpunkter.

4 Något om gällande rätt

4.1Internationella överenskommelser

4.1.1Förenta nationerna

Förenta nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana in- gripanden och angrepp. I artikel 29 anges att en person endast får

underkastas sådana inskränkningar som har fastställts i lag och enbart i

52

syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och Prop. 2017/18:171 friheter samt för att tillgodose ett demokratiskt samhälles berättigade

krav på moral, allmän ordning och allmän välfärd.

Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalför- samlingen 1966 och trädde i kraft 1976. Sverige anslöt sig till konventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bl.a. att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.

4.1.2OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat riktlinjer i fråga om integritetsskyddet och personuppgiftsflödet över gränserna. Riktlinjerna antogs 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att betrakta riktlinjerna i nationell lagstiftning. Riktlinjerna reviderades år 2013. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa den.

4.2Europarätt

4.2.1 Europarådet

Europakonventionen

 

Sedan den 1 januari 1995 är den europeiska konventionen om skydd för

 

de mänskliga rättigheterna och de grundläggande friheterna (Europakon-

 

ventionen) inkorporerad i svensk rätt och gäller som lag, lagen

 

(1994:1219) om den europeiska konventionen angående skydd för de

 

mänskliga rättigheterna och de grundläggande friheterna (prop.

 

1993/94:117). Av 2 kap. 19 § regeringsformen framgår att lag eller annan

 

föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av

 

konventionen.

 

Artikel 8 i Europakonventionen avser rätt till skydd för privat- och

 

familjeliv. Enligt artikel 8 har var och en rätt till respekt för sitt privat-

 

och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får

 

inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och

 

om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens

 

säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till

 

förebyggande av oordning eller brott eller till skydd för hälsa eller moral

 

eller för andra personers fri- och rättigheter.

 

Artikel 8 är tillämplig på behandling av personuppgifter men omfattar

 

inte all sorts behandling av personuppgifter – frågan måste gälla privat-

 

liv, familjeliv, hem eller korrespondens. Europakonventionen tar i första

 

hand sikte på åtgärder av det allmänna.

53

 

Prop. 2017/18:171

54

Rekommendation om skyddet av hälsouppgifter

I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendation- erna, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen.

Rekommendationen No. R (97) 5 är tillämplig på insamling och auto- matiserad behandling av hälsouppgifter. Sådan verksamhet utanför hälso- och sjukvårdssektorn som omfattas av lämpliga skyddsåtgärder i nationell rätt omfattas dock inte av rekommendationen.

Rekommendation om skyddet av personuppgifter som behandlas för ändamål som rör social trygghet

Europarådets ministerkommitté har också antagit en rekommendation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål som rör social trygghet. Rekommendationen är tillämplig på behandling av personuppgifter för ”social security purposes” (ändamål hänförliga till social trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeför- måner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsför- måner och familjeförmåner.

4.2.2Europeiska unionen

Dataskyddsdirektivet

Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. I Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) finns en bestämmelse om skydd av personuppgifter i artikel 8 om att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning, gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

EU:s dataskyddsreform

Under många år har det förekommit diskussionerna inom bl.a. EU om att det behövs en ny rättslig reglering för att ersätta 1995 års data- skyddsdirektiv. Kommissionen presenterade den 25 januari 2012 förslag till en reform av EU:s regler om skydd för personuppgifter. Reformen omfattade dels en förordning med en generell reglering som skulle er- sätta det nu gällande dataskyddsdirektivet, dels ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.

Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt syftade förslaget till ett stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en del nyheter jämfört med dataskyddsdirektivet.

Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsyns- myndigheten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya data- skyddsdirektivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen ska börja tillämpas den 25 maj 2018.

Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018.

Prop. 2017/18:171

55

Prop. 2017/18:171 4.3

Svensk rätt

4.3.1

Regeringsformen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Be- gränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

4.3.2Dataskyddsdirektivets genomförande – personuppgiftslagen

Sverige har genomfört 1995 års dataskyddsdirektiv främst genom personuppgiftslagen (1998:204). Lagen trädde i kraft den 24 oktober 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som 1995 års dataskyddsdirektiv och innehåller – liksom direktivet – bestämmelser om bl.a. personuppgiftsansvar, grund- läggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket inne- bär att dess bestämmelser inte ska tillämpas om det finns avvikande be- stämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar som reglerar myndigheternas personuppgiftsbehandling.

Personuppgiftslagen kompletteras av bestämmelser i personuppgifts- förordningen (1998:1191), som bl.a. anger Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av person- uppgifter är tillåten och vilka krav som ställs på den personuppgifts- ansvarige.

 

5

Utgångspunkter för lagstiftningsärendet

 

5.1

EU:s dataskyddsreform

 

EU:s dataskyddsreform är en reform som omfattar stor del av person-

 

uppgiftsbehandlingen inom EU. Den består av dataskyddsförordningen

 

och ett nytt dataskyddsdirektiv. Det nya direktivet gäller vid behandling

 

av personuppgifter som behöriga myndigheter utför i syfte att förebygga,

56

förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, i vilket även ingår att skydda mot samt förebygga och för- hindra hot mot den allmänna säkerheten.

Dataskyddsförordningen medför behov av att anpassa svenska författ- ningar till förordningen. Vidare behöver dataskyddsdirektivet genom- föras i svensk rätt.

Ett stort antal utredningar har arbetat och arbetar med att anpassa svensk rätt till EU:s dataskyddsreform. Det pågår omfattande arbete inom Regeringskansliet med att anpassa författningar till förordningen. De olika utredningarnas förslag till ändringar i författningar kommer att medföra arbete med att utarbeta och lämna lagförslag och besluta om för- ordningar. De olika ärendena som rör författningsändringar behöver sam- ordnas och detta inom en mycket kort tidsperiod för att hålla de tider som gäller för rättsakternas ikraftträdande.

Något om tillämpningen av de båda rättsakterna och tillämpningsproblem

Det kommer att finnas myndigheter och verksamheter vars person- uppgiftsbehandlingar kommer att behöva förhålla sig till de båda EU- rättsakterna och eventuellt kommer att behöva tillämpa både förord- ningen och direktivet. För en sådan myndighet och verksamhet kan detta medföra svårigheter i tillämpningen att avgöra vilken rättsakt som är tillämplig för de olika behandlingar av personuppgifter som utförs och vilka konsekvenser detta kan få för förutsättningarna att behandla person- uppgifter inom myndigheten eller i verksamheten.

Dessa svårigheter i tillämpningen med att avgöra vilket regelverk som ska tillämpas blir ganska lik de svårigheter som redan finns med dagens reglering av personuppgiftsbehandling. Redan i dag tillämpar myndig- heterna olika regelverk – personuppgiftslagen och särskilda registerför- fattningar – beroende på i vilken verksamhet eller för vilka slags ändamål personuppgifterna behandlas. Registerförfattningarna, som har till- kommit vid olika tillfällen, har olika innehåll och utformningarna skiljer sig åt. Problem med att i tillämpningen bedöma vilket rättsligt stöd som gäller för personuppgiftsbehandlingarna finns därmed redan i dag.

EU:s dataskyddsreform och anpassningarna i svensk rätt kommer dock för myndigheter och andra aktörer i olika verksamheter att aktualisera behovet av att se över sin personuppgiftsbehandling och t.ex. överväga för vilka ändamål personuppgifter behandlas och vilka regelverk som ska tillämpas för den specifika behandlingen.

Behandling av personuppgifter i verksamhet som omfattas av unions- rätten omfattas således antingen av dataskyddsförordningen eller nya dataskyddsdirektivet. Dessa rättsakter bedöms samtidigt inte kunna vara tillämpliga för en personuppgiftsbehandling eftersom avgränsningen ska göras utifrån syftet och om det är en s.k. behörig myndighet, se artikel 2.2 d och skäl 19 i dataskyddsförordningen. Sker personuppgiftsbehand- ling som visserligen kan avse samma personuppgifter men för flera olika syften bedöms de båda rättsakterna kunna vara tillämpliga parallellt. För en personuppgiftsansvarig kan detta dock ställa till svårigheter i tillämpningen att avgöra vilken rättsakt eller vilka rättsakter som ska tillämpas i fall där samma eller delvis samma personuppgifter behandlas.

Prop. 2017/18:171

57

Prop. 2017/18:171 5.2

Behandling av personuppgifter som i dag är

 

 

laglig bör kunna fortsätta men författningsstöd

 

 

för annan behandling bör inte införas nu

 

 

 

Regeringens bedömning: För den personuppgiftsbehandling som

 

förekommer i olika verksamheter bör den behandling som i dag är

 

laglig kunna fortsätta. Ändringar i förutsättningarna för att ytterligare

 

behandla personuppgifter får övervägas i annan ordning. Detta lag-

 

stiftningsärende får därför avgränsas till att hantera de anpassningar i

 

författningar inom Socialdepartementets verksamhetsområde som i

 

nuläget bedöms behövas med anledning av EU:s dataskyddsförord-

 

ning.

 

 

 

 

Socialdataskyddsutredningens bedömning: Överensstämmer med

 

regeringens.

 

Remissinstanserna: Flertalet remissinstanser godtar eller invänder

 

inte mot Socialdataskyddsutredningens bedömning.

 

Datainspektionen anser att den metod som använts av utredningen

 

riskerar leda till att nationella bestämmelser inte kommer att överens-

 

stämma med dataskyddsförordningen. Utan en noggrann kartläggning av

 

behandling av personuppgifter inom Socialdepartementets område finns

 

det risk för att den nationella regleringen inte kommer att överensstämma

 

med förordningen och att det kommer att saknas nationell reglering för

 

sådan behandling av personuppgifter som är nödvändig i samhället. Den

 

stora skillnaden mellan ett direktiv som genomförs i svensk rätt och en

 

förordning som ska tillämpas direkt bör framhållas. Många av förord-

 

ningens bestämmelser är direkt tillämpliga i svensk rätt utan möjlighet

 

till avvikande nationell reglering. I vissa avseenden finns dock ett utrym-

 

me för, och i vissa fall även krav på, nationell reglering som kompletterar

 

förordningens bestämmelser. Förordningen blir det primära regelverket

 

avseende behandling av personuppgifter och t.ex. patientdatalagen blir

 

subsidiär i förhållande till dataskyddsförordningen. Lagstiftaren måste

 

säkerställa att dataskyddsförordningen kompletteras med nationella

 

regler i tillräcklig utsträckning för att viktig verksamhet ska kunna be-

 

handla de personuppgifter som är nödvändiga för verksamheten. Det är

 

också viktigt att det blir tydligt hur regelverken förhåller sig till varandra,

 

så att de som ska tillämpa dataskyddsbestämmelserna förstår att de

 

nationella reglerna inte kan åsidosätta dataskyddsförordningen och att en

 

prövning om en behandling av personuppgifter är tillåten eller inte,

 

primärt ska ske utifrån förordningen. En reglering som exempelvis

 

patientdatalagen, i vilken många frågor om personuppgiftsbehandling

 

regleras, kan för den enskilda tillämparen i högre grad uppfattas som det

 

primära regelverket på området för behandling av personuppgifter än en

 

lagstiftning som endast reglerar enstaka frågor.

 

Pensionsmyndigheten anser att i och med att dataskyddsförordningen

 

börjar tillämpas utgör den det primära regelverket för behandling av

 

personuppgifter. Förordningen skapar goda förutsättningar för en

 

enhetlighet i rättstillämpningen som myndigheten bedömer kommer att

 

kunna vara gynnsam för myndigheternas arbete med digitalisering och

58

framtagandet av gemensamma e-tjänster. De tillämpningssvårigheter som

 

 

det fragmenterade regelverket medför kan inte förväntas minska i och med att förordningen börjar tillämpas, snarast tvärtom. Behovet av att göra en sammanhållen och enhetlig översyn av registerförfattningarna kvarstår och blir större i och med förordningen.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) tillstyrker för- slagen och noterar med tillfredsställelse att man i det stora flertalet fall gör bedömningen att det inte behövs några ändringar i nuvarande regel- verk. Forte har inte funnit att något i utredningen skulle begränsa till- gången till personuppgifter eller möjligheten att använda dem för forsk- ning och statistik, utöver vad som gäller i dag.

Svenska läkarsällskapet är positivt till utredningens målsättning att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. För att uppnå den målsättningen har en ingående analys av både data- skyddsförordningen och registerförfattningarna skett. Utredningens för- slag beskrivs vara av i huvudsak författningsteknisk karaktär, och be- döms inte inskränka nuvarande möjligheter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen.

Läkemedelsindustriföreningen (LIF) ställer sig positiv till utredningens utgångspunkt att behandling som i dag är laglig ska kunna fortsätta. Det skapar förutsebarhet och underlättar de anpassningsåtgärder som data- skyddsförordningen föranleder för föreningens medlemsföretag. Som LIF uppfattar saken påverkar förslagen inte läkemedelsföretagens forsk- ning och användning av statistik från hälsodataregister, kvalitetsregister och biobanker. Detta är positivt och av stor betydelse för Sveriges ställ- ning och utveckling som forskande läkemedelsnation.

Sveriges Kommuner och Landsting och Örebro läns landsting välkom- nar och delar utredningens bedömning att den behandling av personupp- gifter som är laglig i dag ska kunna fortsätta när dataskyddsförordningen ska börja tillämpas. Landstinget instämmer i utredningens bedömning att dataskyddsförordningen till stor del innehåller samma eller i vart fall liknande bestämmelser som dataskyddsdirektivet och personuppgifts- lagen. Den stora skillnaden är dock att dataskyddsförordningen är direkt tillämplig och, till skillnad från personuppgiftlagen som är subsidiär, gäller oavsett vad som regleras i en nationell registerförfattning.

Skälen för regeringens bedömning: Den nya generella unionsrätts- akten om dataskydd är en förordning och detta innebär en ytterligare harmonisering av dataskyddsreglerna inom EU. Förordningen kommer att vara direkt tillämplig i medlemsstaterna. Detta innebär att personupp- giftsansvariga primärt kommer att behöva förhålla sig till EU-regle- ringen.

Regeringen vill dock uppmärksamma att dataskyddsförordningen emellertid till stora delar har en direktivliknande karaktär. Ett förhållan- devis stort antal artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Detta gäller särskilt behandling av personuppgifter som sker inom den offentliga sektorn. Medlemsstaterna får t.ex. behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 e, dvs. som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutöv-

Prop. 2017/18:171

59

Prop. 2017/18:171 ning. För vissa angivna syften får medlemsstaterna enligt artikel 23 även begränsa tillämpningsområdet för många av de skyldigheter och rättig-

 

heter som regleras i förordningen. Dataskyddsförordningens direktivs-

 

liknande karaktär innebär således att det kommer att finnas ett betydande

 

utrymme för att behålla och att införa ytterligare registerförfattningar om

 

så anses behövligt eller nödvändigt.

 

Regeringen vill vidare uppmärksamma att dataskyddsförordningen till

 

stor del baseras på 1995 års dataskyddsdirektivets struktur och innehåll. I

 

många fall framgår det vid en jämförelse mellan den nya förordningens

 

och direktivets artiklar mycket stora likheter i ordalydelserna t.ex. vad

 

gäller grundläggande principer och en del vad gäller laglig grund. Det är

 

därför naturligt att tolkningen av dataskyddsförordningen ofta kommer

 

att göras genom att dataskyddsförordningens ordalydelse jämförs med

 

dataskyddsdirektivets ordalydelse.

 

Regeringen instämmer i Datainspektionens och Pensionsmyndighetens

 

uppfattning att förordningen blir det primära regelverket för behandling

 

av personuppgifter och t.ex. patientdatalagen utgör kompletterande lag-

 

stiftning i förhållande till dataskyddsförordningen. Det är också så att

 

lagstiftaren så långt det är möjligt bör säkerställa att dataskyddsförord-

 

ningen kompletteras med nationella regler i tillräcklig utsträckning för att

 

myndigheter och andra aktörer i olika verksamhet inom Socialdeparte-

 

mentets verksamhetsområde ska kunna behandla de personuppgifter som

 

är nödvändiga för myndigheternas eller de andra aktörernas verksam-

 

heter.

 

 

Regeringen instämmer i Datainspektionens uppfattning att det är

 

viktigt att det blir tydligt hur regelverken förhåller sig till varandra, så att

 

de som ska tillämpa dataskyddsbestämmelserna förstår att de nationella

 

reglerna inte kan åsidosätta dataskyddsförordningen och att en prövning

 

av om en behandling av personuppgifter är tillåten eller inte, primärt ska

 

ske utifrån förordningen.

 

Det finns en risk för att de som är personuppgiftsansvariga kommer att

 

se registerförfattningar, såsom patientdatalagen (2008:355), som de

 

primära regelverken på området för behandling av personuppgifter och

 

inte som lagstiftning som endast reglerar enstaka frågor.

 

Regeringen bedömer att det finns behov av allmän information t.ex.

 

om förhållandet mellan dataskyddsförordningen och den generella lagen

 

samt de särskilda registerförfattningarna. Det kommer dock sannolikt att

 

ta tid innan myndigheter och andra aktörer inom olika verksamheter

 

kommer att ha god kännedom om vad dataskyddsförordningen och andra

 

författningar kräver av dem.

 

Dataskyddsförordningen ska börja tillämpas den 25 maj 2018.

 

Regeringen håller med Datainspektionen om att det hade varit önskvärt

 

med noggrann kartläggning av behandling av personuppgifter inom

 

Socialdepartementets verksamhetsområde men anser inte att detta är

 

möjligt inom den mycket korta tidsperioden innan förordningen ska börja

 

tillämpas.

 

 

Regeringen bedömer att det är angeläget att den behandling av person-

 

uppgifter som i dag förekommer och är laglig bör kunna fortsätta även

 

från det att dataskyddsförordningen börjar tillämpas. Det kommer

 

sannolikt också att

uppmärksammas personuppgiftsbehandling som

60

kommer att behöva

ytterligare författningsstöd. Sådana ändringar, och

andra ändringar i förutsättningar för behandling av personuppgifter, får Prop. 2017/18:171 övervägas i annan ordning. Detta lagstiftningsärende får därför avgränsas

till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordningen.

5.3Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir tydligare

Regeringens bedömning: Befintlig författningsreglering, som inne- bär begränsningar i förhållande till vad som vore tillåtet enligt EU:s dataskyddsförordning, bör behållas i sak i så stor utsträckning som möjligt.

Regleringen bör göras så enhetlig som möjligt. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen kan och bör, i den utsträckning det är möjligt enligt vad som anges i skäl 8 i data- skyddsförordningen, behållas eller införas när det skapar tydlighet.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Riksarkivet anser att regleringen som rör behandling av personupp- gifter med dataskyddsförordningens ikraftträdande kommer att bli komplex. Det är därför viktigt att regelverket på dataskyddsområdet görs så enkelt och tydligt som möjligt. Riksarkivet har i yttrande över be- tänkandet Ny dataskyddslag (SOU 2017:39) lämnat generella synpunkter för den nationella tolkningen av dataskyddsförordningen.

Kammarrätten i Stockholm noterar att de olika utredningar som tillsatts för att analysera och anpassa författningar inom olika områden till data- skyddsförordningen, har valt att utforma vissa återkommande bestäm- melser på olika sätt. Det gäller t.ex. hänvisningen till dataskyddsförord- ningen, övergångsbestämmelser som reglerar vilka bestämmelser om skadestånd som ska tillämpas, hänvisningar till dataskyddsförordningens artikel 9.1 om sådana särskilda personuppgifter som anges i artikeln (känsliga personuppgifter) och hur hänvisningar till personuppgiftslagens bestämmelse om finalitetsprincipen ska ersättas (jfr t.ex. SOU 2017:66, SOU 2017:49 och Ds 2017:33). Det är önskvärt att Regeringskansliet i det fortsatta arbetet finner en enhetlig utformning av denna typ av be- stämmelser.

Sveriges advokatsamfund har tidigare påtalat att gällande lagstiftning i fråga om registerfrågor är svår att överblicka både sett till verkningar för enskildas personliga integritet och till den faktiska tillämpningen av de föreslagna lagrummen och rekvisiten, då det finns ett allt för stort antal skilda lagar om myndigheters personuppgifts- och registerhantering samt även en bristande överensstämmelse mellan grundläggande begrepp i

dessa lagar. Advokatsamfundet vidhåller tidigare lämnade synpunkter i

61

Prop. 2017/18:171 detta avseende och anser att det är olyckligt att uppdraget inte varit att ta fram en enhetlig reglering för åtminstone här berörd del av den offentliga verksamheten.

Dataskydd.net anser att det sammelsurium av registerförfattningar som finns på Socialdepartementets område inte kan uppnå syftet att skydda sjuka och utsatta människor från integritetskränkningar. Ambitionen med att skapa specialbestämmelser kan i och för sig vara lovvärd men blir kontraproduktiv. Det blir svårare för privatpersoner att förstå vilka rättig- heter de har och utöva dessa rättigheter. Det blir också svårare för de be- rörda myndigheterna/personuppgiftsansvariga att bedöma i vilken ut- sträckning de själva är ansvariga för konsekvensbedömningar och ut- värderingar. Dataskydd.net anser att en del av författningsförslagen inne- bär felaktiga upprepningar av artikel 5.1 b, onödiga upprepningar av artikel 9.3 och underliga och varierande listor om vilken information som ska ges till registrerade samt att det på ett flertal ställen i förslagen före- kommer dubbelregleringar.

Skälen för regeringens bedömning

Befintliga registerförfattningar bör behållas

Av skäl 8 i dataskyddsförordningen framgår att om dataskyddsförord- ningen föreskriver förtydliganden eller begränsningar av bestämmelserna i dataskyddsförordningen genom den nationella rätten kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. Det kan däremot i andra situationer än den som berörs i skäl 8 anses strida mot EU-rätten att i nationell lagstiftning upprepa bara vissa be- stämmelser i en EU-förordning eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt.

Mot bakgrund av det utrymme som medlemsstaterna med stöd av för- ordningens artiklar har för att införliva delar av dataskyddsförordningen i den nationella rätten så bör befintliga registerförfattningar som motsvarar bestämmelser i dataskyddsförordningen behållas i den utsträckning det behövs för att uppnå tydlighet och igenkänning hos tillämparna. En be- dömning av om det är förenligt med EU-rätten att behålla en sådan be- stämmelse måste dock göras i varje enskilt fall.

Det bör däremot inte införas fler bestämmelser som motsvarar bestäm- melser i dataskyddsförordningen än de som redan finns i registerförfatt- ningarna. Registerförfattningarna, som redan i nuläget är många i antal och som i vissa fall är mycket omfattande, skulle då komma att bli ännu mer omfattande.

Å andra sidan anser regeringen att det bör uppmärksammas att olika registerförfattningar av lagstiftaren har ansetts vara önskvärda för att en samlad reglering skulle anses vinna i tydlighet, konsekvens och över- blickbarhet samt att tillgodose enskilda personers integritetsskydd. I flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling har konstitutionsutskottet framhållit att målsättningen bör vara att myn- dighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har vid åtskilliga tillfällen

62

instämt i denna bedömning (se bl.a. prop. 2009/10:80 s. 183). De olika Prop. 2017/18:171 registerförfattningarnas innehåll och struktur får anses vara ett resultat av

hur lagstiftaren under åren har bedömt bl.a. den personuppgiftsbehand- ling som görs av en myndighet eller andra aktörer i en viss verksamhet eller för vissa specifika ändamål som avvägt mot bl.a. intresset av skyddet av enskildas personliga integritet. Lagstiftaren har utifrån inte- gritetssynpunkt bedömt att det är väsentligt att inte andra personuppgifter behandlas i viss verksamhet än vad som är befogat utifrån verksamhetens behov och krav. Det är i sådana bedömningar ofta fråga om att balansera intresset av att specificera vilka personuppgifter som får behandlas och på vilket sätt i verksamheten samtidigt som intresset av att undvika tillämpningsproblem eller försvåra nödvändigt och ändamålsenligt nyttjande av it i verksamheten. Vidare har lagstiftaren förhållit sig till om sekretess eller tystnadsplikt gäller för personuppgifterna som syftar till att förhindra obehörig insyn och spridning.

För tillämparen finns det risk att det blir missvisande att endast återge vissa bestämmelser i dataskyddsförordningen när även övriga bestäm- melser i dataskyddsförordningen gäller. Detta kan dock vara motiverat för att förtydliga, t.ex. genom att ta in en bestämmelse som upplyser om innehållet i en specifik bestämmelse i dataskyddsförordningen, i syfte att göra tillämparen uppmärksam på att regleringen i registerförfattningen inom ett visst område inte är uttömmande.

5.4

Myndigheter och verksamheter som inte har

 

 

registerförfattningar

 

 

 

Regeringens bedömning: Lagstiftningsärendet behöver avgränsas till

 

att avse de anpassningar i författningar som i nuläget bedöms behövas

 

med anledning av EU:s dataskyddsförordning. I fråga om de

 

myndigheter eller verksamheter som inte har en särskild register-

 

författning så får det i tillämpningen visa sig om det behövs ytterligare

 

regleringar av behandling av personuppgifter.

 

Socialdataskyddsutredningens bedömning: Överensstämmer i allt

 

väsentligt med regeringens. Utredningen gjorde bedömningen att det inte

 

har framkommit att några myndigheter eller verksamheter inom Social-

 

departementets verksamhetsområde som inte har en registerförfattning

 

behöver kompletterande föreskrifter till följd av att personuppgiftslagen

 

upphävs och dataskyddsförordningen börjar tillämpas.

 

Remissinstanserna: Datainspektionen framför att om lagstiftaren inte

 

säkerställer att nationell lagstiftning införs där behov finns och data-

 

skyddsförordningen så kräver, kan det leda till att samhällsviktiga be-

 

handlingar av personuppgifter kan komma att sakna rättsligt stöd när för-

 

ordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande

 

de verksamheter som hanterar känslig eller integritetskänslig informa-

 

tion. I betänkandet saknas tillräckliga redogörelser och analyser för att

 

kunna bedöma om det behöver införas särskilda nationella dataskydds-

 

bestämmelser för de myndigheter som i dag saknar egna registerförfatt-

 

ningar. Sådana analyser behöver göras i det fortsatta lagstiftningsärendet.

63

Prop. 2017/18:171 Datainspektionen har vid flera tillfällen framfört synpunkter på att det saknas särskilda bestämmelser för den personuppgiftsbehandling som utförs av Folkhälsomyndigheten. En annan myndighet för vilken en registerförfattning kan behöva övervägas är Barnombudsmannen som inom sin verksamhet behandlar känsliga personuppgifter om barn.

Barnombudsmannen (BO) anför att myndigheten i sin verksamhet be- handlar både generella och känsliga personuppgifter i såväl den faktiska verksamheten som myndighetsutövandet. De känsliga personuppgifter som behandlas i den faktiska verksamheten gäller bl.a. uppgifter som in- kommer till myndigheten genom att enskilda tar kontakt med myndig- heten via t.ex. webbformulär samt uppgifter som myndigheten själv inhämtar i frivilliga samtal med barn. I utredningen saknas det belysning av vilka andra myndigheter, däribland BO, som saknar registerförfatt- ningar. Inte heller finns det någon redogörelse för vilken granskning som gjorts av dessa myndigheters behandling av personuppgifter. BO anser därför att utredningen inte har analyserat frågan tillräckligt ingående.

Inspektionen för socialförsäkringen framhåller att det är angeläget för myndigheten att förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen leder till lagstift-

 

ning.

 

Skälen för regeringens bedömning

 

Allmänt om myndigheter och verksamheter som i dag inte har en

 

registerförfattning och utredningsuppdraget

 

Några av de myndigheter och verksamheter som hör till Socialdeparte-

 

mentets verksamhetsområde har i dag inte en särskild registerförfattning.

 

Detta gäller bl.a. Myndigheten för vård- och omsorgsanalys, Inspek-

 

tionen för socialförsäkringen, Myndigheten för familjerätt och föräldra-

 

skapsstöd och Folkhälsomyndigheten. Dessa myndigheter ska i dag

 

tillämpa personuppgiftslagen vid sin behandling av personuppgifter. När

 

personuppgiftslagen upphävs kommer myndigheter och verksamheter

 

som inte omfattas av någon registerförfattning i stället att tillämpa data-

 

skyddsförordningen och den föreslagna dataskyddslagen.

 

Socialdataskyddsutredningen fick därför i uppdrag att undersöka om

 

det till följd av personuppgiftslagens upphävande och regleringen i data-

 

skyddsförordningen behövs kompletterade föreskrifter för vissa myndig-

 

heter och verksamheter som i dag saknar särskilda registerförfattningar

 

och i förekommande fall lämna författningsförslag.

 

Uppdraget omfattade att lämna förslag till de anpassningar till följd av

 

dataskyddsförordningen som behövs av de författningsförslag som

 

lämnats i SOU 2014:67 om behandlingen av personuppgifter inom verk-

 

samheten för Inspektionen för socialförsäkringen, som i dag inte har

 

någon registerförfattning. Socialdataskyddsutredningen har redovisat

 

förslag till ändringar i förslaget till lag om behandling av personuppgifter

 

inom verksamheten för Inspektionen för socialförsäkringen, se t.ex.

 

avsnitt 1.2 och 10.17 i SOU 2017:66.

 

Vidare har Socialdataskyddsutredningen bedömt att uppdraget om-

 

fattade att undersöka om det i dag förekommer någon typ av behandling

 

av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruks-

64

regeln i 5 a § eller en intresseavvägning enligt 10 § f personuppgifts-

lagen, alternativt personuppgiftsförordningen, som behöver författnings- stöd för att kunna fortsätta. Det är dock endast reglering av sådan be- handling av personuppgifter som är mer eller mindre unik för en viss verksamhet och som därför inte rimligen bör omfattas av en generell reglering som får anses ingå i utredningens uppdrag. Sådan behandling som behöver utföras av flera myndigheter, som hör under flera departe- ment, bör däremot inte specialregleras utan i stället omfattas av den generella regleringen i dataskyddslagen.

I syfte att undersöka om det behövs kompletterande föreskrifter för de verksamheter som inte har en registerförfattning har Socialdataskydd- utredningen haft särskilda möten med experterna från de myndigheter som omnämns i utredningsdirektiven, dvs. Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Socialdata- skyddsutredningen har bedömt att det inte framkommit att dessa myndig- heter utför någon myndighetsspecifik behandling av personuppgifter som är tillåten i dag men som behöver författningsregleras för att vara tillåten när personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. De behandlingar som dessa myndigheter har redogjort för är i stället i de flesta fall sådana som till sin natur är gemensamma för många myndigheter och organisationer. Det är därför inte motiverat att reglera behandlingen särskilt utan denna bör i stället omfattas av den generella regleringen.

Genom tilläggsdirektiv har Socialdataskyddsutredningen även fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och om- sorgsanalys.

Remissinstansernas synpunkter

Datainspektionen ifrågasätter utredningens bedömning av följande anled- ningar. När dataskyddsförordningen blir tillämplig är den det primära regelverket. I vissa fall krävs enligt dataskyddsförordningen komp- letterande nationell lagstiftning för att det ska vara tillåtet att behandla personuppgifter. Dataskyddsförordningen ställer enligt artikel 6.3 krav på att den rättsliga grunden måste vara fastställd i unionsrätt eller nationell rätt för att tillämpa de rättsliga grunderna i artikel 6.1 c och e. Om den rättsliga grunden är en rättslig förpliktelse (artikel 6.1 c) ska dessutom syftet med behandlingen vara fastställd i den nationella rätten. Nationell rätt som fastställer de rättsliga grunderna i artikel 6.1 c och e ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges att en rättslig grund bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter. Den före- slagna kompletterande dataskyddslagen innehåller inte ett fastställande av den rättsliga grunden. Däremot kan den rättsliga grunden vara tillräck- ligt tydligt reglerad i myndigheternas uppdrag. Det måste emellertid be- dömas för varje aktuell behandling. Även artikel 9 om känsliga personuppgifter ställer krav på unionsrättslig eller nationell reglering. I

Prop. 2017/18:171

65

Prop. 2017/18:171 betänkandet till den kompletterande dataskyddslagen (SOU 2017:39 s. 162) anges kravet på stöd i nationell rätt innebära att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Datainspektionens bedömning är att verksam- heter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd i nationell rätt än vad som föreskrivs i den föreslagna kompletterande dataskyddslagen.

Datainspektionen framför även att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av person- uppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information.

I betänkandet saknas tillräckliga redogörelser och analyser för att kunna bedöma om det behöver införas särskilda nationella dataskyddsbe- stämmelser för de myndigheter som i dag saknar egna registerförfatt- ningar. Datainspektionen anser att sådana analyser behöver göras i det fortsatta lagstiftningsärendet.

Verksamheter inom Socialdepartementets område är ofta sådana att be- handling av stora mängder känsliga personuppgifter är nödvändig, såsom till exempel hos Folkhälsomyndigheten. Datainspektionen har i flera remissyttranden och i en skrivelse till Socialdepartementet framfört syn- punkter på att det saknas särskilda bestämmelser för den personuppgifts- behandling som utförs av Folkhälsomyndigheten, tidigare Smittskydds- institutet och Statens folkhälsoinstitut (Datainspektionens ärenden 937- 2009, remissyttrande S2009/4733/FH; 1087-2010, remissyttrande S2010/4398/FH; 989-2006, tillsynsbeslut beträffande Smittskydds- institutet och skrivelse till Socialdepartementet och 1654-2012, remiss- yttrande S2012/7860/FS).

Barnombudsmannen (BO) behandlar i sin verksamhet både generella och känsliga personuppgifter i såväl den faktiska verksamheten som i myndighetsutövandet. De känsliga personuppgifter som behandlas i den faktiska verksamheten gäller bl.a. uppgifter som inkommer till myndig- heten genom att enskilda tar kontakt med myndigheten via t.ex. webb- formulär samt uppgifter som myndigheten själv inhämtar i frivilliga samtal med barn. I utredningen saknas det belysning av vilka andra myndigheter, däribland BO, som saknar registerförfattningar. Inte heller finns det någon redogörelse för vilken granskning som gjorts av de myndigheter som inte har registerförfattning eller deras behandling av personuppgifter. BO anser därför att utredningen inte har analyserat frågan tillräckligt ingående.

Detta lagstiftningsärendes avgränsning

Socialdataskyddsutredningen bedömer att det inte har framkommit att några myndigheter eller verksamheter inom Socialdepartementets verk- samhetsområde som inte har en registerförfattning behöver komp- letterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Regeringen är medveten om att det för olika myndigheter och verk-

samheter finns önskemål om att ändra gällande registerförfattningar och

66

att det eventuellt kan finnas behov av ändringar i författningar av be- tydelse för olika myndigheters och verksamheters behandling av person- uppgifter. Orsakerna till önskemålen och behoven skiljer sig åt och kan t.ex. avse att myndigheter och aktörer inom verksamheter vill ha föränd- ring av sina förutsättningar för att behandla personuppgifter för att för- bättra eller underlätta informationshanteringen inom myndigheten eller inom verksamheter eller mellan olika myndigheter eller andra verksam- heter.

För att utreda behov av särskilda registerförfattningar krävs det mycket omfattande arbete med att noga genomlysa förekomsten av all sorts personuppgiftsbehandling hos sådana myndigheter och inom verksam- heter som även kan bedrivas av andra än myndigheter, t.ex. privata ut- förare. Förutom att genomlysa den faktiska personuppgiftsbehandlingen krävs det analys av de föreskrifter som reglerar eller har betydelse för myndigheternas eller verksamheternas bedrivande (t.ex. lagar, förord- ningar, myndighetsföreskrifter och regleringsbrev). Det är således fråga om att ta del av omfattande skriftligt material för att förstå den verksam- het som bedrivs och sedan för att kunna bedöma behovet av nya eller ändrade regler. Det är viktigt att myndigheten själv försöker göra sina be- dömningar av den personuppgiftsbehandling som utförs och att det finns stöd för den.

Med anledning av dataskyddsförordningen har myndigheterna och andra aktörer att primärt utgå från dataskyddsförordningen och sedan den generella lagen som kompletterar dataskyddsförordningen samt eventuellt andra författningar som kan komplettera dataskyddsförord- ningen eller gäller i stället för den generella lagen.

För att genomföra författningsändringar behövs noggranna analyser av hur sådana ändringar förhåller sig till bl.a. den grundlagsskyddade personliga integriteten. I detta ligger att göra en proportionalitetsbedöm- ning mellan behovet av att på visst sätt behandla personuppgifter och det intrång som görs i den personliga integriteten. Behovet av uppgifter be- höver vägas mot den enskildes intresse av skydd för sin personliga inte- gritet. Detta kräver att noggranna och välavvägda analyser görs av hur ändringarna ska förhålla sig till den grundlagsskyddade rättigheten, dataskydds- och sekretessförfattningar.

Det inte ovanligt att myndigheter och andra aktörer mer eller mindre tydligt framför behov av en särskild registerförfattning. I vissa fall är det oklart om dessa själva har gjort några närmare analyser om behoven. Om en myndighet eller annan aktör anser att de behöver en särskild register- författning eller andra regeländringar, kan dessa exempelvis inkomma med skrivelse om behovet, men lämpligast är att dessa först har analyserat behovet och tydligt beskriver de bedömningar de har gjort.

Enligt regeringens mening får detta lagstiftningsärende avgränsas till att avse de anpassningar i författningar som i nuläget bedöms behövas med anledning av dataskyddsförordningen. I fråga om de myndigheter eller verksamheter som inte har en särskild registerförfattning så får det i tillämpningen visa sig om det behövs ytterligare regleringar avseende behandling av personuppgifter.

Frågan om registerförfattning för Inspektionen för socialförsäkringen hanteras inte i detta lagstiftningsärende utan bereds i särskild ordning inom Regeringskansliet.

Prop. 2017/18:171

67

Prop. 2017/18:171 6

Allmänna överväganden

6.1

Nationella bestämmelser anpassar

 

tillämpningen av bestämmelserna i

 

dataskyddsförordningen

Regeringens bedömning: Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestäm- melserna i EU:s dataskyddsförordning när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (artikel 6.2 i EU:s data- skyddsförordning).

Den rättsliga grund för behandlingen som i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen (artikel 6.3).

När den rättsliga grunden för behandlingen är att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsupp- gift av allmänt intresse eller som ett led i den personuppgiftsansvari- ges myndighetsutövning, kan och bör specifika bestämmelser i registerförfattningar som begränsar myndigheters och enskildas möjligheter till behandling av personuppgifter behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen delar inte utredningens bedömning att det är tillåtet att begränsa myndigheters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till dataskyddsförordningen. Dataskyddsförordningen har tillkommit för att ytterligare harmonisera EU-medlemsstaternas reglering av behandling av personuppgifter. EU- förordningar är direkt tillämpliga i medlemsstaterna. Om dataskydds- förordningen i sig ger stöd att behandla personuppgifter, finns det inte utrymme för att ställa ytterligare krav i nationell rätt, om dataskyddsför- ordningen inte medger det. Att det är möjligt att i nationell rätt reglera behandling av personuppgifter mer detaljerat i förhållande till artikel 6.1 c och e framgår av artikel 6.2 och 6.3.

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig och detta innebär att det i vissa fall är otillåtet att in- skränka rätten att behandla personuppgifter eller ålägga skyldigheter vid behandling utöver vad som följer av dataskyddsförordningen.

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna be- hålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av bestämmelserna i dataskyddsförordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa bl.a. en laglig och rättvis behandling när det gäller behand- ling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel

68

6.1 c) eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse och att grunden ska fastställas. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e (dvs. behandling som är nödvändig för att utföra en arbets- uppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning), vara nödvändigt för att utföra en upp- gift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Den rättsliga grund för behandlingen som enligt artikel 6.3 i data- skyddsförordningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behand- ling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland behandling i andra särskilda situationer enligt kapitel IX.

Enligt skäl 45 i dataskyddsförordningen ska man dessutom kunna precisera kraven för att fastställa vem den personuppgiftsansvarige är. Medlemsstaternas nationella rätt bör, enligt det skälet, också reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårds- tjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

I artikel 6.3 andra styckets sista mening stadgas att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Genom dataskyddsförordningens artikel 6.3 är det i vissa fall inte längre – till skillnad från vad som tidigare gällt enligt dataskydds- direktivet och personuppgiftslagen – möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen.

Behandling som utförs av såväl myndigheter som privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stöder sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse (artikel 6.1 c) eller utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Dataskyddsförordningen hindrar således inte att medlemsstaterna i nationell rätt inför mer specifika bestämmelser för att anpassa tillämpningen av förordningens bestämmelser för såväl sina egna myndigheters respektive en- skilda/privata utförares behandling av personuppgifter. Det innebär att det är möjligt att i registerförfattningarna behålla bestämmelser som på olika sätt begränsar möjligheterna till behandling av personuppgifter (jfr artikel 6.3 andra stycket i dataskyddsförordningen och skäl 45).

Prop. 2017/18:171

69

Prop. 2017/18:171 6.2

Registerförfattningarnas tillämpningsområde

 

Regeringens bedömning: Bestämmelser i registerförfattningar om

 

inom vilken verksamhet samt på vilka typer av behandlingar och upp-

 

gifter författningen ska tillämpas påverkas inte av EU:s dataskydds-

 

förordning och bör inte ändras.

 

Om registerförfattningen omfattar verksamhet som faller under

 

tillämpningsområdet för det nya dataskyddsdirektivet, krävs det dock

 

särskilda överväganden.

 

 

 

Socialdataskyddsutredningens bedömning: Överensstämmer med

 

regeringens.

 

Remissinstanserna: Flertalet remissinstanser godtar eller invänder

 

inte mot Socialdataskyddsutredningens bedömning.

 

Pensionsmyndigheten anför att bestämmelsen om tillämpningsområdet

 

i socialförsäkringsbalken inte behövs.

 

Skälen för regeringens bedömning: Av artikel 2.1 i dataskyddsför-

 

ordningen framgår att förordningen ska tillämpas på sådan behandling av

 

personuppgifter som helt eller delvis företas på automatisk väg samt på

 

annan behandling än automatisk av personuppgifter som ingår i eller

 

kommer att ingå i ett register. Ett register är enligt definitionen i artikel

 

4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter

 

som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är

 

centraliserad, decentraliserad eller spridd på grundval av funktionella

 

eller geografiska förhållanden. Med personuppgifter avses enligt artikel

 

4.1 i dataskyddsförordningen varje upplysning som avser en identifierad

 

eller identifierbar fysisk person, varvid en identifierbar fysisk person är

 

en person som direkt eller indirekt kan identifieras särskilt med hänvis-

 

ning till en identifierare som ett namn, ett identifikationsnummer, en

 

lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som

 

är specifika för den fysiska personens fysiska, fysiologiska, genetiska,

 

psykiska, ekonomiska, kulturella eller sociala identitet.

 

Tillämpningsområdet anges i det nu gällande dataskyddsdirektivet i

 

relevanta delar på samma sätt som i dataskyddsförordningen. I 5 §

 

personuppgiftslagen används inte ordet register, utan en modifierad

 

formulering av dataskyddsdirektivets definition av ett register, nämligen

 

en strukturerad samling av personuppgifter som är tillgängliga för sök-

 

ning eller sammanställning enligt särskilda kriterier. Enligt 3 § person-

 

uppgiftslagen avses med personuppgifter all slags information som direkt

 

eller indirekt kan hänföras till en fysisk person som är i livet.

 

Registerförfattningarna omfattar i allmänhet samma typer av behand-

 

lingar och personuppgifter som dataskyddsdirektivet, personuppgifts-

 

lagen och dataskyddsförordningen. Ibland är tillämpningsområdet in-

 

skränkt till att avse bara viss typ av behandling, t.ex. automatiserad, eller

 

typ av personuppgift och ibland är tillämpningsområdet utvidgat till att

 

avse ytterligare uppgifter, t.ex. uppgifter om avlidna eller juridiska per-

 

soner. Registerförfattningar reglerar vidare bara behandling inom en viss

 

i författningen angiven verksamhet.

 

Dataskyddsförordningen hindrar inte att medlemsstaterna fritt be-

70

stämmer

tillämpningsområdet för nationell lagstiftning. Frågor som

 

 

ligger utanför dataskyddsförordningens tillämpningsområde kan således Prop. 2017/18:171 regleras i en författning som kompletterar dataskyddsförordningen, och

en sådan författning behöver inte reglera alla typer av behandlingar eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförord- ningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer. Att med- lemsstaterna får fastställa bestämmelser för behandlingen av personupp- gifter avseende avlidna personer framgår dessutom av skäl 27 i data- skyddsförordningen.

De registerförfattningar som i dag gäller för uppgifter om avlidna per- soner eller juridiska personer kan således även fortsättningsvis tillämpas på sådana uppgifter. Socialdataskyddsutredningens slutsats är att be- stämmelser i registerförfattningar som reglerar vilka typer av behand- lingar och uppgifter författningen ska tillämpas på inte behöver ändras med anledning av dataskyddsförordningen. Regeringen instämmer i denna bedömning.

I fråga om författningen som omfattar behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten så ska enligt artikel 2.2 d i dataskyddsförordningen förordningen inte tillämpas. I stället ska dataskyddsdirektivet tillämpas. Det innebär att det finns myndigheter som kommer att behöva tillämpa regleringen i dataskyddsförordningen, och den kompletterande nationella lagstiftningen, för behandling av personuppgifter. Det gäller framför allt myndigheterna inom rättskedjan men även andra myndigheter kan ha uppdrag som i någon del innebär brottsbekämpning, lagföring eller verk- ställigheten av påföljder. Hur denna gränsdragningsfråga bör hanteras redogörs för i avsnitten 6.3, 7.1 och 7.4.

6.3Registerförfattningarnas förhållande till annan dataskyddsreglering

Regeringens bedömning: Registerförfattningarna bör innehålla en upplysning om att författningarna kompletterar EU:s dataskyddsför- ordning.

Dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen bör gälla, om inte annat följer av registerförfatt- ningen eller föreskrifter som har meddelats med stöd av den.

Dataskyddsförordningen tillämpas inte när det är fråga om person- uppgiftsbehandling som en behörig myndighet utför i syfte att före- bygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt före- bygga och förhindra hot mot den allmänna säkerheten (artikel 2.2 d i EU:s dataskyddsförordning).

71

Prop. 2017/18:171

Socialdataskyddsutredningens bedömning: Överensstämmer i allt

 

väsentligt med regeringens. Utredningens förslag innehåller dock inte

 

formuleringen föreskrifter som har meddelats i anslutning till data-

 

skyddslagen.

 

Remissinstanserna: Flertalet remissinstanser godtar eller invänder

 

inte mot Socialdataskyddsutredningens bedömning.

 

Datainspektionen anser att samma terminologi bör användas i all

 

nationell reglering som rör behandling av personuppgifter, vilket även

 

innefattar vilken förkortning som används. I författningsförslagen i be-

 

tänkandet används förkortningen Europaparlamentets och rådets förord-

 

ning (EU) nr 2016/679. Datainspektionen konstaterar att i förslaget till

 

den kompletterande dataskyddslagen används förkortningen dataskydds-

 

förordningen, jfr 1 kap. 1 § förslaget till kompletterande dataskyddslag.

 

I den mån både dataskyddsförordningen och brottsdatalagen kan bli

 

tillämplig inom en viss verksamhet är det av stor vikt att lagstiftaren tyd-

 

liggör för verksamheterna vilka bestämmelser som ska tillämpas i vilken

 

situation. Inom hälso- och sjukvården och inom socialtjänsten finns det

 

delar av verksamheten som utgör verkställighet av påföljder inom rätts-

 

väsendet. Den personuppgiftsbehandling som utförs för dessa ändamål

 

omfattas inte av dataskyddsförordningen utan i stället av ett direktiv, som

 

i Sverige genomförs genom en brottsdatalag. Detta kommer att ställa

 

stora krav på verksamheterna i deras arbete med personuppgiftsbehand-

 

ling. Behandlingen av personuppgifter inom dessa verksamheter måste

 

vid varje givet tillfälle vara i enlighet med det regelverk som är

 

tillämpligt på den behandling som utförs just då. Lagstiftaren bör mot

 

bakgrund av detta söka tydliggöra för verksamheterna och de registrerade

 

vilket regelverk som är tillämpligt när, och i den mån det är möjligt,

 

harmonisera regelverken för att underlätta en korrekt behandling. I den

 

mån en författning innehåller bestämmelser om dels verksamheten som

 

sådan, dels personuppgiftsbehandling måste det vara tydligt vilka be-

 

stämmelser som har sin grund i dataskyddsförordningen.

 

Även Justitiekanslern har anfört att det är mycket angeläget att samma

 

allmänna utgångspunkter tillämpas och likartade lagtekniska lösningar

 

väljs för alla de författningar som tillkommer eller ses över med anled-

 

ning av EU:s dataskyddsreform. Det gäller t.ex. en sådan fråga som i

 

vilken mån det behövs upplysningsparagrafer som hänvisar till data-

 

skyddsförordningens bestämmelser och hur sådana ska utformas.

 

Skälen för regeringens bedömning

 

Upplysningsbestämmelser om förhållandet till annan

 

dataskyddsreglering

 

I registerförfattningarna finns det ofta en bestämmelse som anger hur

 

författningen förhåller sig till personuppgiftslagen. I samband med att

 

dataskyddsförordningen och den föreslagna dataskyddslagen börjar till-

 

lämpas kommer personuppgiftslagen att upphävas.

 

I propositionen Ny dataskyddslag (avsnitt 5.1.3) föreslår regeringen i

 

dataskyddslagen (1 kap. 6 §) att om en annan lag eller en annan förord-

 

ning innehåller bestämmelse som avviker från den lagen tillämpas den

 

bestämmelsen. Dataskyddslagen kommer därmed att vara subsidiär i

72

förhållande till annan lagstiftning om behandling av personuppgifter.

Regeringen betonar att bestämmelsen om subsidiaritet kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § personupp- giftslagen, även om dess innebörd är densamma. Detta beror på att data- skyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförord- ningen och reglerar bara vissa frågor. Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte utrymmet för att göra nationella undantag från de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (prop. 2017/18:105 s. 27).

Registerförfattningarna kommer endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en tydligare uppfattning av vilken reglering som gäller bör en bestämmelse med en upplysning om att data- skyddsförordningen gäller tas in i registerförfattningarna. Hänvisningen till dataskyddsförordningen ska vara dynamisk och gälla oavsett lydelse. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hän- visningsteknik och redovisas för var och en av de hänvisningar som görs (prop. 2015/16:156 s. 34). Eftersom dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen i det här fallet endast är att upp- lysa om att dataskyddsförordningen gäller, framstår det som lämpligast att tillämpa en dynamisk hänvisning.

På Socialdepartementets verksamhetsområde finns det ingen register- författning som gäller i stället för personuppgiftslagen, utan författ- ningarna gäller utöver den lagen och innehåller bara de särbestämmelser som ansetts nödvändiga på det aktuella området. Den regleringstekniken

– att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter – kan och bör behållas.

Eftersom dataskyddslagen som nämnts är tänkt att vara subsidiär be- hövs ingen materiell bestämmelse för att uppnå detta. Registerförfatt- ningarna innehåller dock ändå ofta en bestämmelse om förhållandet till den generella lagen (tidigare personuppgiftslagen som kommer att er- sättas av dataskyddslagen). Normalt är det en upplysning om att den generella personuppgiftslagen gäller om inte annat följer av register- författningen eller föreskrifter som har meddelats i anslutning till författ- ningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, anser regeringen att det är lämpligt att uttryckligen upplysa om inte bara att registerförfattningen kompletterar dataskyddsförordningen utan också att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller före- skrifter som har meddelats i anslutning till den. Registerförfattningarna bör därför innehålla en sådan upplysning. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Detta innebär att eventuella förordnings- bestämmelser om undantag från dataskyddslagens tillämplighet gäller.

Bestämmelser om förhållandet till dataskyddsförordningen och data- skyddslagen har i flera lagstiftningsärenden som avser anpassningar till

Prop. 2017/18:171

73

Prop. 2017/18:171

74

EU:s dataskyddsförordningen fått följande utformning: Denna lag inne- håller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser om förhållandet till personuppgiftslagen finns även i vissa författningar som i huvudsak innehåller reglering av en viss verk- samhet men som i anslutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. Även sådana be- stämmelser bör ändras i enlighet med vad som anges ovan. Socialdata- skyddsutredningen bedömer att eftersom dessa typer av författningar även reglerar annat än behandling av personuppgifter, bör det dock läggas till att lagen i dessa fall kompletterar dataskyddsförordningen endast vid behandling av personuppgifter. Regeringen anser dock att ett sådant tillägg inte behövs utan att detta framgår av bestämmelsens ovan angivna utformning.

Förhållandet till nya dataskyddsdirektivet och den föreslagna brottsdatalagen

Vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten gäller inte dataskyddsförordningen utan det nya dataskyddsdirektivet (artikel 2.2 d i dataskyddsförordningen).

Regeringen föreslår i lagrådsremissen Brottsdatalag att EU:s nya data- skyddsdirektiv i huvudsak ska genomföras genom en ny ramlag, brotts- datalagen. Den föreslagna ramlagen gäller vid behandling som utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrätts- liga påföljder. Den nya lagen ska vara generellt tillämplig inom det område som direktivet reglerar. Särregler i annan lag eller förordning ska dock gälla framför den nya lagen.

I lagrådsremissen Brottsdatalag avsnitt 6.7, redovisas gränsdragnings- frågor som hör till tillämpningsområdet. Vid bedömning av om en viss personuppgiftsbehandling faller under ramlagens eller dataskyddsförord- ningens tillämpningsområde har det avgörande betydelse om den som behandlar personuppgifter är en behörig myndighet och i vilket syfte uppgiften behandlas. Mot bakgrund av den gränsdragning som EU valt att göra mellan dataskyddsdirektivets och dataskyddsförordningens till- lämpningsområden, där syftet med en behandling av personuppgifter är avgörande, är det ofrånkomligt att båda regelverken kommer att kunna bli tillämpliga i samma arbetsmoment för olika syften. Sammantaget

delar regeringen de bedömningar som Utredningen om 2016 års data- Prop. 2017/18:171 skyddsdirektiv gjort när det gäller tillvägagångssätt i gränsdragnings-

frågor. Ytterligare vägledning kring gränsdragningsfrågor finns i delbe- tänkandet (SOU 2017:29). Regeringen gör bedömningen att frågor om gränsen mellan dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde aktualiseras vid viss personuppgiftsbehandling inom Socialdepartementets verksamhetsområde. Detta gäller patientdatalagen (2008:355), se vidare avsnitt 7.1, och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, se vidare avsnitt 7.4. Regeringen anser att patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten inte bör bli subsidiära i förhållande till den före- slagna brottsdatalagen, om det inte finns starka skäl för att ha en sådan reglering. För den som behandlar personuppgifter inom exempelvis hälso- och sjukvården eller socialtjänsten i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot det allmänna, skulle det knappast underlätta bedömningen av vilken lag- stiftning som gäller för en viss behandling. För sådan personuppgiftsbe- handling bör den föreslagna brottsdatalagen tillämpas.

Behandling av personuppgifter som inte omfattas av dataskyddsförordningen och nya dataskyddsdirektivet

Det förekommer vidare behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet. Ett exempel är behandling av personuppgifter inom hälso- och sjukvård i vissa delar av Försvarsmaktens verksamhet.

I propositionen Ny dataskyddslag föreslår regeringen att bestämmel- serna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och data- skyddslagen ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksam- het som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (1 kap. 2 § dataskyddslagen).

Bestämmelserna i 1 kap. 2 § gäller inte i verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdata- lagen (2010:361), (1 kap. 3 § dataskyddslagen).

En författning som reglerar behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskydds- direktivet kommer i många fall att kompletteras av dataskyddsförord- ningen på grund av bestämmelsen i 1 kap. 2 § dataskyddslagen.

6.4

Principer för personuppgiftsbehandling

 

 

 

Regeringens bedömning: De grundläggande principerna för behand-

 

ling av personuppgifter är tvingande och gäller t.ex. även när det av en

 

registerförfattning framgår att personuppgifter får behandlas för ett

 

visst ändamål (artikel 5 i EU:s dataskyddsförordning).

75

 

 

 

 

Prop. 2017/18:171 Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: I artikel 5 i dataskydds- förordningen finns ett antal principer som gäller för all behandling av personuppgifter. Det rör sig om principen om laglighet, korrekthet och öppenhet (a), principen om ändamålsbegränsning (b), principen om uppgiftsminimering (c), principen om korrekthet (d), principen om lagringsminimering (e) och principen om integritet och konfidentialitet

(f). Principerna motsvarar i stort sett de principer som framgår av artikel 6 i dataskyddsdirektivet och de grundläggande krav på behandling av personuppgifter som gäller enligt 9 § personuppgiftslagen.

Dataskyddsförordningen är direkt tillämplig och tvingande i de delar den inte tillåter nationell reglering. Enligt artikel 23 i dataskyddsförord- ningen är det under vissa förutsättningar möjligt att införa en nationell lagstiftningsåtgärd som begränsar tillämpningsområdet för artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Om någon begränsning inte har införts i den nationella lagstiftningen, ska dock artikel 5 tillämpas även när en regi- sterförfattning är tillämplig.

Att artikel 5 i dataskyddsförordningen gäller vid sidan av regleringen i en registerförfattning innebär ingen förändring i förhållande till vad som gäller i dag. Även om personuppgiftslagen är subsidiär i förhållande till registerförfattningarna, har utgångspunkten för de allra flesta registerför- fattningar varit att 9 § personuppgiftslagen huvudsakligen ska tillämpas. Att det av en registerförfattning framgår att personuppgifter får behand- las för ett visst ändamål, innebär således inte att t.ex. irrelevanta eller onödigt många personuppgifter får behandlas för ändamålet. Oavsett om ändamålet för behandling av personuppgifter har fastställts i författning eller inte är det alltid den personuppgiftsansvarige som enligt artikel 5.2 i dataskyddsförordningen ansvarar för och ska kunna visa att principerna i artikel 5 följs.

 

6.5

Rättslig grund för behandling av

 

 

personuppgifter

 

6.5.1

Laglig behandling av personuppgifter vid rättslig

 

 

förpliktelse, allmänt intresse och

 

 

myndighetsutövning

 

 

 

Regeringens bedömning: Ändamålsbestämmelser i registerförfatt-

 

ningar som grundar sig på en rättslig förpliktelse eller en arbetsuppgift

 

av allmänt intresse eller som ett led i myndighetsutövning har stöd i

 

EU:s dataskyddsförordning. Det krävs inte ytterligare analys av vilket

 

stöd redan befintliga ändamål har för att konstatera att behandlingen är

 

laglig och har nödvändigt författningsstöd. Ändamålsbestämmelser i

 

registerförfattningar som tillåter behandling av personuppgifter kan

76

och bör behållas.

 

 

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att luta sig mot bedömningar som har gjorts för länge sedan enligt ett annat regelverk utan att ta hänsyn till de omständigheter som råder i dag. Det är inte tillräckligt att hänvisa till de proportionalitetsbedöm- ningar som utförts i tidigare lagstiftningsarbete, utan att det sker någon bedömning av dessa. Eftersom det är frågan om inskränkning i den enskildes rättigheter som bara får ske under förutsättning att den är pro- portionell, krävs det en aktiv bedömning. Vidare finns det förändringar mellan dataskyddsdirektivet och dataskyddsförordningen såsom exem- pelvis att det i vissa fall krävs en i nationell rätt fastställd rättslig grund (artikel 6.3 första stycket), att intresseavvägning inte kan användas som rättslig grund för myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket) och att det är tydligare i dataskyddsförordningen att möj- ligheten för offentlig verksamhet att använda samtycke är mycket be- gränsad (skäl 43).

Socialstyrelsen delar utredningens uppfattning att de ändamål som fastställts i befintliga registerförfattningar med stöd av artikel 7 c och e i dataskyddsdirektivet i samband med tidigare författningsarbeten har be- dömts relevanta och proportionerliga i förhållande till det integritets- intrång de kan innebära och att det finns mål av allmänt intresse. För vissa registerförfattningar finns inte några förarbetsuttalanden att tillgå och att det i andra författningar finns förarbetsuttalanden som är från den tid då dataskyddsdirektivet genomfördes i svensk rätt. Det är därför önskvärt med förtydliganden i det fortsatta lagstiftningsarbetet vad gäller de olika registerförfattningarnas förenlighet med kraven på proportiona- litet i artikel 6.3 andra stycket sista meningen och kraven i skäl 41 i dataskyddsförordningen. Myndigheten ska inte behöva göra dessa be- dömningar när det redan finns författningsstöd.

Pensionsmyndigheten anför att myndighetens verksamhet regleras av instruktionen, socialförsäkringsbalken, lagen och förordningen om den officiella statistiken och annan offentligrättslig reglering såsom förvalt- ningslagen, arkivlagen och bestämmelser om offentlighet och sekretess samt särskilda regeringsbeslut. Den samlade regleringen uppställer tyd- liga ramar för vad myndigheten har för uppgifter och hur de ska utföras. Den behandling av personuppgifter som myndigheten utför har sin grund i en uppgift av allmänt intresse, myndighetsutövning och i vissa fall en rättslig skyldighet. En tillämpning av det sammantagna regelverket, till- sammans med artikel 5 i förordningen, gör det möjligt att enkelt fastställa tydliga och lagenliga ändamål för behandlingen av personuppgifter. Någon särskild, kompletterande författningsreglering av ändamålen för myndighetens behandling av personuppgifter behövs inte. Bestämmel- serna i 114 kap. 7–9 §§ socialförsäkringsbalken är inte sådana nationella mer specifika bestämmelser som avses i artikel 6.2 i dataskyddsförord- ningen, utan får betraktas som upplysningsbestämmelser om den uppgift av allmänt intresse som slås fast i andra föreskrifter. Artikel 5 i data- skyddsförordningen gäller oavsett förekomsten av nationell reglering av tillåtna ändamål. Detta medför att Pensionsmyndigheten har en indirekt

Prop. 2017/18:171

77

Prop. 2017/18:171 lagprövningsskyldighet av de nationellt reglerade ändamålen jämfört med vad som framgår av regelverket för myndighetens verksamhet och artikel 5. Den nuvarande regleringen av tillåtna ändamål för personupp- giftsbehandling inom ramen för socialförsäkringens administration inne- bär att utgångspunkten är att behandlingar av personuppgifter är tillåten endast om det i lag eller annan författning är uttryckligen tillåtet. De tillåtna ändamålen finns angivna huvudsakligen i 114 kap. 7–9 §§ social- försäkringsbalken. Dessa ändamålsbestämmelser är mycket allmänt hållna och ger i allt väsentligt enbart uttryck för den uppgift av allmänt intresse som kan utläsas enligt de materiella författningar som gäller för Pensionsmyndighetens verksamhet. De ger inte en tillämpare någon närmare vägledning vid fastställandet av om det finns en rättslig grund i form av uppgift av allmänt intresse som en behandling av person- uppgifter kan baseras på. Vid beslut om att utföra en viss typ av behand- ling av personuppgifter efter den 25 maj 2018 kommer Pensionsmyndig- heten ändå att behöva fastställa närmare ändamål enligt artikel 5 för att behandlingen ska anses tillåten.

Örebro läns landsting delar utredningens bedömning att registerförfatt- ningarna uppfyller de nya krav på rättslig grund för behandling av personuppgifter som ställs i dataskyddsförordningen.

Datainspektionen anser att det är av stor vikt att lagstiftaren tar ställ- ning till om en allmän konsekvensbedömning ska utföras av lagstiftaren och att den i sådana fall följer kraven på hur en konsekvensbedömning ska genomföras enligt artikel 35.

Örebro läns landsting, Östergötlands läns landsting och Inera AB anser att konsekvensbedömningar behöver inte alls göras vid personupp- giftsbehandling inom registerförfattningarnas tillämpningsområde, såsom patientdatalagen. Detta bör klargöras så att det inte kommer råda någon osäkerhet.

Skälen för regeringens bedömning

Rättslig grund för behandling av personuppgifter

Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

b)Behandling är nödvändig för att fullgöra ett avtal i vilket den regi-

strerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk

person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutöv- ning.

78

f) Behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter eller friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. Europeiska unionens domstol har uttalat att begreppet nödvändigt i dataskyddsdirektivet har en unionsrättslig innebörd. Kravet på nödvändighet enligt dataskyddsdirektivet har inte ansetts innebära att det ska vara omöjligt att utföra en uppgift om inte personuppgifter behandlas. Trots att en uppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behandlingen anses nöd- vändig om den innebär effektivitetsvinster (dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724, och SOU 2017:39 s. 105–106).

Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak de- samma som anges i artikel 7 i dataskyddsdirektivet och som genomförts i svensk rätt genom 10 § personuppgiftslagen. En skillnad är dock att myndigheter enligt dataskyddsförordningen inte får behandla person- uppgifter med stöd av en intresseavvägning när de fullgör sina uppgifter (artikel 6.1 andra stycket i dataskyddsförordningen).

Uppräkningen i artikel 6 är uttömmande. Om inget av villkoren är till- lämpliga så är behandlingen inte laglig och får inte utföras. Flera av vill- koren är överlappande och flera kan vara tillämpliga avseende samma behandling av personuppgifter. Utöver det grundläggande kravet på att behandling av personuppgifter måste vara laglig enligt nämnda artikel så gäller också andra krav som följder av dataskyddsförordningen. De grundläggande principerna för behandling av personuppgifter, dvs. de allmänna krav som gäller för all personuppgiftsbehandling som anges i artikel 5.1 i dataskyddsförordningen ska också följas, se avsnitt 6.4.

Regeringen redogör i propositionen Ny dataskyddslag närmare för artiklarna 5 och 6 i dataskyddsförordningen, bl.a. att de är grundläggande och kumulativa samt dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas (prop. 2017/18:105 s. 48).

Grunden för behandlingen ska ha stöd i rättsordningen

Den grund för behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (allmänt intresse och myndighetsutövning) i dataskyddsförordningen ska enligt artikel 6.3 fastställas i enlighet med EU-rätten eller den nationella rätt som den personuppgiftsansvarige omfattas av.

Regeringen anför i propositionen Ny dataskyddslag (avsnitt 8.2) bl.a. följande. När det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e) måste det emellertid även finnas ett annat stöd i rättsordningen än det som ges i dataskyddsförordningen. I artikel 6.3 första stycket i dataskyddsförord- ningen anges det nämligen att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas

Prop. 2017/18:171

79

Prop. 2017/18:171 av. I skäl 45 i dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet (prop. 2017/18:105 s. 49).

Det bör emellertid betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legali- tetsprincipen är en av de principer som kännetecknar Sverige som rätts- stat. Principen är grundlagsfäst genom 1 kap. 1 § regeringsformen, förkortad RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen (prop. 2017/18:105 s. 50).

Syftet med behandlingen

Enligt artikel 6.3 andra stycket ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämp- ningen av bestämmelserna i denna förordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ända- målsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I fråga om rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförord- ningen krävs enligt artikel 6.3 i dataskyddsförordningen att syftet med behandlingen är fastställt i den rättsliga grunden. Det framgår inte av dataskyddsförordningen att syftet ska vara fastställt i en registerförfatt- ning som reglerar behandling av personuppgifter utan syftet kan även finnas i exempelvis den författning som reglerar själva verksamheten.

För behandling av personuppgifter för att utföra arbetsuppgifter av all-

mänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i

80

dataskyddsförordningen finns det inget krav på att syftet med behand- lingen av personuppgifter ska framgå av den rättsliga grunden i stället ska syftet enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.

I fråga om bestämmelse artikel 6.3 andra stycket sista meningen konstaterar regeringen i propositionen Ny dataskyddslag att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Den personuppgiftsansvarige behöver därmed inte göra någon proportiona- litetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden och följa de grundläggande principerna i artikel 5. Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen, där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägen- heter som kan antas uppstå för den som åtgärden riktas mot (prop. 2017/18:105 s. 50).

Av skäl 41 i dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta är ett uttryck för legalitetsprincipen och utgör således inte någon nyhet inom den svenska offentliga förvaltningen.

Vilken grad av tydlighet och precision som krävs i fråga om den rätts- liga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den person- liga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden, krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF (prop. 2017/18:105 s. 51).

Prop. 2017/18:171

81

Prop. 2017/18:171

82

Registerförfattningarna inom Socialdepartementets verksamhetsområde

I registerförfattningarna inom Socialdepartementets verksamhetsområde anges inom vilka verksamheter eller för vilka ändamål personuppgifter behandlas. Av författningarna framgår vilka personuppgifter som får be- handlas.

Socialdataskyddsutredningen anser att det får förutsättas att man under författningsarbetet har funnit stöd för behandling av personuppgifter enligt ändamålen i artikel 7 i dataskyddsdirektivet och att ändamålen nu har motsvarande stöd i dataskyddsförordningen. De ändamål som anges i registerförfattningarna har ofta stöd i någon av grunderna rättslig för- pliktelse, allmänt intresse eller myndighetsutövning. Grunderna är ibland överlappande på så sätt att ett ändamål kan ha stöd i mer än en grund. Exempelvis kan en rättslig förpliktelse att föra ett visst register även anses utgöra en arbetsuppgift av allmänt intresse. Socialdataskyddsutred- ningen anser att någon ytterligare analys av vilket stöd redan befintliga ändamål, som grundar sig på en rättslig förpliktelse, allmänt intresse eller myndighetsutövning (artikel 7 c och e i dataskyddsdirektivet), har i data- skyddsförordningen, krävs därför inte för att konstatera att behandlingen är laglig enligt dataskyddsförordningen.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att luta sig mot bedömningar som har gjorts för länge sedan enligt ett annat regelverk utan att ta hänsyn till de omständigheter som råder i dag. Det är inte tillräckligt att hänvisa till de proportionalitetsbedöm- ningar som utförts i tidigare lagstiftningsarbete, utan att det sker någon bedömning av dessa.

Regeringen anser att de ovan återgivna bedömningarna om legalitets- principen och Europakonventionen i propositionen Ny dataskyddslag gör sig lika mycket gällande i fråga om de sektorsspecifika registerförfatt- ningarna inom Socialdepartementets verksamhetsområde som i fråga om överväganden om reglering på generell nivå. Detta innebär att det dels finns grund för behandlingar av personuppgifter i den nationella rätten, dels även att kravet på proportionalitet är uppfyllt.

Grunden för behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myn- dighetsutövning mot enskild är redan fastställd i nationell rätt. Rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. I vissa fall kan den rättsliga förpliktelsen framgå av registerförfattningen, t.ex. bestämmelser om att ett visst register ska föras, att personuppgifter ska gallras, att uppgifter ska lämnas ut eller att patientjournaler ska föras. När behandling som tillåts enligt en registerförfattning grundas på en rättslig förpliktelse eller myndighetsutövning får det förutsättas att författningsstödet för för- pliktelsen respektive myndighetsutövningen hade identifierats när be- handlingen tilläts. Det gör att den personuppgiftsansvarige kan utgå från att nödvändiga författningsbestämmelser finns när behandling har tillåtits i en registerförfattning med stöd av artikel 7 c eller, när det gäller myn- dighetsutövning, artikel 7 e i dataskyddsdirektivet. Ändamålsbestämmel- ser i registerförfattningar inom Socialdepartementets verksamhetsområde grundar sig ofta på arbetsuppgifter av allmänt intresse eller rättslig förpliktelse. Arbetsuppgifterna härrör mestadels från uppdrag och

åligganden som framgår av olika verksamhetsorienterade författningar, t.ex. hälso- och sjukvårdslagen (2017:30), läkemedelslagen (2015:315), socialtjänstlagen (2001:453), socialförsäkringsbalken och myndigheters instruktioner. Arbetsuppgifterna kan också anges i regeringsbeslut såsom regleringsbrev och andra regeringsuppdrag. Den rättsliga grunden för be- handling av personuppgifter för arbetsuppgifter av allmänt intresse är således i de allra flesta fall fastställd genom någon annan rättsakt än registerförfattningen. Skulle så inte vara fallet, är den rättsliga grunden i vart fall fastställd genom registerförfattningens ändamålsbestämmelse.

Regeringen instämmer därmed i Socialdataskyddsutredningens slut- satser om att det får förutsättas att t.ex. de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare för- fattningsarbeten har bedömts vara relevanta och proportionerliga i för- hållande till det integritetsintrång personuppgiftsbehandlingen kan inne- bära. Detta gäller även i de fall registerförfattningar saknar förarbeten i den meningen att t.ex. förarbetena inte tydligt redovisar bedömningarna eller om det är fråga om en förordning, som ju i regel saknar förarbeten. Regeringen anser till skillnad från Pensionsmyndigheten att bestämmel- serna i t.ex. 114 kap. 7–9 §§ socialförsäkringsbalken är sådana nationella mer specifika bestämmelser som avses i artikel 6.2 i dataskyddsförord- ningen. Regeringen anser att myndigheter och andra aktörer inte ska behöva göra dessa bedömningar i de fall det finns författningsstöd för behandling av personuppgifter i befintliga författningar.

Konsekvensbedömningar

Enligt artikel 35 i dataskyddsförordningen kommer den personuppgifts- ansvarige att vara skyldig att göra en konsekvensbedömning före en be- handling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. I vissa fall måste även för- handssamråd ske med tillsynsmyndigheten. Detta är en ny skyldighet för den personuppgiftsansvarige.

Socialdataskyddsutredningen anser att skyldigheten har störst betydel- se när verksamheten inte omfattas av särskild registerlagstiftning. En konsekvensbedömning enligt artikel 35.10 i dataskyddsförordningen behöver nämligen som regel inte göras vid behandling som utförs med stöd av artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse, allmänt intresse eller myndighetsutövning) när en konsekvensutredning redan har genomförts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen.

Remissinstanserna Datainspektionen, Örebro läns landsting, Östergötlands läns landsting och Inera AB framför att de ser behov av klargöranden av om konsekvensbedömningar behöver göras vid person- uppgiftsbehandling inom registerförfattningarnas tillämpningsområde.

Regeringen anser att det får förutsättas att de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare för- fattningsarbeten har bedömts vara relevanta och proportionerliga i för- hållande till det integritetsintrång personuppgiftsbehandlingen kan inne- bära. Regeringen anser att det i sådana fall inte är nödvändigt för den

Prop. 2017/18:171

83

Prop. 2017/18:171 personuppgiftsansvarige att göra ytterligare konsekvensbedömningar i de fall behandlingen av personuppgifter har stöd i befintliga registerförfatt- ningar.

6.5.2Samtycke som rättslig grund

Regeringens bedömning: Bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas. Om bestämmelsen omfattar behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e i EU:s dataskyddsförordning, krävs dock särskilda överväganden.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen bedömer att särskilda över- väganden krävs för bestämmelser som omfattar enskildas behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen efterfrågar noggranna överväganden kring bestäm- melser i registerförfattningar om samtycke som rättslig grund för behand- ling av personuppgifter. Övervägandena måste bl.a. beakta kravet på att ett samtycke måste vara frivilligt och att dataskyddsförordningen inte ger mandat till nationella bestämmelser avseende samtycke som rättslig grund. Utredningen har angett att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas, men om den rättsliga grunden inte utgörs av rättslig förpliktelse enligt artikel 6.1 c eller allmänt intresse eller myndighetsutövning enligt artikel 6.1 e krävs särskilda överväganden om det avser enskildas behandling. Dataskyddsförordningen är utformad så att offentlig verksamhet förväntas få stöd från lagstiftaren för den behandling av personuppgifter som verksamheterna behöver utföra, se bl.a. skäl 47. Såsom anges i betänkandet bör samtycke inte heller utgöra rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgifts- ansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt (skäl 43). Många verksamheter inom Socialdepartementets område har i uppgift att ge stöd, vård och omsorg till personer som är i behov av det. Det är således verksamheter där det oftast råder ojämlikhet mellan den registrerade och den personuppgiftsansvarige, t.ex. läkare och patient respektive socialsekreterare och mottagare av bistånd. Utrymmet för att samtycke ska kunna utgöra den rättsliga grunden är mycket snäv. Medlemsstaterna har, enligt artikel 6.2, enbart stöd för att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen gällande artikel 6.1 c och e. Samtycke som rättslig grund ger inte medlemsstaterna utrymme för egen nationell reglering enligt artikel 6.3. Datainspektionen delar bedöm- ningen att bestämmelser om samtycke som rättslig grund kräver särskilda överväganden, men anser att det krävs för alla verksamheter inom

84

Socialdepartementets område oavsett om de bedrivs av enskilda aktörer eller myndigheter.

Datainspektionen anser vidare att de registerförfattningar som inne- håller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation där den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar sam- tycke kan ges och hur samtycket påverkar övriga regler i aktuell register- författning. Det saknas sådana överväganden i betänkandet, exempelvis hänvisas beträffande 6 § apoteksdatalagen och 4 § andra stycket lagen om receptregister enbart till avsnitt 9.10.2. I avsnitt 10.1.6 avseende 2 kap. 3 § första stycket patientdatalagen anges att enligt den bedömning utredningen har gjort i avsnitt 9.10.2 behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av person- uppgifter på samtycke inte göras. Utredningen konstaterar därefter att bestämmelsen kan behållas.

Regler från dataskyddsförordningen som inte ska eller får regleras nationellt, får enligt skäl 8 enbart införlivas i nationell rätt om det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Datainspektionen anser att såsom de aktuella bestämmelserna är utformade kan det ge verksamheterna en felaktig uppfattning om att samtycke kan utgöra den rättsliga grunden på ett betydligt vidare sätt än vad dataskyddsförordningen avsett för offentlig verksamhet. Det är inte heller möjligt att, utifrån registerförfattningarna, förstå att särskilda förhållanden råder till de övriga reglerna i register- författningen när den rättsliga grunden är samtycke. Bestämmelserna om samtycke som rättslig grund ökar således inte begripligheten och kan därför, enligt Datainspektionen, inte behållas i sin nuvarande utformning.

Örebro läns landsting anser att kraven på samtycke synes ha skärpts något i dataskyddsförordningen. Det är dock svårt att överblicka hur stor denna förändring egentligen är och vilka konsekvenserna kan bli exempelvis inom hälso- och sjukvårdens område samt att en sådan analys hade kunnat vara av intresse för rättstillämpningen.

Skälen för regeringens bedömning: Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter.

Av artikel 6.1 a i dataskyddsförordningen och artikel 7 a i dataskydds- direktivet följer att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4.11 i dataskydds- förordningen som varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett ut- talande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Definitionen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.

I artikel 7 om villkor för samtycke och 8 om villkor som gäller barns samtycke avseende informationssamhällets tjänster i dataskyddsförord- ningen finns vissa ytterligare bestämmelser om samtycke som rättslig

Prop. 2017/18:171

85

Prop. 2017/18:171 grund för behandling av personuppgifter, som inte har någon uttrycklig

 

motsvarighet i dataskyddsdirektivet och personuppgiftslagen.

 

I skäl 42 i dataskyddsförordningen anges följande. När behandling sker

 

efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa

 

att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet

 

vid skriftliga förklaringar som rör andra frågor bör det finnas

 

skyddsåtgärder som säkerställer att de registrerade är medvetna om att

 

samtycke ges och om hur långt samtycket sträcker sig. I enlighet med

 

rådets direktiv 93/13/EEG bör en förklaring om samtycke som den

 

personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig

 

och lätt tillgänglig form, med användning av ett klart och tydligt språk

 

och utan oskäliga villkor. För att samtycket ska vara informerat bör den

 

registrerade känna till åtminstone den personuppgiftsansvariges identitet

 

och syftet med den behandling för vilken personuppgifterna är avsedda.

 

Samtycke bör inte betraktas som frivilligt om den registrerade inte har

 

någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller

 

ta tillbaka sitt samtycke.

 

I skäl 43 i dataskyddsförordningen anges följande. För att säkerställa

 

att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för

 

behandling av personuppgifter i ett särskilt fall där det råder betydande

 

ojämlikhet mellan den registrerade och den personuppgiftsansvarige,

 

särskilt om den personuppgiftsansvarige är en offentlig myndighet och

 

det därför är osannolikt att samtycket har lämnats frivilligt när det gäller

 

alla förhållanden som denna särskilda situation omfattar. Samtycke anses

 

inte vara frivilligt om det inte medger att separata samtycken lämnas för

 

olika behandlingar av personuppgifter, trots att det är lämpligt i det en-

 

skilda fallet, eller om genomförandet av ett avtal – inbegripet tillhanda-

 

hållandet av en tjänst – är avhängigt av samtycket, trots att samtycket

 

inte är nödvändigt för ett sådant genomförande.

 

Några motsvarande skrivningar finns inte i skälen i dataskyddsdirek-

 

tivet.

 

Socialdataskyddsutredningen anför att det inte kan uteslutas att kraven

 

på samtycke i vissa situationer när samtycke utgör den rättsliga grunden

 

för behandling av personuppgifter har skärpts något i förhållande till vad

 

som anses gälla i dag, jämför skäl 171 i dataskyddsförordningen som

 

innehåller skrivningar som verkar förutsätta att ett samtycke enligt data-

 

skyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen.

 

Örebro läns landsting anser att kraven på samtycke synes ha skärpts

 

något i dataskyddsförordningen. Det är dock svårt att överblicka hur stor

 

denna förändring egentligen är och vilka konsekvenserna kan bli

 

exempelvis inom hälso- och sjukvårdens område.

 

Regeringen anser att om kraven på samtycke har skärpts i dataskydds-

 

förordningen så är det en fråga som får hanteras i rättstillämpningen.

 

Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden avseende

 

dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I

 

yttrandet anges att typen av registeransvarig kan vara avgörande för valet

 

av rättslig grund för behandling av personuppgifter. Detta gäller framför

 

allt registeransvariga inom den offentliga sektorn, där behandlingen av

 

personuppgifter normalt är knuten till fullgörandet av en rättslig för-

 

pliktelse eller utförandet av en arbetsuppgift av allmänt intresse. Att

86

använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är

särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt (Yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13 f.).

Även enligt Datainspektionen kan det starkt ifrågasättas om kravet på att samtycket lämnats frivilligt är uppfyllt om myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige stödja be- handlingen av personuppgifter på någon annan grund (Samtycke enligt personuppgiftslagen – Datainspektionen informerar s. 6). Samtycke kan dock enligt ovan nämnda yttrande från Artikel 29-gruppen i undantags- fall vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är till- räckligt frivilligt.

Regeringen betonar att bestämmelsen i artikel 6.1 a i dataskyddsförord- ningen om att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål är direkt tillämplig och inte försedd med någon möj- lighet till nationell begränsning. Det är därför inte tillåtet att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a) och personuppgifter om lagöverträdelser (artikel 10). Detta motsvarar vad som gäller i dag.

Regeringen anser att det inom Socialdepartementets verksamhets- område framför allt är andra grunder såsom rättslig förpliktelse (artikel 6.1 c) eller allmänt intresse eller led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e) som utgör rättslig grund för behand- ling av känsliga personuppgifter. Att använda grunden samtycke är där- med inte särskilt vanligt inom Socialdepartementets verksamhetsområde.

Regeringen instämmer i vad Socialdataskyddsutredningen anför om att kravet på frivillighet gäller även enligt dataskyddsdirektivet, dvs. detta är inget nytt krav. Det som anförs i skäl 42 och 43 motsvarar en del av vad som anges i uttalandena från Artikel 29-gruppen. Det torde i varje specifikt fall få bedömas om det råder sådan betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla för- hållanden som denna särskilda situation omfattar, dvs. kravet på frivillig- het inte är uppfyllt. Även i de fall det är en myndighet så torde det finnas utrymme för samtycke som rättslig grund t.ex. om den registrerade har fri valmöjlighet eller utan problem kan vägra eller ta tillbaka sitt samtycke, jfr slutet av skäl 42. För det fall behandlingen av personuppgifter hos en myndighet grundar sig på samtycke så krävs det särskilda överväganden för att bedöma om den grunden kan utgöra stöd för behandlingen.

I vissa registerförfattningar förekommer det att myndigheter och en- skilda uttryckligen förbjuds möjligheten att behandla personuppgifter

Prop. 2017/18:171

87

Prop. 2017/18:171 med stöd av samtycke. Det förekommer också bestämmelser i register- författningar där det tillåts att med stöd av samtycke behandla person- uppgifter för andra ändamål eller i andra fall än de i författningen an- givna. Detta gäller exempelvis 2 kap. 3 § patientdatalagen (avsnitt 7.1.3) och 6 § andra stycket apoteksdatalagen (avsnitt 7.2.2) samt 4 § andra stycket lagen om receptregister (se avsnitt 7.7.3). Även sådana bestäm- melser kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a (om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationell rätt föreskriver att förbudet inte kan upphävas av den registrerade) i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Eftersom det anses att den registrerades samtycke inte ger rätt att behandla personuppgifter i strid med de grundläggande kraven på behandling i artikel 5 i dataskyddsför- ordningen, gäller dock att bestämmelsen inte kan ge stöd för att t.ex. be- handla sådana personuppgifter som inte är korrekta i förhållande till de ändamål som anges i författningen eller som samtycket avser (artikel 5.1 d).

Det förekommer även bestämmelser i registerförfattningar om att en behandling för vissa ändamål bara får utföras med den registrerades samtycke trots att den behandling som författningen reglerar stöder sig på en annan rättslig grund än samtycke, t.ex. en arbetsuppgift av allmänt intresse, exempelvis 3 § andra stycket lagen om läkemedelsförteckning. En sådan begränsning anser regeringen är tillåten för myndigheter och (till skillnad från Socialdataskyddsutredningens bedömning) även en- skilda. Om de angivna ändamålen för den behandling av personuppgifter som regleras i registerförfattningen är sådana som avses i artikel 6.1 c eller e i dataskyddsförordningen (dvs. rättslig förpliktelse eller arbets- uppgift av allmänt intresse eller som ett led i myndighetsutövning), får bestämmelserna anses tillåtna såsom preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelser som innebär krav på sam- tycke för en viss åtgärd, t.ex. direktåtkomst, när den behandling som för- fattningen reglerar stöder sig på en annan rättslig grund kan utgöra en integritetshöjande åtgärd, dvs. ett slags skyddsåtgärd, se exempelvis be- stämmelser i 4 och 6 kap. patientdatalagen.

6.5.3Finalitetsprincipen

Regeringens bedömning: Bestämmelser i registerförfattningar som innebär att personuppgifter som behandlas för i författningen angivna ändamål får behandlas också för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, bör behållas i sak.

Socialdataskyddsutredningens bedömning: Överensstämmer huvud- sakligen med regeringens. Utredningens bedömning avser en annan formulering av bestämmelserna, nämligen bestämmelser i registerför- fattningar med innebörden att personuppgifter, som behandlas för i för-

88

fattningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen (DI) avstyrker den föreslagna formuleringen som hänvisar till finalitetsprincipen, dvs. till artikel 5.1 b i dataskyddsförord- ningen. DI anser att det är bra att det i de föreslagna bestämmelserna hänvisas till artikeln, men att den föreslagna formuleringen är miss- visande. I den föreslagna lydelsen framstår det som att det alltid är tillåtet att behandla personuppgifter för andra ändamål enligt artikel 5.1 b. Det är dock inte korrekt eftersom den artikeln anger ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än det ändamål för vilket de samlades in. Artikel 5.1 b gäller direkt och får enligt skäl 8 i förordningen regleras i nationell rätt om det innebär ett förtydligande.

Dataskydd.net anser att en del av författningsförslagen innebär fel- aktiga upprepningar av artikel 5.1 b.

Skälen för regeringens bedömning: Av 9 § första stycket d person- uppgiftslagen framgår att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I flera registerförfattningar förekommer hänvisningar till denna s.k. finalitetsprincip i personuppgiftslagen. Principen finns även i data- skyddsförordningen. Av artikel 5.1 b framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ända- målen. Artikel 89.1 i dataskyddsförordningen utgör en precisering av principen om uppgiftsminimering som regleras i artikel 5.1 och de allmänna bestämmelserna om skyddsåtgärder i dataskyddsförordningen (se vidare i avsnitt 4.9.1). Av skäl 50 i dataskyddsförordningen framgår att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamling- en av personuppgifter medgavs. Detta är en nyhet i förhållande till data- skyddsdirektivet.

Finalitetsprincipen kommer således att finnas kvar även i dataskydds- förordningen som kommer att vara direkt tillämplig. I och med att det i registerförfattningar finns ändamålsbestämmelser kan det uppstå oklar- heter om huruvida artikel 5.1 b ska tillämpas eller om tillämpnings- området med avsikt är begränsat till att utesluta sådan behandling. Det finns därför av tydlighetsskäl anledning att i förekommande fall behålla någon form av hänvisning till finalitetsprincipen i registerförfattningarna.

Datainspektionen avstyrker den formulering med en hänvisning till finalitetsprincipen som Socialdataskyddsutredningen har föreslagit. DI motiverar det med att formuleringen är missvisande, eftersom det finns ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än det ändamål för vilket de samlades in. Enligt regeringens bedömning kommer de bestämmelser som reglerar tillåtna ändamål och finalitetsprincipen i registerförfattning- arna att utgöra en sådan ändamålsbegränsning som avses i artikel 6.3 i

Prop. 2017/18:171

89

Prop. 2017/18:171 dataskyddsförordningen. Reglerna blir därför enligt regeringens mening inte missvisande och det finns inte heller skäl att ange vilken artikel i

 

dataskyddsförordningen som förtydligas genom bestämmelserna i

 

registerförfattningarna. Regeringen menar också, i likhet med Socialdata-

 

skyddsutredningen, att det saknas skäl att i bestämmelsen hänvisa till

 

artikel 89.1 i

dataskyddsförordningen.

Den

personuppgiftsansvarige

 

måste enligt dataskyddsförordningen som är direkt tillämplig beakta

 

såväl artikel 89.1 som övriga bestämmelser i dataskyddsförordningen.

 

Det gäller bl.a. de grundläggande principerna i artikel 5 om uppgiftsmini-

 

mering m.m. och bestämmelserna i artikel 13.3 och 14.4 som innebär att

 

de registrerade som huvudregel på förhand måste informeras om åter-

 

användning av personuppgifter.

 

 

 

 

Regeringens förslag till bestämmelser som rör finalitetsprincipen på

 

Socialdepartementets område finns i 2 kap. 5 § patientdatalagen (avsnitt

 

7.1.4), 9 § apoteksdatalagen (avsnitt 7.2.3), 9 § lagen om behandling av

 

personuppgifter i ärenden om licens för läkemedel

(avsnitt 7.3.2),

 

114 kap. 10 §

socialförsäkringsbalken (avsnitt

7.5.5),

7 § lagen om

 

receptregister (avsnitt 7.7.4) samt 6 § lagen om register över nationella

 

vaccinationsprogram (avsnitt 7.10.2).

 

 

 

 

Det kan noteras att i vissa författningar finns bestämmelser som före-

 

skriver att behandlingen endast får utföras för vissa angivna ändamål och

 

att finalitetsprincipen därmed inte gäller.

 

 

 

 

Personuppgifter i nationella och regionala kvalitetsregister får enligt

 

7 kap. 6 § patientdatalagen inte behandlas för några andra ändamål än de

 

som anges i 7 kap. 4 och 5 §§. Det innebär att det inte är tillåtet att be-

 

handla personuppgifter i nationella och regionala kvalitetsregister för

 

andra ändamål även om dessa inte är oförenliga med det ändamål för

 

vilket uppgifterna har samlats in. Finalitetsprincipen gäller därmed inte

 

vid behandling av personuppgifter i nationella eller regionala kvalitets-

 

register. Däremot kan personuppgifter behandlas för andra ändamål än de

 

som räknas upp i dessa bestämmelser med stöd av patientens samtycke.

 

Detta följer av den allmänna bestämmelsen i 2 kap. 3 § patientdatalagen.

 

I 3 § lagen om läkemedelsförteckning anges att läkemedelsförteck-

 

ningens dokumentation av köp av förskrivna läkemedel endast får använ-

 

das för vissa angivna ändamål. Av bl.a. 5 kap. 5 § lagen om biobanker

 

inom hälso- och sjukvården m.m. följer att PKU-registret endast får an-

 

vändas för vissa angivna ändamål. Av 16 § lagen om blodsäkerhet följer

 

att registret med uppgifter om blodverksamheten, blodgivare, blod-

 

mottagare och gjorda kontroller av blod och blodkomponenter endast får

 

ha till ändamål att göra det möjligt att spåra blod och blodkomponenter

 

och att förhindra att smittat blod och blodkomponenter överförs till

 

människor. Register som förs enligt

21 § lagen om

kvalitets- och

 

säkerhetsnormer vid hantering av mänskliga vävnader och celler får ha

 

till ändamål att endast säkerställa spårbarhet av mänskliga vävnader och

 

celler för att förhindra överföring av sjukdomar. I dessa fall gäller inte

 

finalitetsprincipen.

 

 

 

 

I andra lagar där det saknas bestämmelser om finalitetsprincipen får

 

den personuppgiftsansvarige bedöma utifrån lagarnas ändamålsbestäm-

 

melsers utformning eller andra bestämmelser, som reglerar t.ex. utläm-

 

nande eller åtkomst till personuppgifter, huruvida en senare behandling

90

är förenlig eller oförenlig med de ändamål uppgifterna samlades in för.

Vid den personuppgiftsansvariges bedömning behöver bestämmelserna i Prop. 2017/18:171 artikel 5.1 b och artikel 6.4 a–e i dataskyddsförordningen särskilt be-

aktas. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen bör inte anses vara oförenlig med de ursprungliga ändamålen.

6.6Känsliga personuppgifter

6.6.1Förbud mot att behandla känsliga personuppgifter och möjligheterna till undantag

Regeringens bedömning: Det är möjligt att bara delvis tillåta be- handling av känsliga personuppgifter som omfattas av något av undan- tagen i artikel 9.2 i EU:s dataskyddsförordning som kräver stöd i nationell rätt.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: Av artikel 9.1 i dataskydds- förordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter.

I propositionen Ny dataskyddslag anför regeringen i fråga om be- greppet känsliga personuppgifter att begreppet är väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i för- fattningstext. Regeringen anser därför att benämningen känsliga person- uppgifter bör användas i dataskyddslagen som en samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen (prop. 2017/18:105 s. 75).

Motsvarande förbud att behandla känsliga personuppgifter finns i artikel 8.1 i dataskyddsdirektivet. Dataskyddsdirektivets förbud har kommit till uttryck i 13 § personuppgiftslagen, som innehåller en upp- räkning av samma kategorier som i dataskyddsdirektivet. Artikel 9.1 i dataskyddsförordningen innehåller dock något fler kategorier av person- uppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har till- kommit. Som anges i avsnitt 6.6.6 innebär införandet av begreppet sexuell läggning dock inte någon egentlig utvidgning från svenskt perspektiv eftersom detta i svensk rätt har ansetts ingå i ”sexualliv”.

Huvudregeln är enligt artikel 9.1 i dataskyddsförordningen att behand- ling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras

91

Prop. 2017/18:171

med ett antal undantag i artikel 9.2, som anger när behandling av

 

känsliga personuppgifter trots allt kan tillåtas.

 

Känsliga personuppgifter kan behandlas med stöd av samtycke (a) och

 

för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten

 

och på områdena social trygghet och socialt skydd i den omfattning detta

 

är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal (b). Det är

 

också tillåtet att behandla känsliga personuppgifter om behandlingen är

 

nödvändig för att skydda en fysisk persons grundläggande intressen när

 

den registrerade är förhindrad att ge sitt samtycke (c). Ideella verksam-

 

heter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla

 

känsliga personuppgifter om sina medlemmar och vissa andra personer

 

(d).

 

Vidare får känsliga personuppgifter behandlas om behandlingen rör

 

uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade

 

(e). Ytterligare ett undantag avser behandling som är nödvändig för att

 

fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av

 

domstolarnas dömande verksamhet (f). Behandling av känsliga person-

 

uppgifter får ske av hänsyn till ett, på grundval av EU-rätten eller

 

nationell rätt, viktigt allmänt intresse (g).

 

Behandling av känsliga personuppgifter får också ske i anslutning till

 

hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av

 

EU-rätten eller medlemsstaternas nationella rätt under förutsättning att

 

uppgifterna behandlas av eller under ansvar av bl.a. en yrkesutövare som

 

omfattas av tystnadsplikt (h och artikel 9.3).

 

Även ett allmänt intresse på folkhälsoområdet, på grundval av EU-

 

rätten eller nationell rätt, ger rätt att behandla känsliga personuppgifter

 

(i). Slutligen får känsliga personuppgifter behandlas för arkivändamål av

 

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller

 

statistiska ändamål (j).

 

Medlemsstaterna får behålla eller införa ytterligare villkor, även

 

begränsningar, för behandlingen av genetiska eller biometriska uppgifter

 

eller uppgifter om hälsa (artikel 9.4). En fråga är om möjligheterna att i

 

nationell rätt göra undantag från förbudet att behandla känsliga person-

 

uppgifter måste utnyttjas fullt ut i den nationella rätten för att kunna

 

användas. I artikel 9.4 anges att medlemsstaterna får behålla eller införa

 

ytterligare villkor, även begränsningar, men endast för behandling av

 

vissa kategorier av känsliga personuppgifter, nämligen genetiska eller

 

biometriska uppgifter eller uppgifter om hälsa. Detta skulle kunna tyda

 

på att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier

 

av känsliga personuppgifter. En sådan tolkning synes dock enligt Social-

 

dataskyddsutredningen inte vara rimlig. Dataskyddsförordningens

 

huvudregel om förbud mot behandling av känsliga personuppgifter har

 

tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Att

 

det då endast ska vara möjligt att ha en nationell reglering som antingen

 

helt förbjuder behandling av sådana uppgifter eller tillåter all behandling

 

som kan tillåtas enligt någon av de möjligheter till nationellt grundade

 

undantag som finns i artikel 9.2 a–j synes inte förenligt med intresset av

 

att skydda den personliga integriteten. När det gäller behandling som

 

sker med stöd av någon av de rättsliga grunderna fullgörande av rättslig

 

förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller

92

som ett led i myndighetsutövning framgår det dessutom av artikel 6.2

och 6.3 att medlemsstaterna får ha särskilda bestämmelser om bl.a. Prop. 2017/18:171 vilken typ av uppgifter som ska behandlas. Socialdataskyddsutredningen

anser att det därför är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Regeringen instämmer i Socialdataskydds- utredningens bedömning. Det är möjligt att behålla sökbegränsningar och andra skyddsåtgärder som avser känsliga personuppgifter och att tillåta behandling av bara vissa kategorier av känsliga personuppgifter.

6.6.2Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd

I artikel 9.2 b i dataskyddsförordningen anges att känsliga personupp- gifter får behandlas om behandlingen är nödvändig för att den person- uppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldig- heter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grund- läggande rättigheter och intressen fastställs.

Områdena social trygghet respektive socialt skydd är nya i förhållande till artikel 8.2 b i dataskyddsdirektivet, och det framgår inte av artikeln eller av skälen i dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området.

Dataskyddsutredningen gör bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivar- eller arbetstagarorganisationer ska kunna erbjuda eller förmedla pen- sioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäk- ringar. Denna bedömning görs mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd förekommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten (SOU 2017:39 s. 169 f.). Socialdataskyddsutredningen har inte anledning att göra en annan bedömning än den Dataskyddsutredningen gör.

I propositionen Ny dataskyddslag föreslår regeringen i 3 kap. 2 § att känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den person- uppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldig- heter och utöva sina särskilda rättigheter inom arbetsrätten och inom om- rådena social trygghet och socialt skydd. Personuppgifter som behandlas får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryck- ligen har samtyckt till utlämnandet (prop. 2017/18:105 s. 77 f.).

93

Prop. 2017/18:171 6.6.3

Undantag för viktiga allmänna intressen

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i EU:s data- skyddsförordning och kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att förutsätta att proportionalitetsbedömningar har gjorts. Det är inte heller förenligt med dataskyddsförordningen att förutsätta att be- handlingen är nödvändig av hänsyn till ett allmänt intresse och att kraven i artikel 9 för undantag till förbudet att behandla känsliga personuppgifter är uppfyllda. Vissa av undantagen, exempelvis en behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g, kräver stöd i unionsrätten eller medlemsstaternas nationella rätt. Unionsrätten eller medlemsstaternas nationella rätt ska då stå i proportion till det efter- strävade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åt- gärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I det fortsatta lagstiftningsarbetet måste de analyser som krävs enligt artikel 9 göras, och det måste säkerställas att den nationella regleringen som föreslås innehåller bestämmelser om lämpliga och sär- skilda åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen.

Socialstyrelsen anser att det är önskvärt med förtydliganden vad gäller olika registerförfattningarnas förenlighet med kraven på proportionalitet i artikel 6.3 andra stycket sista meningen och kraven i skäl 41 i data- skyddsförordningen. En behandling av känsliga personuppgifter måste ha en rättslig grund i artikel 6 i dataskyddsförordningen. Om medlemsstater reglerar detta i nationell rätt med stöd av artikel 6.1 c eller e måste en sådan reglering uppfylla kraven i artikel 6.2 och 6.3 i dataskyddsförord- ningen. Av särskild vikt är då kravet på proportionalitet men även skäl 41 måste beaktas.

Läkemedelsindustriföreningen (LIF) anser att även om EU-rätten vilar på ett grundläggande krav på proportionalitet är det olyckligt att utred- ningen inte presenterar någon närmare bedömning av om de bestämmel- ser i särskilda registerförfattningar som tillåter behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen faktiskt står i proportion till det eftersträvade syftet. Om detta antagande skulle visa sig vara felaktigt, kan det få stor inverkan för LIF:s medlemsföretag och andra aktörer som behandlar känsliga personuppgifter med stöd av undantaget i artikel 9.2 g avseende viktiga allmänna intressen.

Swedish Medtech anser att det inte är tillräckligt klargjort att behand- lingen av känsliga personuppgifter med stöd av artikel 8.4 i dataskydds- direktivet är förenlig med artikel 9.2 g i dataskyddsförordningen. Det är

94

vidare mycket svårt att förutse vad ett sådant antagande kan komma att Prop. 2017/18:171 innebära för Swedish Medtechs medlemsföretag.

Skälen för regeringens bedömning

I artikel 9.2 g i dataskyddsförordningen anges att känsliga personupp- gifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlems- staternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Motsvarande bestämmelse finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att medlemsstaterna får besluta om undantag från förbudet att behandla känsliga personuppgifter under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse.

En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsför- ordningen kan ske i registerförfattningar, vilket ger möjlighet att göra lämpliga avvägningar på varje område.

I propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 10.4) bedömer regeringen att det behövs en generell reglering avseende myndigheters behandling vad gäller viktigt allmänt intresse.

I förslaget till 3 kap. 3 § dataskyddslag får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskydds- förordning

1.om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,

2.om behandlingen är nödvändig för handläggningen av ett ärende,

eller

3.i enstaka fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid tillämpningen ska andra än myndigheter jämställas med myndig- heter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen

(2009:400) gäller i deras verksamhet.

I syfte att begränsa de integritetsrisker som den generella bestäm- melsen kommer att medföra föreslås, som en ytterligare skyddsåtgärd, i 3 kap. 3 § dataskyddslagen också ett förbud att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Viktigt allmänt intresse och proportionerlig i förhållande till syftet

Det finns inget som tyder på att begreppet (viktigt) allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt data- skyddsdirektivet. Detta innebär att när behandling av känsliga person- uppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i data- skyddsdirektivet har det redan bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskydds- direktivet.

95

Prop. 2017/18:171

96

Socialdataskyddsutredningen anser att det utan vidare prövning bör anses att den i registerförfattningen reglerade behandlingen kan stödjas på artikel 6.1 e i dataskyddsförordningen och, under förutsättning av pro- portionalitet och bestämmelser om skyddsåtgärder i enlighet med artikel 9.2 g, innefatta känsliga personuppgifter i samma utsträckning som i dag.

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsför- ordningen stå i proportion till det eftersträvade syftet. Något uttryckligt krav på proportionalitet finns inte i dataskyddsdirektivet. Det framgår dock inte av dataskyddsförordningen hur proportionalitetsbedömningen ska gå till.

Datainspektionen anser att det inte är förenligt med dataskyddsförord- ningen att förutsätta att proportionalitetsbedömningar har gjorts.

Regeringen anser att behandling av känsliga personuppgifter som tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskydds- direktivet (dvs. under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse) alltjämt utgör ett tillåtet undantag från förbudet att behandla känsliga personuppgifter. Mot bakgrund av att de ovan återgivna bedömningarna om legalitetsprincipen och Europa- konventionen även bör tillmätas betydelse i samband med bedömning om undantaget i artikel 9.2 g vad gäller viktigt allmänt intresse och pro- portionalitetsbedömning, anser regeringen att det får förutsättas att för- fattningar som tillåter behandling av känsliga personuppgifter uppfyller dataskyddsförordningens krav.

Förenlig med det väsentliga innehållet i rätten till dataskydd

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskydds- förordningen vara förenlig med det väsentliga innehållet i rätten till dataskydd. Något uttryckligt motsvarande krav finns inte i dataskydds- direktivet. Det framgår inte av dataskyddsförordningen vad kravet inne- bär.

Utgångspunkten vid införandet av registerförfattningar har generellt varit att i författningarna bara göra de undantag i förhållande till den generella dataskyddsregleringen i personuppgiftslagen, och därmed ock- så dataskyddsdirektivet, som ansetts nödvändiga på det aktuella området. Vid införandet av registerförfattningar har också åtagandena enligt Europarådets dataskyddskonvention behövt iakttas. Det är därför Social- dataskyddsutredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i data- skyddsdirektivet utan vidare prövning uppfyller det nya uttryckliga kravet på att vara förenliga med det väsentliga innehållet i rätten till data- skydd. Regeringen instämmer i Socialdataskyddsutredningens bedöm- ning.

Lämpliga skyddsåtgärder

Ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen förut- sätter en reglering i nationell rätt. Regleringen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av ut-

formningen av sådana åtgärder, som säkerställer den registrerades grund- Prop. 2017/18:171 läggande rättigheter och intressen, finns inte i dataskyddsförordningen.

Regeringen bedömer att det kan vara fråga om olika former av skydds- åtgärder, jfr artikel 8.4 i dataskyddsdirektivet i vilket det krävs ”lämpliga skyddsåtgärder” för att göra undantag från förbudet att behandla känsliga personuppgifter.

En nyhet i dataskyddsförordningen är dock att det krävs att det finns bestämmelser om sådana åtgärder i medlemsstatens nationella rätt. Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet innehåller regelmässigt olika uttryckliga bestämmelser om det som bedömts vara lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Det kan vara fråga om be- stämmelser om sökbegränsningar, restriktioner för elektronisk åtkomst, behörighetstilldelning och loggkontroll, restriktioner för vad som får vara mer allmänt tillgängligt i den aktuella organisationen osv.

Mot den bakgrunden instämmer regeringen i Socialdataskyddsutred- ningens bedömning att det får anses vara så att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet även uppfyller kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Bestämmelser som tillåter behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse finns också i författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anslut- ning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. När det gäller sådana författningar är det inte lika självklart att det regelmässigt finns uttryckliga bestämmelser om skyddsåtgärder. En bedömning av om sådana bestämmelser finns måste göras i dessa fall.

6.6.4Undantag för hälso- och sjukvård samt social omsorg

Regeringens förslag: Registerförfattningar kompletteras med en be- stämmelse som påminner om att behandling av personuppgifter som anges i artikel 9.1 i EU:s dataskyddsförordning (känsliga personupp- gifter) får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjuk- vård samt inom social omsorg är förenliga med EU:s dataskydds- förordning kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

97

Prop. 2017/18:171

Datainspektionen anser att det skyndsamt bör utredas huruvida den be-

 

handling av personuppgifter som sker i dag inom hälso- och sjukvård och

 

social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskyddsförord-

 

ningen, eller om det behöver införas en lagstadgad tystnadsplikt för de

 

personuppgiftsbiträden som i dag inte omfattas av en sådan.

 

Stockholms läns landsting delar Datainspektionens uppfattning och

 

anser att det är av största vikt att frågan skyndsamt utreds och eventuella

 

lagstiftningsåtgärder snarast vidtas.

 

Sveriges Kommuner och Landsting och Inera AB förordar att det i

 

patientdatalagen införs en lagstadgad tystnadsplikt för juridiska och

 

fysiska personer som behandlar personuppgifter för vårdgivares räkning.

 

Ett alternativ är att införa en lagstadgad tystnadsplikt för aktörer som till-

 

handahåller e-tjänster inom hela den offentliga sektorn och som inne-

 

fattar känsliga personuppgifter.

 

Helsingborgs kommun har uppfattat att utredningen föreslår att en be-

 

stämmelse om tystnadsplikt för den som behandlar känsliga personupp-

 

gifter förs in i lagen om behandling av personuppgifter inom social-

 

tjänsten. Enligt dataskyddsförordningen får känsliga personuppgifter

 

endast behandlas av eller under ansvar av en tjänsteperson som omfattas

 

av tystnadsplikt. Det finns ingen konsekvensbeskrivning i utredningen av

 

vad formuleringen under ansvar av innebär. Det behövs ett förtydligande

 

för att klargöra ansvarsförhållandet mellan myndighet och under-

 

leverantör när en sådan behandlar känsliga personuppgifter för myndig-

 

hetens räkning.

 

Örebro läns landsting befarar att underbiträden och leverantörer inom

 

e-hälsa inte lagligen kommer att få behandla personuppgifter utan att en

 

lagstadgad tystnadsplikt gäller för deras behandling. Det behöver därför

 

skyndsamt utredas om formuleringen i artikel 9.3 i dataskyddsförord-

 

ningen innebär att det är tillräckligt att den personuppgiftsansvarige om-

 

fattas av en lagreglerad tystnadsplikt eller om kravet även gäller person-

 

uppgiftsbiträden som utför personuppgiftsbehandling för den personupp-

 

giftsansvariges räkning. Om en sådan analys skulle visa att kravet även

 

gäller sådana personuppgiftsbiträden, måste det införas en lagstadgad

 

tystnadsplikt för dessa biträden i berörda registerförfattningar eller på

 

annat lämpligt sätt. Exempelvis skulle det då kunna införas en lagstadgad

 

tystnadsplikt för juridiska och fysiska personer som behandlar person-

 

uppgifter för vårdgivarens räkning i patientdatalagen. Det förekommer

 

att privata bolag anlitas för exempelvis drift och underhåll av nationella

 

e-tjänster. Dessutom är det många privata aktörer som levererar it-

 

tjänster direkt åt vårdgivarna. På så vis kan dessa privata bolag och

 

aktörer komma att behandla stora mängder av personuppgifter i egenskap

 

av personuppgiftsbiträde.

 

Uppsala läns landsting anser att det är oklart om det är möjligt att

 

överlåta hanteringen av känsliga personuppgifter till personuppgifts-

 

biträden som inte omfattas av den straffrättsgrundande tystnadsplikten i

 

offentlighets- och sekretesslagen. Det är oklart om texten ”under ansvar”

 

innebär att det är tillräckligt att den personuppgiftsansvarige omfattas av

 

tystnadsplikten i offentlighets- och sekretesslagen och att personuppgifts-

 

biträden har en avtalsreglerad tystnadsplikt. En annan tolkning är att det

 

också krävs att personuppgiftsbiträden omfattas av en reglerad tystnads-

98

plikt. Det senare skulle få stora konsekvenser för landstinget eftersom

uppdrag i stor omfattning utförs av privata företag. Om den senare Prop. 2017/18:171 tolkningen gäller krävs det att en lagreglerad tystnadsplikt införs även för

privata verksamma personuppgiftsbiträden.

Swedish Medtech ser en problematik i att bestämmelsen i artikel 9.3 blivit felaktigt implementerad. Dataskyddsdirektivet liksom dataskydds- förordningen kräver att den som behandlar känsliga personuppgifter omfattas av lagstadgad tystnadsplikt. Det råder en oklarhet om tillverkare av medicinteknik eller dess personal har någon i lag ålagd tystnadsplikt. Om leverantörer av medicinteknik inte anses omfattas av tystnadsplikt kan detta utgöra hinder för incidentrapportering kopplat till medicin- tekniska produkter när den nya lagen träder i kraft. Det är viktigt att möjliggöra för anställda som tillhandahåller medicinsk programvara till vården, att behandla personuppgifter även om de inte är direkt verk- samma i sjukvården.

Läkemedelsindustriföreningen anger att tillverkare av medicintekniska produkter i dag förlitar sig på 18 § personuppgiftslagen för behandling av känsliga personuppgifter i samband med incidentrapportering avseende medicintekniska produkter. Då motsvarande bestämmelse i artikel 9.2 h i dataskyddsförordningen förutsätter att uppgifterna behandlas av någon som omfattas av lagstadgad tystnadsplikt, och då enskilda företag som tillverkar medicintekniska produkter inte omfattas av någon sådan tystnadsplikt, innebär det en risk för hinder för incidentrapportering kopplat till medicintekniska produkter när dataskyddsförordningen ska börja tillämpas.

Dataskydd.net anser att en del av författningsförslagen innebär onödiga upprepningar av artikel 9.3.

Skälen för regeringens förslag och bedömning

Behandling av känsliga personuppgifter får enligt artikel 9.2 h i data- skyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhanda- hållande av hälso- och sjukvård, behandling, social omsorg eller förvalt- ning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet. Motsvarande bestämmelse finns i artikel 8.3 i dataskyddsdirektivet. Där anges att känsliga person- uppgifter får behandlas när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller be- handling eller administration av hälso- eller sjukvård.

Innebörden av kravet på att behandlingen ska vara nödvändig är dock enligt regeringens bedömning densamma i artikel 9 som i artikel 6, se propositionen Ny dataskyddslag (prop. 2017/18:105 s. 75 f.).

De verksamheter som avses

Några ytterligare verksamhetstyper – förebyggande yrkesmedicin, be- dömningen av en arbetstagares arbetskapacitet, social omsorg och förvaltning av social omsorg och av deras system – har lagts till i undan- taget för hälso- och sjukvård m.m. i dataskyddsförordningen, i jämförelse

99

Prop. 2017/18:171 med regleringen i dataskyddsdirektivet. Detta är en utvidgning jämfört

 

med dataskyddsdirektivet.

 

Vad som avses med social omsorg framgår inte av dataskyddsförord-

 

ningen. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 93) gör

 

regeringen bedömningen att begreppet social omsorg omfattar uppgifter

 

som utförs inom socialtjänsten, men att det dock i avsaknad av praxis är

 

svårt att närmare avgränsa innebörden av begreppen.

 

Socialdataskyddsutredningen anser att social omsorg innefattar sådan

 

verksamhet som avses i 2 § lagen (2001:454) om behandling av person-

 

uppgifter inom socialtjänsten. I detta sammanhang anser regeringen att

 

det bör uppmärksammas att det finns skillnader mellan medlemsstaterna i

 

frågan om huruvida vissa insatser t.ex. för äldre personer eller personer

 

med funktionsnedsättning hör till insatser inom socialtjänsten eller till

 

vård inom hälso- och sjukvården. I vissa fall kan insatserna och vården

 

till sitt innehåll överlappa varandra eller i vart fall vara svåra att särskilja.

 

Begreppet social omsorg kan i förhållande till hur begreppet omsorg

 

använts i Sverige uppfattas som snävare än vad som torde vara avsikten

 

jämfört med dataskyddsförordningen. Den närmare EU-rättsliga inne-

 

börden av begreppet får dock överlämnas till praxis att utveckla.

 

Begreppet vård eller behandling har ersatts med begreppet tillhanda-

 

hållande av hälso- och sjukvård. Skälen i dataskyddsförordningen ger

 

inte någon ledning i frågan om huruvida någon ändring i sak är avsedd.

 

Begreppet tillhandahållande av hälso- och sjukvård anses innefatta det

 

som avses med vård eller behandling enligt dataskyddsdirektivet.

 

Begreppet administration av hälso- och sjukvård har ersatts med

 

förvaltning av hälso- och sjukvårdstjänster och deras system. I skäl 53 i

 

dataskyddsförordningen finns det en uppräkning av vad som ska anses

 

innefattas i detta begrepp: ”[…] behandling som utförs av förvaltningen

 

och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för

 

syften som hör samman med kvalitetskontroll, information om förvalt-

 

ningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårds-

 

systemet och systemet för social omsorg och säkerställande av

 

kontinuitet inom hälso- och sjukvård och social omsorg samt gräns-

 

överskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör

 

samman med övervakning samt varningssyften eller för arkivändamål av

 

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller

 

statistiska ändamål som baseras på unionsrätten eller på medlems-

 

staternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt

 

studier som genomförs av allmänt intresse på folkhälsoområdet.”

 

Mot bakgrund av den ganska omfattande uppräkningen synes i vart fall

 

det som innefattades i begreppet administration av hälso- och sjukvård

 

omfattas.

 

Eftersom uppräkningen av verksamheter inte har inskränkts utan utvid-

 

gats i förhållande till dataskyddsdirektivets reglering, är tidigare bedöm-

 

ningar av vilka verksamheter det är tillåtet att göra undantag för fort-

 

farande relevanta. I förarbeten till läkemedelslagstiftningen har det

 

ansetts rimligt att inte ge bestämmelsen i 18 § första stycket personupp-

 

giftslagen, som innehåller samma uppräkning som i dataskyddsdirektivet,

 

en alltför snäv räckvidd varvid det har angetts att även aktiviteter med

 

bäring på hälso- och sjukvård utanför det primära vårdområdet måste

100

kunna inbegripas (prop. 2005/06:70 s. 44).

Formuleringen i dataskyddsdirektivet om att behandlingen ska vara nödvändig med hänsyn till de i artikeln uppräknade verksamheterna har i artikel 9.2 h i dataskyddsförordningen ersatts med att behandlingen ska vara nödvändig av skäl som hör samman med dessa verksamheter.

Av skäl 53 i dataskyddsförordningen framgår att avsikten är att harmonisera villkoren för behandling av uppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen utförs för vissa hälso- relaterade syften. Den ändrade formuleringen tydliggör att behandlingen måste ske för ändamål som hör samman med någon av dessa verksam- heter.

Stöd i lagstiftningen

Regeringen framför i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 75) bl.a. att det, som Dataskyddsutredningen också på- pekar, inte är helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten har eller vilken betydelse det har att de utformats på olika sätt. Enligt regeringens mening är det dock upp- enbart att det vid behandling av känsliga personuppgifter i de situationer som beskrivs i nämnda bestämmelser krävs ett annat stöd i rättsord- ningen, utöver det som dataskyddsförordningen ger. De särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste nämligen vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgifts- ansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller för behandling av andra personuppgifter i samma situa- tion. Detta innebär dock inte att undantagen i sig måste genomföras i svensk rätt för att vara tillämpliga.

Den aktuella verksamheten ska utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverk- samma på hälsoområdet. Denna förutsättning är enligt regeringens be- dömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 94) uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslag- stiftningen på de aktuella områdena, t.ex. hälso- och sjukvårdslagen, socialtjänstlagen och andra relevanta författningar. Det är i dessa författ- ningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter utan den registrerades samtycke.

Tystnadsplikt krävs

En ytterligare förutsättning för att behandling av känsliga personupp- gifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt.

Datainspektionen anser att det skyndsamt bör utredas huruvida den behandling av personuppgifter som sker i dag inom hälso-och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskydds-

Prop. 2017/18:171

101

Prop. 2017/18:171 förordningen, eller om det behöver införas en lagstadgad tystnadsplikt

 

för de personuppgiftsbiträden som i dag inte omfattas av en sådan.

 

I en hemställan ifrågasätter Datainspektionen det rimliga i att avvakta

 

avgöranden från Europeiska unionens domstol för att få en uttolkning av

 

artikel 9.3. Att det finns en i nationell rätt reglerad tystnadsplikt som

 

uppfyller kravet i artikel 9.3 måste vara en fråga för lagstiftaren.

 

Formuleringen i artikel 9.3 att uppgifterna ska behandlas av eller under

 

ansvar av en yrkesutövare som omfattas av tystnadsplikt skulle kunna

 

tolkas så att det är tillräckligt att den personuppgiftsansvarige omfattas

 

av en lagreglerad tystnadsplikt. Gränsen för personuppgiftsansvaret och

 

ansvaret för sekretess skiljer sig emellertid åt, vilket bl.a. framgår av JO:s

 

beslut från den 9 september 2014, dnr 3032–2011. JO konstaterar i

 

beslutet att utlämnande av journaluppgifter till ett personuppgiftsbiträde

 

eller personal hos biträdet ska prövas på vanligt sätt enligt offentlighets-

 

och sekretesslagen (2009:400), förkortad OSL. JO:s bedömning i ärendet

 

var att vårdgivaren i det fallet inte hade rättsligt stöd för att lämna ut

 

sekretessbelagda uppgifter om patienter då mottagaren endast omfattades

 

av en avtalsreglerad tystnadsplikt. Efter JO:s beslut uppstod en debatt om

 

myndigheters möjlighet att anlita personuppgiftsbiträde om det innebär

 

att sekretessbelagda uppgifter lämnas ut. Frågan har utretts av Pensions-

 

myndigheten i regeringsuppdraget Molntjänster i staten En ny generation

 

av outsourcing, avsnitt 11.5 och bilaga 1 Juridisk analys av myndigheters

 

informationshantering i molnet. Pensionsmyndigheten konstaterar i

 

rapporten, på samma sätt som JO, att offentlighets- och sekretesslagens

 

bestämmelser kan hindra myndigheter från att lämna ut vissa typer av

 

sekretessbelagda uppgifter till privata it-leverantörer eftersom det saknas

 

straffrättsligt sanktionerade tystnadsplikter för anställda hos sådana

 

aktörer. Det handlar t.ex. om uppgifter av särskilt integritetskänsligt slag

 

som rör enskilda och som inte bedöms kunna lämnas ut ens om

 

leverantören och dess anställda ingår en avtalsrättslig tystnadspliktsför-

 

bindelse. Bland Pensionsmyndighetens förslag till regeringen finns

 

förslaget att regeringen låter utreda närmare om det är lämpligt och

 

ändamålsenligt att införa en lagreglerad och straffsanktionerad tystnads-

 

plikt för privata leverantörer av it-tjänster (dnr Ju2017/06035/L6).

 

Inera AB framför bl.a. följande. Inera hanterar känsliga personupp-

 

gifter, patientuppgifter, i stor omfattning som personuppgiftsbiträde. En

 

fråga är om Inera också får behandla personuppgifter på samma grunder

 

som yrkesutövare inom hälso- och sjukvården. Inera är ingen vårdgivare.

 

Inera är ett kommunalt bolag som ägs av SKL Företag AB samt landets

 

landsting. Inom en snar framtid även av Sveriges alla kommuner.

 

Landsting och kommuner kommer att ha ett rättsligt bestämmande in-

 

flytande över Ineras verksamhet, varför Inera ska betraktas som myndig-

 

het i OSL:s mening (jfr 2 kap. 3 § OSL). Det innebär att Inera åberopar

 

det led i artikel 9.3 som berör tystnadsplikt för annan person som be-

 

handlar känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål. I

 

första hand kan sekretess råda i Ineras verksamhet enligt 40 kap. 5 OSL,

 

men också 21 kap. 1 § OSL kan bli tillämplig. Emellertid förhåller det

 

sig så att Inera anlitar ett flertal privata bolag för drift och underhåll av

 

de nationella e-tjänster som bolaget förvaltar. Inom vårdområdet är det

 

vidare många privata aktörer som levererar it-tjänster direkt åt vårdgivare

102

och på så sätt behandlar stora mängder personuppgifter i egenskap av

personuppgiftsbiträde. Med anledning av kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen för att få behandla personuppgifter inom vårdområdet, hyser Inera allvarliga farhågor att bolagets under- biträden samt leverantörer inom eHälsa inte får lagligen behandla person- uppgifterna utan att en lagstadgad tystnadsplikt gäller för deras behand- ling. Inera förordar att det i patientdatalagen införs en lagstadgad tyst- nadsplikt för juridiska och fysiska personer som behandlar personupp- gifter för vårdgivares räkning. Ett alternativ är att införa en lagstadgad tystnadsplikt för aktörer som tillhandahåller sådana e-tjänster inom hela den offentliga sektorn som innefattar känsliga personuppgifter.

Kravet på reglerad tystnadsplikt enligt artikel 9.3 omfattar inte personuppgiftsbiträden

Regeringen anser att tolkningen av artikel 9 i dataskyddsförordningen primärt måste göras utifrån dess ordalydelse. Av artikel 9.2 h följer att det är fråga om behandling som är nödvändig av skäl som hör samman med vissa verksamheter inom hälso- och sjukvård och social omsorg. Verksamheten ska vila på grundval av unionsrätten eller medlems- staternas nationella rätt eller enligt avtal med yrkesverksamma på hälso- området. Vidare finns krav på att villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda.

I artikel 9.3 i dataskyddsförordningen stadgas att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

I skäl 53 i dataskyddsförordningen anges bl.a. följande: ”Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort… …Denna förordning bör därför innehålla harmoniserade villkor för be- handling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade yrkesmässig tystnadsplikt.”

I engelska språkversionen av skäl 53 anges bl.a. följande: “Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole… …Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy…”.

I den engelska språkversionen lyder artikel 9.2 h: “processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical

Prop. 2017/18:171

103

Prop. 2017/18:171 diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of

 

Union or Member State law or pursuant to contract with a health

 

professional and subject to the conditions and safeguards referred to in

 

paragraph 3”.

 

I den engelska språkversionen lyder artikel 9.3: “Personal data referred

 

to in paragraph 1 may be processed for the purposes referred to in point

 

(h) of paragraph 2 when those data are processed by or under the

 

responsibility of a professional subject to the obligation of professional

 

secrecy under Union or Member State law or rules established by

 

national competent bodies or by another person also subject to an

 

obligation of secrecy under Union or Member State law or rules

 

established by national competent bodies.”.

 

Regeringen anser att det bör uppmärksammas att artikel 9.3 hänvisar

 

till behandlingen för de ändamål som anges i 9.2 h. Dataskyddsförord-

 

ningen förklarar inte vad som avses med en yrkesutövare eller en annan

 

person i den svenska språkversionen eller med ”professional subject”

 

eller ”another person” som det uttrycks i den engelska språkversionen.

 

Ledning för tolkningen av begreppet bör göras utifrån dess språkliga

 

innebörd och dess kontext.

 

I den svenska språkversionen lyder artikel 8.3 i dataskyddsdirektivet:

 

”Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med

 

hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser,

 

vård eller behandling eller administration av hälso- eller sjukvård eller

 

när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på

 

hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller

 

bestämmelser som antagits av behöriga nationella organ är underkastad

 

tystnadsplikt eller av en annan person som är ålagd en liknande

 

tystnadsplikt”.

 

I den engelska språkversionen lyder artikel 8.3: “Paragraph 1 shall not

 

apply where processing of the data is required for the purposes of

 

preventive medicine, medical diagnosis, the provision of care or

 

treatment or the management of health-care services, and where those

 

data are processed by a health professional subject under national law or

 

rules established by national competent bodies to the obligation of

 

professional secrecy or by another person also subject to an equivalent

 

obligation of secrecy”.

 

Socialdataskyddsutredningen har bedömt följande vad gäller att tyst-

 

nadsplikt krävs. Syftet med artikel 9.3 i dataskyddsförordningen får antas

 

vara att de personer i bl.a. hälso- och sjukvårdsverksamhet som – dvs.

 

behandlar – känsliga personuppgifter ska ha tystnadsplikt enligt t.ex.

 

nationell rätt, eller i vart fall arbeta under någon som har sådan tystnads-

 

plikt. Den fysiska personen behöver inte själv vara personuppgifts-

 

ansvarig. Däremot måste den personuppgiftsansvarige se till att en per-

 

son som omfattas av tystnadsplikt är den som antingen själv behandlar

 

uppgifterna eller åtminstone ansvarar för behandlingen (SOU 2017:66

 

s. 247).

 

Regeringen instämmer huvudsakligen med Socialdataskyddsutred-

 

ningens bedömning. Det är den personuppgiftsansvarige som ansvarar

 

för att behandling sker i enlighet med dataskyddsförordningen, exempel-

104

vis att behandling av känsliga personuppgifter för de ändamål som avses

i artikel 9.2 h bara sker av eller under ansvar av en yrkesutövare som omfattas av sådan tystnadsplikt som avses i artikel 9.3. Detta gäller oavsett om behandlingen sker hos den personuppgiftsansvarige själv eller hos ett personuppgiftsbiträde.

Regeringen bedömer emellertid att kravet i artikel 9.3 om att tystnads- plikten ska vara reglerad i unionsrätten eller nationell rätt inte omfattar personuppgiftsbiträden, så länge den personuppgiftsansvarige omfattas av en sådan reglerad tystnadsplikt. Ett personuppgiftsbiträde behandlar endast personuppgifter för den personuppgiftsansvariges räkning och under dennes ansvar. Vid sådan behandling gäller i och för sig de krav som uppställs i artikel 28 och 29 i dataskyddsförordningen. Enligt artikel 28.3 b följer exempelvis att personuppgiftsbiträdets hantering av person- uppgifter ska regleras i ett avtal som särskilt ska föreskriva att person- uppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt (jfr engelska språkversionens lydelse av artikel 28.3 b ”statutory obligation of confidentiality”). Om avsikten var att kravet på reglerad yrkesmässig tystnadsplikt enligt artikel 9.3 också skulle gälla generellt för personuppgiftsbiträden torde detta vara en nyhet i dataskyddsförordningen som i så fall borde ha reglerats tydligare (jfr skäl 53). Om ett personuppgiftsbiträde överträder regle- ringen i dataskyddsförordningen genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet dock anses vara personuppgiftsansvarig med avseende på den behandlingen (artikel 28.10). Ett personuppgiftsbiträde kan vidare i egenskap av rollen som biträde under vissa förutsättningar bli ersättningsskyldig vid behandling i strid med förordningen enligt artikel 82.

I likhet med såväl Socialdataskyddsutredningen som Dataskyddsutred- ningen kan regeringen konstatera att bestämmelser om tystnadsplikt för personer verksamma inom hälso- och sjukvården redan finns i t.ex. 25 kap. OSL och patientsäkerhetslagen. För författningsreglerad social omsorg gäller sekretess enligt 26 kap. OSL och tystnadsplikt enligt 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade. Det finns således redan tystnads- plikt enligt författning.

Sammanfattande bedömning i fråga om tystnadsplikt för personuppgiftsbiträden

Regeringen bedömer att kravet på en reglerad yrkesmässig tystnadsplikt i artikel 9.3 i dataskyddsförordningen inte omfattar personuppgifts- biträden. Av dataskyddsförordningen följer dock att personuppgifts- biträdets hantering av personuppgifter ska regleras i ett avtal som särskilt ska föreskriva att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig (lagstadgad) tystnadsplikt.

Datainspektionen har i sin hemställan dels uppmärksammat att det i nationell lagstiftning finns skillnader i gränsen för personuppgiftsansvar och ansvaret för tystnadsplikt, dels att det finns en inhemsk debatt om myndigheters möjligheter att anlita personuppgiftsbiträde i fall där det är fråga om att lämna ut sekretessbelagda uppgifter. Dessa förhållanden be-

Prop. 2017/18:171

105

Prop. 2017/18:171

106

dömer regeringen inte är föranledda av dataskyddsförordningen. Huru- vida det skulle finnas behov av att ändra i lagstiftning till följd av det ställningstagande som JO gjort i ovannämnda beslut bedöms inte primärt vara en fråga som rör dataskyddsförordningen. Detta kräver analyser utifrån dataskyddsreglering men även utifrån grundlagen, t.ex. 2 kap. 6 och 20 §§ regeringsformen, förkortad RF, samt regleringar av sekretess och tystnadsplikt. Detsamma gäller Inera AB:s synpunkter att det i patientdatalagen bör införs en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivares räkning.

Regeringen anser att frågan om en lagstadgad tystnadsplikt för person- uppgiftsbiträden (såväl fysiska som juridiska personer) inom hälso- och sjukvård och social omsorg i detta lagstiftningsärende inte föranleder någon ytterligare åtgärd.

Behov av tystnadsplikt för tillverkare av medicintekniska produkter

Swedish Medtech har framfört att det är oklart om tillverkare av medicin- tekniska produkter omfattas av lagstadgad tystnadsplikt, och Läke- medelsindustriföreningen har framfört att tillverkare av medicintekniska produkter inte omfattas av sådan tystnadsplikt. Båda föreningarna har framfört att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen innebär en risk för hinder för incidentrapportering kopplat till medicin- tekniska produkter när dataskyddsförordningen ska börja tillämpas.

Det kan konstateras att den anmälningsplikt från hälso- och sjukvården till tillverkare av medicintekniska produkter avseende negativa händelser som finns i 6 kap. 2 och 3 §§ Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjuk- vården inte bryter den sekretess och tystnadsplikt som gäller i hälso- och sjukvården. Det kan ifrågasättas om hälso- och sjukvården ska lämna känsliga personuppgifter i de aktuella incidentrapporterna. Om det skulle finnas behov av att ändra i lagstiftning på detta område, är det inte primärt en fråga som rör anpassning av svenska regler till dataskydds- förordningen. Detta kräver analyser utifrån dataskyddsreglering men även utifrån grundlagen, t.ex. 2 kap. 6 och 20§§ RF samt regleringar av sekretess och tystnadsplikt. Swedish Medtechs och Läkemedelsindustri- föreningens synpunkter om tystnadsplikt för tillverkare av medicin- tekniska produkter föranleder därför inte någon ytterligare åtgärd i detta lagstiftningsärende.

Upplysningsbestämmelser som påminner om kravet på tystnadsplikt bör lämpligen införas i registerförfattningar

Regeringen instämmer i den bedömning Socialdataskyddsutredningen gör att den nationella regleringen blir tydligare om kravet på tystnads- plikt framgår också av berörda registerförfattningar. Bestämmelser som påminner om det kravet bör därför tas in i registerförfattningar för hälso- och sjukvårdsområdet och socialtjänsten som tillåter behandling av kän- sliga personuppgifter med stöd av undantaget i artikel 9.2 h i dataskydds- förordningen.

Regeringens förslag till sådana bestämmelser finns i 2 kap. 7 a § patientdatalagen (avsnitt 7.1.6), 7 kap. 8 § patientdatalagen (avsnitt 7.1.8), 9 a § apoteksdatalagen (avsnitt 7.2.4), 9 a § lagen om behandling

av personuppgifter i ärenden om licens för läkemedel (avsnitt 7.3.3), 7 § Prop. 2017/18:171 lagen om behandling av personuppgifter inom socialtjänsten (avsnitt

7.4.3), 8 a § lagen om receptregister (avsnitt 7.7.2) och 4 a § lagen om läkemedelsförteckning (avsnitt 7.8.2).

Det bör av lagförslagen framgå tydligare än vad Socialdataskydds- utredningen föreslår att kravet på tystnadsplikt enligt artikel 9.3 i data- skyddsförordningen avser de situationer där känsliga personuppgifter får behandlas för de ändamål som avses i artikel 9.2 h i dataskyddsförord- ningen. Det bör uppmärksammas att stöd för att behandla känsliga personuppgifter även kan finnas i andra grunder i artikel 9.2 och i så fall gäller inte kravet på tystnadsplikt enligt artikel 9.3. Regeringen föreslår därför en annan utformning än Socialdataskyddsutredningen som är mer lik den som finns i förslaget till 3 kap. 5 § andra stycket dataskyddslagen.

Hänvisningen till artikel 9.3 i dataskyddsförordningen bör vara dyna- misk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom det rör sig om en ren upplysning om att en annan, direkt tillämplig, bestämmelse gäller.

6.6.5Undantag för folkhälsoområdet

Regeringens bedömning: Ytterligare bestämmelser i registerförfatt- ningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i i EU:s dataskyddsförordning bedöms i nuläget inte krävas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt

 

väsentligt med regeringens.

 

Remissinstanserna: Flertalet remissinstanser godtar eller invänder

 

inte mot Socialdataskyddsutredningens bedömning.

 

Folkhälsomyndigheten avstyrkte Dataskyddsutredningens förslag om

 

att inte införa ett folkhälsoundantag i den föreslagna nya dataskydds-

 

lagen. Folkhälsomyndigheten vidhåller fortsatt att ett folkhälsoundantag

 

bör införas, alternativt att det bör utredas hur undantaget kan införas i

 

annan lagstiftning för att möjliggöra för myndigheten att fortsätta med de

 

undersökningar som inte bedöms kunna inrymmas under undantagen för

 

statistik eller forskning.

 

Skälen för regeringens bedömning: Enligt artikel 9.2 i i dataskydds-

 

förordningen får personuppgifter behandlas om behandlingen är nöd-

 

vändig av skäl av allmänt intresse på folkhälsoområdet. Det ska då ske på

 

grundval av unionsrätten eller medlemsstaternas nationella rätt, där

 

lämpliga och specifika åtgärder för att skydda den registrerades rättig-

 

heter och friheter fastställs, särskilt tystnadsplikt.

 

Dataskyddsdirektivet innehåller inte någon bestämmelse som särskilt

 

tar sikte på folkhälsoområdet. Behandling av känsliga personuppgifter på

 

folkhälsoområdet sker i dag med stöd av bestämmelser som har sin grund

 

i artikel 8.4 (allmänt intresse) eller artikel 8.3 (hälso- och sjukvård) i

 

dataskyddsdirektivet.

 

I artikel 9.2 i i dataskyddsförordningen ges exempel på behandling som

 

är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det kan

 

enligt artikeln röra sig om behov av att säkerställa ett skydd mot all-

 

varliga gränsöverskridande hot mot hälsan eller att säkerställa höga

107

 

Prop. 2017/18:171 kvalitets- och säkerhetsnormer för vård och läkemedel eller medicin- tekniska produkter. Av skäl 54 i dataskyddsförordningen framgår att begreppet folkhälsa bör tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008, nämligen så att det avser alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, in- begripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, till- handahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Artikel 9.2 i i dataskyddsförordningen innehåller ett krav på att be- handlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt. Enligt regeringens bedömning behöver undantaget i sig inte föreskrivas i nationell rätt för att behandling av känsliga personuppgifter ska kunna ske med stöd av artikel 9.2 i. Kravet på att behandlingen av personuppgifter ska ske på grundval av unions- rätten eller medlemsstaternas nationella rätt innebär enligt regeringens bedömning att den personuppgiftsansvarige ska ha stöd i rättsordningen för att utföra en uppgift på folkhälsoområdet. Detta rättsliga stöd ska enligt artikel 9.2 i innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Enligt regeringens bedömning är förutsättningarna för att behandling ska få ske enligt artikel 9.2 i uppfyllda om de känsliga personuppgifterna är sekretessreglerade i verksamheten. Om sekretessreglering saknas kan det däremot inte tas för givet att dataskyddsförordningens krav på lämpliga och specifika skyddsåtgärder för att skydda den registrerades rättigheter och friheter är uppfyllda.

Vad lämpliga och specifika skyddsåtgärder kan bestå i framgår av avsnitt 6.9.2. Oavsett hur kravet på att behandlingen ska ske på grundval av nationell rätt ska tolkas, bedömer regeringen att det inte är oförenligt med dataskyddsförordningen att reglera ett undantag som grundar sig på artikel 9.2 i i dataskyddsförordningen i nationell lagstiftning (se SOU 2017:66 s. 249). Bestämmelser i registerförfattningar som tillåter be- handling av känsliga personuppgifter med stöd av folkhälsoundantaget får enligt regeringens mening anses, om inte nödvändiga så ändå tillåtna som nationella preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförord- ningen, under förutsättning att den behandling av personuppgifter som regleras i registerförfattningen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 6.1 och 6.2).

Mot bakgrund av det ovan anförda bedömer regeringen att införandet av ett generellt folkhälsoundantag eller ytterligare bestämmelser i regi- sterförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i i dataskyddsförordningen i nuläget inte krävs.

108

6.6.6

Fler uppgifter blir känsliga personuppgifter

Prop. 2017/18:171

Regeringens bedömning: Bestämmelser i särskilda registerförfatt- ningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition behandlas bör även avse nya kategorier av känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning. De nya känsliga personuppgifterna får endast behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen.

Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten bör någon eller några av de nya kategorierna få behandlas.

Bestämmelser i särskilda registerförfattningar om s.k. skyddsåtgär- der med restriktioner för behandling av känsliga personuppgifter enligt nuvarande definition bör som utgångspunkt utvidgas till att avse också de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att skyddsåtgärderna inte omfattar någon av de nya kategorierna av uppgifter bör den kategorin undantas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten. Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs. Ett exempel är att det föreslås att behandling av samtliga kategorier av känsliga personuppgifter ska få behandlas enligt socialförsäkringsbalken utan någon analys av om dessa uppgifter har varit nödvändiga att behandla i verksamheten sedan tidigare eller om ett sådant behov kan tänkas uppstå. I det fortsatta lagstiftningsarbetet måste det säkerställas att varje bestämmelse som ska utgöra ett undantag från förbudet i artikel 9.1 överensstämmer med de krav som framgår av artikel 9.2 och avseende hälso- och sjukvård och social omsorg även artikel 9.3.

109

Prop. 2017/18:171

110

Skälen för regeringens bedömning

Dataskyddsförordningen innebär att fler kategorier av uppgifter än enligt dataskyddsdirektivet blir att betrakta som känsliga personuppgifter, som det enligt huvudregeln är förbjudet att behandla.

Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet ”sexualliv” och införandet av det begreppet i förordningen innebär således inte någon egentlig utvidg- ning från svenskt perspektiv (se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården, prop. 2000/01:126 s. 31 och propositionen Ett starkare skydd mot diskriminering, prop. 2007/08:95 s. 125–129). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen.

Flera av de uppgifter som ryms inom de nya kategorierna är redan i dag att betrakta som känsliga personuppgifter, eftersom de ryms inom någon av de nuvarande kategorierna. Kategorierna av känsliga person- uppgifter kommer därmed i viss mån att överlappa varandra. Tillägget av nya kategorier medför dock en begränsning av möjligheterna att be- handla personuppgifter i jämförelse med vad som gäller enligt data- skyddsdirektivet för sådana uppgifter som inte redan omfattas av någon av de befintliga kategorierna av känsliga personuppgifter. De personupp- gifter som ryms inom de nya kategorierna kommer, liksom övriga kate- gorier av känsliga personuppgifter, endast att få behandlas under de för- utsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförord- ningen.

Bestämmelser som tillåter behandling av känsliga personuppgifter

Är enligt registerförfattningen behandling av samtliga kategorier av känsliga personuppgifter tillåten, enligt nuvarande definition, bör enligt Socialdataskyddsutredningens mening behandling också av de nya kate- gorierna tillåtas utan vidare utredning av behovet. Har det vid införandet av registerförfattningen gjorts bedömningen att alla slags personuppgifter får behandlas om det är nödvändigt med hänsyn till ändamålen, bör nämligen den bedömningen godtas.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förut- sätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten. Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att be- handla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Regeringen anser att det finns anledning att i detta sammanhang beakta att de olika registerförfattningarna inom Socialdepartementets verksam- hetsområde skiljer sig åt i sin utformning. I vissa registerförfattningar

preciseras det vilka uppgifter som får behandlas, inklusive känsliga personuppgifter. Detta gäller lagen (1996:1156) om receptregister, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (särskilt vad gäller PKU-registret), lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blodsäkerhet, lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och lagen (2012:453) om register över nationella vaccinationsprogram. Detsamma kan sägas om lagen (1998:543) om hälsodataregister för vilken preciseringen av vilka personuppgifter som får behandlas i de olika hälsodataregistren följer av förordningar meddelade med stöd av lagen. Vidare kan det preciseras i lag vilken kategori av känsliga person- uppgifter som får behandlas, se lagen (2006:1570) om skydd mot internationella hot mot människors hälsa. I lagen (2006:351) om genetisk integritet finns vad som får ses som en precisering av vissa uppgifter som ska dokumenteras i journal, dvs. tillåtligheten av behandlingen bedöms följa av patientdatalagen. I alkohollagen (2010:111) och lagen (2012:526) om kvalitets- och säkerhetsnormer vid hantering av mänsk- liga organ regleras behandling av personuppgifter som enligt regeringens bedömning inte inkluderar känsliga personuppgifter. Regeringen anser inte att det i dessa fall krävs några ytterligare analyser om vad utvidgningen av nya kategorier skulle kunna medföra.

Vidare finns det lagar som tillåter behandling av alla slags personupp- gifter. Sådana bestämmelser finns när det gäller socialtjänsten (lagen [2001:454] om behandling av personuppgifter inom socialtjänsten), hälso- och sjukvården (patientdatalagen [2008:355]), socialförsäkringens administration (114 kap. socialförsäkringsbalken), öppenvårdsapotekens detaljhandel med läkemedel (apoteksdatalagen [2009:367]) och ärenden om licens för läkemedel (lagen [2016:526] om behandling av person- uppgifter i ärenden om licens för läkemedel). Lagarna innehåller inte uppräkningar av olika kategorier av känsliga personuppgifter utan anger att personuppgifter får behandlas under vissa förutsättningar, eller vad gäller socialförsäkringsbalken och lagen om behandling av personupp- gifter inom socialtjänsten att hela gruppen känsliga personuppgifter får behandlas under vissa förutsättningar. I avsnitt 6.6.3 redogör regeringen för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter för viktiga allmänna intressen i artikel 9.2 g i data- skyddsförordningen och i avsnitt 6.6.4 redogör regeringen för vad som omfattas av undantaget från förbudet att behandla känsliga person- uppgifter vid hälso- och sjukvård och social omsorg i artikel 9.2 h i data- skyddsförordningen. Regeringen bedömer att behandlingen av känsliga personuppgifter enligt socialförsäkringsbalken och de fyra ovannämnda lagarna ryms inom artikel 9.2 g respektive 9.2 h. Dataskyddsförord- ningen kräver inte uttryckligen preciseringar i nationell rätt av vilka kategorier av känsliga personuppgifter som får behandlas i en viss verk- samhet. Det kan konstateras att de aktuella lagarna innehåller skydds- åtgärder. Främst kan nämnas preciserade ändamålsbestämmelser men också t.ex. bestämmelser om tilldelning av behörighet och sökbegräns- ningar. Det finns också mer allmänna skyddsåtgärder i svensk rätt som t.ex. bestämmelser om sekretess och tystnadsplikt för de aktuella områdena. Tystnadsplikt är ett särskilt krav enligt artikel 9.2 h och artikel 9.3 i dataskyddsförordningen. Även kravet på tystnadsplikt behandlas i

Prop. 2017/18:171

111

Prop. 2017/18:171 avsnitt 6.6.4 där regeringen bl.a. konstaterar att det finns bestämmelser om sekretess och tystnadsplikt för personer som är verksamma inom hälso- och sjukvård och författningsreglerad social omsorg i t.ex. 25 kap. OSL och 6 kap. patientsäkerhetslagen respektive 26 kap. OSL och 15 kap. socialtjänstlagen.

Regeringen anser därför att de bestämmelser som tillåter behandling av alla kategorier av känsliga personuppgifter i socialförsäkringsbalken, lagen om behandling av personuppgifter inom socialtjänsten, patientdata- lagen, apoteksdatalagen och lagen om behandling av personuppgifter i ärenden om licens för läkemedel, även kan avse nya kategorier av känsliga personuppgifter enligt den utvidgade definitionen i dataskydds- förordningen.

Det följer direkt av dataskyddsförordningen att de nya kategorierna av känsliga personuppgifter endast får behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen. Regeringen anser att de nya utvidgade kategorierna av känsliga person- uppgifter bör få behandlas om de är nödvändiga för att kunna fullgöra den verksamhet som bedrivs och inom de ändamål som finns för att be- handla personuppgifter. Detta gäller under förutsättning att behandlingen av uppgifterna uppfyller de grundläggande principerna i artikel 5 i data- skyddsförordningen.

Bestämmelser om skyddsåtgärder för känsliga personuppgifter

De skyddsåtgärder som förekommer i registerförfattningarna är ibland begränsade till att avse behandling av känsliga personuppgifter eller vissa av de nuvarande kategorierna av känsliga personuppgifter, t.ex. i fråga om sökbegränsningar. Enligt regeringens bedömning bör utgångspunkten vara att även de nya kategorierna av känsliga personuppgifter ska omfattas av dessa skyddsåtgärder.

Bara om det är nödvändigt för en ändamålsenlig behandling av person- uppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. En bedömning av om det är nödvändigt behöver göras i för- hållande till den verksamhet som är aktuell.

Hänvisa till definitionen i dataskyddsförordningen

För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör en hänvisning göras till artikel 9.1 i data- skyddsförordningen. En sådan hänvisning bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom termino- login som används i den nationella reglering som kompletterar data- skyddsförordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.

112

6.7

Uppgifter om lagöverträdelser

Prop. 2017/18:171

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör behållas. Myndigheters möjligheter att behandla sådana uppgifter påverkas inte av EU:s dataskyddsförordning.

Bestämmelser i registerförfattningar som begränsar möjligheten att behandla uppgifter om lagöverträdelser enligt nuvarande definition kan och bör behållas. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. I annat fall är det endast tillåtet att begränsa behandling av sådana uppgifter om lagöverträdel- ser som omfattas av den nya definitionen i artikel 10 i dataskydds- förordningen.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen ser positivt på förslaget att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska be- hållas, men aktuella begränsningar måste ha stöd i dataskyddsförord- ningen. Detta gäller även för begränsningar av myndigheters behandling.

Skälen för regeringens bedömning

Allmänt om dataskyddsförordningen och den tidigare regleringen i dataskyddsdirektivet

Enligt artikel 10 i dataskyddsförordningen får behandling av personupp- gifter som rör fällande domar i brottmål och överträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Bestämmelsen i dataskyddsförordningen skiljer sig något från artikel 8.5 i dataskyddsdirektivet. Enligt dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser som innefattar brott, brottmålsdomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella be- stämmelser som innehåller lämpliga och specifika skyddsåtgärder. Data- skyddsdirektivets reglering omfattar således även uppgifter om friande brottmålsdomar. I fråga om register över fällande domar i brottmål är regleringen densamma. Därutöver anges i dataskyddsdirektivet att medlemsstaterna får föreskriva att uppgifter som rör administrativa sank- tioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet. I dataskyddsförordningen saknas denna skrivning.

113

Prop. 2017/18:171 Bestämmelsen i dataskyddsdirektivet har kommit till uttryck i 21 § personuppgiftslagen. Där anges att det är förbjudet för andra än myndig- heter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden.

Ändringen från brottmålsdomar till fällande domar i brottmål innebär en begränsning av bestämmelsens tillämpningsområde till att omfatta en- bart fällande brottmålsdomar. Det utökar möjligheterna för andra än myndigheter att behandla uppgifter om brottmålsdomar, men påverkar inte myndigheternas möjligheter.

Vad gäller ändringen från lagöverträdelser till överträdelser gör Dataskyddsutredningen bedömningen att någon förändring i sak inte har varit avsedd genom det justerade ordvalet (SOU 2017:39 s. 193). Social- dataskyddsutredningen gör samma bedömning. Dataskyddsförordningens bestämmelse medför således inte någon förändring av möjligheterna att behandla personuppgifter om lagöverträdelser i förhållande till vad som gällt enligt dataskyddsdirektivet.

Propositionen Ny dataskyddslag

Regeringen föreslår i propositionen Ny dataskyddslag, (prop. 2017/18:105 avsnitt 11) att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrif- ter om arkiv (3 kap. 8 §).

Regeringen eller den myndighet som regeringen bestämmer föreslås får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor (3 kap. 9 § dataskyddslagen).

Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig. Det är emellertid inte tydligt vad be- greppet under kontroll av myndighet innebär för svenskt vidkommande. Begreppet skulle kunna tolkas som att behandlingen ska ske av ett organ som anförtrotts uppgifter som ankommer på den offentliga sektorn. Regeringen bedömer att bestämmelsen i artikel 10 i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet. Det är angeläget att tydliggöra detta, eftersom det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Det finns således ett visst utrymme att förtydliga innebörden av artikel 10 i svensk rätt. Som Dataskyddsutredningen föreslår bör det därför ut- tryckligen framgå av dataskyddslagen att personuppgifter som rör lag- överträdelser får behandlas av myndigheter (prop. 2017/18:105 s. 99).

Enligt artikel 10 i dataskyddsförordningen får behandling ske utan

kontroll av myndighet då behandlingen är tillåten enligt unionsrätten

114

eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fast- ställs. Regleringen i artikel 10 syftar således till att säkerställa att det i unionsrätten eller den nationella rätten finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, när behandling utförs av andra än myndigheter. Enligt regeringens mening är det inte lämpligt att i dataskyddslagen ange vilka skyddsåtgärder som bör finnas vid behandling av uppgifter om lagöverträdelser. I stället bör detta övervägas i särskild ordning där behovet kan analyseras särskilt från fall till fall. Regeringen föreslår därför i likhet med Dataskyddsutredningen att regeringen eller den myndighet regeringen bestämmer ska ges befogen- het att meddela föreskrifter som tillåter andra än myndigheter att be- handla personuppgifter som rör lagöverträdelser. Regeringen har för avsikt att, som utredningen föreslår, vidaredelegera denna normgivnings- kompetens till tillsynsmyndigheten. Eftersom dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar, kommer det även i fortsättningen att finnas utrymme för särreglering som tillåter behandling av personuppgifter som rör lagöverträdelser. Det bör dock noteras att det inte krävs en uttrycklig undantagsreglering för att behand- ling av uppgifter som rör lagöverträdelser ska vara tillåten (prop. 2017/18:105 s. 99 f.).

Överväganden avseende Socialdepartementets registerförfattningar

Personuppgifter om lagöverträdelser får således behandlas av en myndig- het under förutsättning att det finns lagligt stöd för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Det krävs inga särskilda ställnings- taganden för myndigheters behandling av personuppgifter som avser lag- överträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund för behandling av personuppgifter vad gäller myndig- heter.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder utan kontroll av en myndighet kan enligt artikel 10 i dataskyddsförordningen tillåtas i den nationella rätten om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett krav på lämpliga och specifika skyddsåtgärder finns också i artikel 8.5 i dataskyddsdirektivet. Kraven på skyddsåtgärder får enligt regeringens bedömning anses innebära detsamma i dataskyddsförordningen och data- skyddsdirektivet. För att andra personuppgiftsansvariga än myndigheter fortsättningsvis ska få behandla sådana uppgifter som anges i artikel 10 gäller således samma förutsättningar som i dag. Någon ny analys av tillämpliga skyddsåtgärder krävs därför inte. Bestämmelser som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör därför behållas.

Datainspektionen ser positivt på förslaget att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska be- hållas, men att aktuella begränsningar måste ha stöd i dataskyddsförord- ningen. Detta gäller även för begränsningar av myndigheters behandling.

Registerförfattningar innehåller inte så sällan, såsom lämpliga och specifika skyddsåtgärder i de fall enskildas behandling omfattas, be- stämmelser som begränsar möjligheterna att behandla sådana uppgifter

Prop. 2017/18:171

115

Prop. 2017/18:171 om lagöverträdelser som avses i 21 § personuppgiftslagen. Det kan t.ex. röra sig om sökbegränsningar. Dessa begränsningar omfattar även upp- gifter om friande domar i brottmål och administrativa frihetsberövanden. Trots att det för myndigheters behandling inte finns något motsvarande krav på skyddsåtgärder omfattas även dessa av begränsningarna i de fall registerförfattningen tillämpas på såväl myndigheters som enskildas behandling. För sådana behandlingar anser regeringen att det är fråga om specifika bestämmelser som det enligt artikel 6.2 och 6.3 i dataskydds- förordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndig- hetsutövning (artikel 6.1 e).

Regeringen instämmer i Socialdataskyddsutredningens bedömning att det är svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter som de hittills inte har bedömts ha behov av att behandla bara därför att dataskyddsförordningen gör det möjligt. Även för sådana behandlingar anser regeringen att det är fråga om specifika bestämmelser som det enligt artikel 6.2 och 6.3 i data- skyddsförordningen är tillåtet att ha i nationell rätt för att reglera behand- ling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en upp- gift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Det är därför under dessa förutsättningar tillåtet att behålla begräns- ningarna för de uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen men som inte omfattas av artikel 10 i dataskydds- förordningen. Av samma skäl kan även bestämmelser om skyddsåtgärder behållas. Begränsningar av enskildas behandling av personuppgifter, som omfattas av artikel 10 i dataskyddsförordningen, är dessutom tillåtna i form av skyddsåtgärder enligt samma artikel.

Bestämmelser i registerförfattningar som begränsar möjligheten att be- handla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsbe- rövanden kan och bör därför behållas, trots att definitionen av uppgifter om lagöverträdelser i registerförfattningarna inte blir enhetlig med den som finns i dataskyddsförordningen och den föreslagna dataskyddslagen. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen har en sådan rättslig grund att det är tillåtet med mer specifika bestämmelser. Om så inte är fallet, får begräns- ningarna inte gälla för uppgifter om friande domar i brottmål eller administrativa frihetsberövanden, eftersom sådana uppgifter inte om- fattas av dataskyddsförordningens krav på begränsningar.

Bestämmelser som reglerar behandling av uppgifter om lagöverträdel- ser m.m. som avses i 21 § personuppgiftslagen finns i 2 kap. 7 och 8 §§ samt 7 kap. 8 § patientdatalagen (avsnitt 7.1.5) och 114 kap. 12 § social- försäkringsbalken (avsnitt 7.5.6).

116

6.8

Den registrerades rättigheter

Prop. 2017/18:171

6.8.1Utökade rättigheter för registrerade

Regeringens bedömning: Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av EU:s dataskyddsförordning kan och bör behållas om den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör komp- letteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Bestämmelser i registerförfattningar som hänvisar till personupp- giftslagens bestämmelser om rättelse bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Örebro läns landsting, Sveriges Kommuner och Landsting och Inera AB anser att det med stöd av artikel 23 i dataskyddsförordningen behöver införas en bestämmelse i patientdatalagen som gör det möjligt för vård- givare att fatta automatiserade beslut, inbegripet profilering, för individ- nära vård och behandling. Inom intensivvården på sjukhus används i dag övervakningssystem i form av medicintekniska produkter som monito- rerar en patients blodtryck, hjärta, blodvärden m.m. I dagsläget används det visserligen inte några helautomatiska system som både övervakar vitalparametrar och som baserat på tröskelvärden automatiskt injicerar läkemedel. Det utesluter dock inte tillkomsten av sådana lösningar i en nära framtid. Ett autonomt system kan anses fatta beslut i dataskyddsför- ordningens mening. En annan fråga är om maskinen ”profilerar”. Enligt artikel 22.4 i dataskyddsförordningen råder ett förbud för automatiserade beslut, inbegripet profilering, som innefattar känsliga personuppgifter, t.ex. patientuppgifter, såvida inte artikel 9.2 a (uttryckligt samtycke) eller g (viktigt allmänt intresse) är tillämplig och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Hälso- och sjukvård är en arbetsuppgift av allmänt intresse, men inte ett sådant allmänt intresse som är ”viktigt”. Det är tveksamt om en vårdgivare får behandla känsliga patientuppgifter inom ramen för automatiserade beslut inklusive profilering med stöd av bestämmelserna i patientdatalagen om individinriktad vård och behandling.

Swedish Medtech anser att det råder oklarhet om huruvida artikel 22.1 i dataskyddsförordningen enbart är grundad på profilering. Swedish Medtechs tolkning är att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, däri inbegripet, dvs. inklusive, profilering. Då det sker en väldigt snabb utveckling kring automatiserat beslutsfattande baserat på

117

Prop. 2017/18:171 individuella data inom vården i dag, framhåller Swedish Medtech att behov finns att få till stånd ett klargörande.

Skälen för regeringens bedömning

Information som ska lämnas självmant

Regleringen i dataskyddsförordningen

I dataskyddsförordningen har den registrerades rättigheter förstärkts i syfte att ge denne ökad kontroll över sina personuppgifter.

Av artikel 13.1 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om den personuppgiftsansvarige, dataskyddsombudet, ändamål och rättslig grund för behandlingen, de intressen som en eventuell behandling som sker med stöd av en intresseavvägning enligt artikel 6.1 f baseras på, mottagarna eller de kategorier av mottagare som ska ta del av person- uppgifterna samt uppgifter om överföring till tredjeland eller en internationell organisation.

Vidare följer av artikel 13.2 i dataskyddsförordningen att information ska lämnas om lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behand- ling och dataportabilitet, rätten att – om behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a – när som helst återkalla samtycket utan att detta påverkar lagligheten av behandling som skett innan samtycket återkallades, rätten att inge klagomål till en tillsyns- myndighet, uppgift om huruvida den registrerade är skyldig att tillhanda- hålla personuppgifterna och följderna av att uppgifterna inte lämnas samt uppgift om automatiserat beslutsfattande, inbegripet profilering.

Om den personuppgiftsansvarige avser att ytterligare behandla person- uppgifterna för ett annat syfte än det för vilket de samlades in, ska den personuppgiftsansvarige enligt artikel 13.3 i dataskyddsförordningen före den behandlingen ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

Punkterna 1, 2 och 3 ska enligt artikel 13.4 i dataskyddsförordningen inte tillämpas om den registrerade redan förfogar över informationen.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Utöver den information som anges i artikel 13 ska även information om de kategorier av personuppgifter som behandlingen gäller lämnas (artikel 14.1 d). I stället för information om skyldigheten att tillhandahålla personuppgifterna gäller att information ska lämnas om varifrån uppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor (artikel 14.2 f).

När det gäller den tidpunkt inom vilken informationen ska lämnas anges i artikel 14.3 i dataskyddsförordningen att den personuppgifts- ansvarige ska lämna informationen inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas. Det finns också möjlighet att lämna information först vid tid-

118

punkten för den första kommunikationen med den registrerade eller först när personuppgifterna lämnas ut för första gången.

Av artikel 14.5 framgår att information inte behöver lämnas om den registrerade redan har tillgång till informationen. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån informationsskyldigheten sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgifts- ansvarige vidta lämpliga skyddsåtgärder. Om erhållande eller utläm- nande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, behöver informa- tion inte heller lämnas. Information ska inte heller lämnas om personupp- gifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lag- stadgade sekretessförpliktelser.

Av artikel 12.1 i dataskyddsförordningen följer att den personuppgifts- ansvarige ska tillhandahålla informationen som avses i artiklarna 13 och 14 i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

Regleringen i den föreslagna dataskyddslagen

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 13) att artiklarna 13–15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller författning eller enligt beslut som har meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400), se förslag till 5 kap. 1 § dataskyddslagen.

Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen

Dataskyddsförordningens bestämmelser om information är mer utförliga än de som finns i artikel 10 och 11 i dataskyddsdirektivet. Den regi- strerade har således en rätt att få mer information än vad som gäller enligt dataskyddsdirektivet. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett sam- tycke och rätten att inge klagomål är exempel på information som tillkommit. En annan nyhet är att den personuppgiftsansvarige är skyldig att informera innan denne ytterligare behandlar personuppgifterna för ett annat syfte än det för vilket de samlades in.

Prop. 2017/18:171

119

Prop. 2017/18:171 Regleringen av vid vilken tidpunkt information ska lämnas om be- handling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet är att informationen ska lämnas vid tiden för registreringen, medan data- skyddsförordningen föreskriver att det ska ske inom en rimlig tid från er- hållandet av uppgifterna. Enligt dataskyddsförordningen finns det också möjlighet att informera först i samband med den första kommunikationen med den registrerade.

Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form information ska lämnas saknar motsvarighet i dataskyddsdirektivet.

Bestämmelser i registerförfattningar om att information utöver vad som följer av dataskyddsförordningen ska lämnas självmant

Det förekommer att det i registerförfattningar finns bestämmelser som preciserar personuppgiftslagens reglering av vilken information den personuppgiftsansvarige självmant på ett eller annat sätt ska lämna till den registrerade. Bestämmelserna har införts för att det ska bli tydligare vilken information som ska lämnas (se t.ex. prop. 2008/09:145 s. 363 och prop. 2007/08:126 s. 208).

Regeringen anser i likhet med Socialdataskyddsutredningens bedöm- ning att sådana bestämmelser i registerförfattningar som innebär att den information som ska lämnas till registrerade ska innehålla fler upplys- ningar än vad som följer av dataskyddsförordningen kan behållas i de fall den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning (se avsnitt 6.1).

Om bestämmelserna kräver att informationen ska innehålla sådana upplysningar som ska lämnas enligt dataskyddsförordningens bestäm- melser om information, så bör enligt regeringens bedömning dessa krav tas bort. Att bestämmelserna rensas på informationskrav innebär inte någon skillnad i sak, eftersom samma krav gäller enligt dataskydds- förordningen. För att bestämmelserna om information i registerförfatt- ningarna inte ska leda till den felaktiga slutsatsen att de reglerar all den information som behöver lämnas självmant, bör bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen. Hänvisningen till dataskyddsförord- ningens bestämmelser om information bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelserna, eftersom det bara gäller en upplysning och dataskyddsförordningen är direkt tillämplig.

Information som ska lämnas på begäran (registerutdrag)

Regleringen i dataskyddsförordningen

Den registrerades rätt till tillgång regleras i artikel 15 i dataskyddsförord- ningen. Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. Den registrerade har också rätt till viss information om ändamålen med be-

handlingen, de kategorier av personuppgifter som behandlingen gäller,

120

mottagarna eller de kategorier av mottagare till vilka personuppgifterna lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, l