Behandling av personuppgifter för forskningsändamål

Lagtext

Prop. 2017/18:298

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Förhållandet till person- uppgiftslagen

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsy- kiatriska forskningsregistret.

Föreslagen lydelse

Förhållandet till annan data- skyddsreglering

2 §

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

2 a §

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 §
När personuppgifter i ett mål	När personuppgifter i ett mål
första gången registreras i det	första gången registreras i det
rättspsykiatriska forskningsregist-	rättspsykiatriska	forskningsregist-
ret skall Rättsmedicinalverket läm-	ret ska Rättsmedicinalverket lämna
na den registrerade information om	information om	behandlingen till
behandlingen.	den registrerade.	9
		9

Prop. 2017/18:298	Informationen		skall	innehålla		Utöver vad som framgår av ar-
	upplysningar om					tikel 14 i EU:s dataskyddsförord-
	1. att	Rättsmedicinalverket			är	ning ska informationen			innehålla
	personuppgiftsansvarigt			för	be-	upplysningar om
	handlingen,
	2. ändamålen med behandlingen,
	3. vilken typ av uppgifter behand-
	lingen avser,
	4. mottagarna av uppgifterna,							och säkerhets-
	5. de	sekretess-	och	säkerhets-		1. de sekretess-
	bestämmelser som gäller för be-					bestämmelser som gäller för be-
	handlingen,					handlingen,
	6. bestämmelserna i personupp-					2. bestämmelserna i EU:s data-
	giftslagen (1998:204) om informa-					skyddsförordning		och	lagen
	tion som skall lämnas efter ansökan					(2018:218)	med	kompletterande
	samt om rättelse och skadestånd,					bestämmelser till EU:s data-
	samt					skyddsförordning om den registre-
						rades rätt till skadestånd, och
	7. de begränsningar i fråga om					3. de begränsningar i fråga om
	tillgång	till uppgifter, utlämnande				tillgång till	uppgifter, utlämnande
	av uppgifter på medium för auto-					av uppgifter på medium för auto-
	matiserad behandling och bevaran-					matiserad behandling och bevaran-
	de av uppgifter som gäller för be-					de av uppgifter som gäller för be-
	handlingen.					handlingen.

Denna lag träder i kraft den 1 januari 2019.

2.2 Förslag till lag om ändring i lagen (2003:460) Prop. 2017/18:298 om etikprövning av forskning som avser män-

niskor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att in- hämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

behandling av personuppgifter: sådan behandling som anges i ar- tikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av

1.känsliga personuppgifter en- ligt 13 § personuppgiftslagen (1998:204), eller

1.personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgif- ter), eller

1	Senaste lydelse 2008:192.	11
2	Senaste lydelse 2008:192.	11

Prop. 2017/18:298 2.4	Förslag till lag om ändring i lagen (2013:794)
	om vissa register för forskning om vad arv och
	miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till personupp-	Förhållandet till annan data-
giftslagen	skyddsreglering
	3 §

Personuppgiftslagen (1998:204) gäller vid behandling av perso- nuppgifter, om inte annat följer av denna lag.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

	12 §
Personuppgifter som inte längre		Personuppgifter som inte längre
behövs för de ändamål som avses i		behövs för de ändamål som avses i
5 § 1 och 2 ska gallras, om inte		5 § 1 och 2 ska gallras, om inte
regeringen eller	den myndighet	regeringen eller	den myndighet
som regeringen	bestämmer har	som regeringen	bestämmer har

meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

meddelat föreskrifter om eller i ett	Prop. 2017/18:298
enskilt fall beslutat att uppgifter får

bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 §

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska re- gistreras i ett register som förs enligt denna lag utan att den som uppgif- terna avser uttryckligen har samtyckt till att personuppgifter behandlas en- ligt denna lag.

Innan en person lämnar sitt	Utöver vad som framgår av ar-
samtycke enligt första stycket ska	tiklarna 13 och 14 i EU:s data-
han eller hon ha informerats om	skyddsförordning ska en person,
	innan han eller hon lämnar sitt
	samtycke enligt första stycket, ha
	informerats om

1.att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling	2. vilka uppgifter som får re-
kan ske enligt 5–7 §§ och vilka	gistreras enligt 9 §,
uppgifter som får registreras enligt

9§,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4.vem som är personuppgifts-

ansvarig,

5.hur länge uppgifterna sparas,

6.rätten till rättelse av uppgif- terna,

7. rätten till information enligt	4. rätten till information enligt
15 § denna lag och 26 § person-	15 § denna lag,
uppgiftslagen (1998:204),	5. vilken myndighet som har
8. vilken myndighet som har	5. vilken myndighet som har
tillsyn över att denna lag följs,	tillsyn över att denna lag följs, och
9. rätten till skadestånd, och	6. rätten till skadestånd.

10.rätten att få uppgifter utplå-

nade.

Denna lag träder i kraft den 1 januari 2019.

3 Ärendet och dess beredningProp. 2017/18:298

I april 2016 antogs Europaparlamentets och rådets förordning (EU)
2016/679 om skydd för fysiska personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter och om upphä-
vande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad
dataskyddsförordningen. Dataskyddsförordningen, som har börjat tilläm-
pas den 25 maj 2018, finns i svensk lydelse i bilaga 1 med beslutade rät-
telser i bilaga 2.
Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare,
som bl.a. fick i uppdrag att analysera vilken reglering av personuppgifts-
behandling för forskningsändamål som är möjlig och kan behövas utöver
dels regleringen i dataskyddsförordningen, dels den generella reglering
som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i upp-
drag att föreslå med anledning av dataskyddsförordningen. I den nya ut-
redningens uppdrag ingick också att föreslå nödvändiga anpassningar till
dataskyddsförordningen av vissa registerspecifika författningar på forsk-
ningsområdet (dir. 2016:65). Utredningen, som antog namnet Forsknings-
datautredningen, presenterade i juni 2017 delbetänkandet Personuppgifts-
behandling för forskningsändamål (SOU 2017:50). En sammanfattning av
betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Ut-
redningens betänkande har remissbehandlats. En förteckning över remiss-
instanserna finns i bilaga 5. Remissvaren och en sammanställning av dessa
finns tillgängliga i Utbildningsdepartementet (dnr U2017/02644/F).
Regeringskansliet (Utbildningsdepartementet) tog därefter fram en pro-
memoria som kompletterar delbetänkandet. I promemorian lämnas förslag
avseende tillämpningsområdet för den forskningsdatalag som Forsknings-
datautredningen har föreslagit. Promemorian har remitterats. Promemo-
rian och remissvaren finns tillgängliga i Utbildningsdepartementet (dnr
U2017/04494/F).
Ett utkast till lagrådsremiss togs därefter fram inom Regeringskansliet
(Utbildningsdepartementet). I utkastet gjordes bedömningen att den av
Forskningsdatautredningen föreslagna forskningsdatalagen inte ska ge-
nomföras utan att endast nödvändiga anpassningar av befintliga lagar till
dataskyddsförordningen ska genomföras för närvarande. De lagändringar
som föreslogs i utkastet baserades med ett undantag och med små juste-
ringar på Forskningsdatautredningens förslag i delbetänkandet. Ett förslag
till ändring i offentlighets- och sekretesslagen (2009:400) fanns inte med i
delbetänkandet. Detta förslag är en nödvändig följdändring för att ingen
ändring i sak ska uppstå till följd av att personuppgiftslagen (1998:204)
upphört att gälla i samband med att dataskyddsförordningen börjat
tillämpas. Utkastet till lagrådsremiss remitterades den 4 april till den 4 maj
2018. Utkastets lagförslag finns i bilaga 6 och en förteckning över remiss-
instanserna finns i bilaga 7. Remissvaren finns tillgängliga i Utbildnings-
departementet (dnr U2018/01639/F).
De förslag som regeringen lagt fram i lagrådsremissen överensstämmer
i sak med utkastet till lagrådsremiss. Regeringens avsikt är alltjämt att
föreslå nödvändiga anpassningar till dataskyddsförordningen. Fortsatt
arbete med de aktuella författningarna kommer bl.a. att ske i samband med
beredningen av förslagen i betänkandet Etikprövning – en översyn av	17
	17

Prop. 2017/18:298 reglerna om forskning och hälso- och sjukvård (SOU 2017:104) och Forskningsdatautredningens slutbetänkande Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36).

Lagrådet

Regeringen beslutade den 28 juni 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9.

Lagrådet har lämnat förslagen utan erinran. I förhållande till lagråds- remissens lagförslag har en hänvisning i 14 § lagen (2013:794) om vissa register om vad arv och miljö betyder för människors hälsa till dataskydds- förordningen tagits bort.

4Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter

4.1Dataskyddsdirektivet har ersatts av en data- skyddsförordning

Fram till den 25 maj 2018 har offentliga och privata forskningsutförare behandlat personuppgifter i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Från och med denna dag gäller i stället Euro- paparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp- gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig i EU:s medlemsstater.

Dataskyddsförordningen föregicks av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Det direktivet hade i Sve- rige genomförts genom PUL. Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknad lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vi- dare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dataskyddsdirektivet har inte förhindrat bristande enhetlighet i genomförandet och tillämp- ningen av dataskyddet i olika delar av EU. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Dataskyddsförordningen syftar till att säkerställa en enhetlig skyddsnivå över hela unionen så att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden undviks. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer,

ge fysiska personer i alla medlemsstater samma rättigheter och skyldig- heter och ålägga dem som ansvarar för personuppgifterna samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sank- tionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsyns- myndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till data- skyddsförordningen).

Som framgått upphörde dataskyddsdirektivet att gälla från och med den 25 maj 2018 (artiklarna 99.2 och 94.1 i dataskyddsförordningen). Samma datum upphävdes PUL och en ny lag som innehåller bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär trädde i kraft, lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning. Den nya lagen benämns i det följande dataskyddslagen.

Det förekommer hänvisningar till PUL i ett stort antal författningar som reglerar personuppgiftsbehandling inom olika områden. I propositionen Ny dataskyddslag 2017/18:105, har regeringen konstaterat att arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat och att allt detta arbete inte kommer att vara helt avslutat den 25 maj 2018. Eftersom det således kommer att finnas ett antal författningar med hänvisningar till PUL som ännu inte har hunnit ändras när PUL upphör att gälla har det införts en övergångsbestämmelse till dataskyddslagen som anger att den upphävda lagen, PUL, fortfarande ska gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. På forskningsområdet finns sådana hänvisningar i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. I fall som omfattas av dessa lagar fortsätter alltså PUL att gälla i den utsträckning lagarna hänvisar till PUL fram till dess att en ändring i lagarna träder i kraft.

Det numera upphävda dataskyddsdirektivet grundade sig på Europarå- dets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommenda- tioner som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlems- stater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Förhandlingarna om en modernisering av dataskyddskonventionen har nyligen avslutats. Änd- ringsprotokollet till konventionen som förhandlingarna resulterat i har ännu inte trätt i kraft. Ändringarna har skett med beaktande av regleringen i den nya dataskyddsförordningen, som antogs under tiden förhandling- arna om dataskyddskonventionen pågick.

Dataskyddsdirektivet hade ett begränsat tillämpningsområde. Det var inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens sä- kerhet eller statens verksamhet på straffrättens område. PUL gjordes dock, till skillnad från direktivet, generellt tillämplig och var därför tillämplig även utanför EU-rättens område. Skälet för detta var att den svenska data- skyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa un- dantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL,

Prop. 2017/18:298

Prop. 2017/18:298 ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksam- het som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f). PUL skulle dock inte tillämpas om avvikande bestämmelser fanns i annan lag eller förordning, dvs. PUL var subsidiär i förhållande till annan författ- ningsreglering.

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett be- gränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndig- heters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

4.2Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltig- het och vara till alla delar bindande och direkt tillämplig i varje medlems- stat framgår också av Fördraget om Europeiska unionens funktionssätt (ar- tikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-för- ordningar inte implementeras i nationell rätt. I stället ska förordnings- bestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen är direkt tillämplig i medlemssta- terna, innehåller den många bestämmelser som förutsätter eller ger ut- rymme för kompletterande nationella bestämmelser av olika slag. Möjlig- heten till kompletterande nationella bestämmelser gäller framför allt be- handling av personuppgifter inom den offentliga sektorn i respektive med- lemsstat. Medlemsstaterna får behålla eller införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i dataskyddsför- ordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighets- utövning (artikel 6.2). När det gäller behandling av personuppgifter för forskningsändamål både förutsätter och möjliggör förordningen en komp- letterande nationell reglering (artiklarna 9.2 j och 89). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen före- skriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).

4.3	Dataskyddsförordningen kompletteras av en ny Prop. 2017/18:298
	svensk övergripande lag och förordning om
	dataskydd

Som nämnts i avsnitt 4.1 trädde den nya övergripande lagen om dataskydd, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen), i kraft den 25 maj 2018. Genom lagen upphävdes PUL men det finns som nämnts övergångsbestämmelser för vissa fall då PUL fortfarande ska gälla. Genom namnet på lagen betonas att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen.

På motsvarande sätt som PUL hade ett vidare tillämpningsområde än dataskyddsdirektivet, finns det en bestämmelse i dataskyddslagen som ut- sträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Data- skyddslagen innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsför- ordningen i vissa delar. Bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 §), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på mot- svarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område.

4.4Dataskyddsförordningen behöver även komp- letteras med svenska bestämmelser på forsk- ningsområdet

För att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål behöver dataskyddsförordningen och dataskyddslagen kompletteras. De frågor som regeringen ser behov av att reglera, eller i vilka riksdagen bör informeras om regeringens bedömning, är främst fö- rekomsten av rättslig grund för att olika forskningsaktörer ska kunna be- handla personuppgifter för forskningsändamål (avsnitt 7), skyddsåtgärder vid all behandling av personuppgifter för forskningsändamål (avsnitt 9), behandling av s.k. känsliga personuppgifter för forskningsändamål (av- snitt 10), behandling av personuppgifter som rör lagöverträdelser för forskningsändamål (avsnitt 11) och undantag från artiklar i dataskyddsför- ordningen som reglerar den registrerades rättigheter (avsnitt 13). Vidare behöver anpassningar göras i lagen (2003:460) om etikprövning av forsk- ning som avser människor, vissa registerförfattningar på forsknings- området och i offentlighets- och sekretesslagen (2009:400), se avsnitt 14– 16.

Då den nya dataskyddsförordningen till stor del baseras på dataskydds- direktivets struktur och innehåll ges nedan först en kortfattad redogörelse för vad som gällt hittills enligt dataskyddsdirektivet och PUL (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

Prop. 2017/18:298

4.5Vad har gällt hittills enligt dataskyddsdirektivet och personuppgiftslagen?

Dataskyddsdirektivet

Dataskyddsdirektivet syftade till att garantera en hög och i alla medlems- stater likvärdig skyddsnivå när det gäller enskilda personers fri- och rät- tigheter med avseende på behandling av personuppgifter. Det syftade även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna fick inom den ram som gavs i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma.

Huvuddragen i direktivet var följande. Direktivet gällde för sådan be- handling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avsågs varje åtgärd eller serie av åtgärder som vidtas beträffande person- uppgifter, vare sig det sker på automatisk väg eller inte, till exempel in- samling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artiklarna 2 b och 3.1 i dataskyddsdirektivet).

Direktivet var inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Direktivet var inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av per- sonuppgifter för journalistiska, konstnärliga och litterära ändamål undan- togs från direktivets materiella bestämmelser (artiklarna 3.2 och 9).

Medlemsstaterna skulle enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebar bl.a. följande. Personuppgifter skulle behandlas på ett korrekt och lagligt sätt. Uppgifterna fick samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de fick inte senare användas på ett sätt som var oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskap- liga ändamål skulle dock inte anses oförenligt med det ursprungliga ända- målet, förutsatt att medlemsstaterna beslutat om lämpliga skyddsåtgärder. Medlemsstaterna skulle vidare föreskriva att personuppgifter endast fick behandlas i bl.a. följande fall: när samtycke lämnats, när det var nödvän- digt för att fullgöra ett avtal i vilket den registrerade var part, när det fanns en i författning reglerad förpliktelse att behandling av uppgifterna skulle göras, när det var nödvändigt för att skydda den enskildes grundläggande intressen, när det var nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en avvägning mellan de berättigade intressen som fanns för behandlingen och den re- gistrerades rättigheter och intressen (artiklarna 6 och 7).

Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgif- ter som rör hälsa och sexualliv (s.k. känsliga personuppgifter) fick som huvudregel inte behandlas. Det fanns dock vissa undantag, bl.a. om den

enskilde uttryckligen samtyckt, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna fick i sin nationella lagstiftning eller ge- nom ett beslut av tillsynsmyndigheten besluta om andra undantag från för- budet än dem som angavs i direktivet, dock endast under förutsättning att det skedde av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtogs. Medlemsstaterna skulle vidare bestämma på vilka villkor nationella identifikationsnummer fick behandlas. Vidare fick upp- gifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8).

Med registeransvarig avsågs den fysiska eller juridiska person, den myn- dighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. Med registerförare avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personupp- gifter för den registeransvariges räkning (artikel 2 d och 2 e).

Enligt direktivet skulle, när personuppgifter samlades in, den registre- rade informeras bl.a. om vem som var registeransvarig och vad uppgifterna skulle användas till. All behandling av personuppgifter skulle enligt hu- vudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgif- ter som innebar särskilda integritetsrisker fick inte förekomma utan att till- synsmyndigheten först gett tillstånd till detta. Den registrerade hade rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndig- heten och domstol. Överföring av personuppgifter till ett tredje land fick i princip endast ske om det mottagande landet hade en acceptabel skyddsnivå (se bl.a. artiklarna 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet genomfördes, som angetts ovan, i svensk rätt huvud- sakligen genom PUL. Bestämmelserna i PUL hade till syfte att skydda människor mot att deras personliga integritet kränktes genom behandling av personuppgifter. PUL följde i princip dataskyddsdirektivets struktur. Liksom direktivet innehöll PUL bestämmelser om behandling av person- uppgifter som var helt eller delvis automatiserad, men även annan behand- ling av personuppgifter om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier. PUL gällde både myndigheter och enskilda som behandlade personuppgifter på detta sätt. Lagen gällde dock inte för sådan behandling av personuppgifter som en fysisk person utförde som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL).

Liksom direktivet innehöll PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter var tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta för- bud, begränsningar i fråga om behandling av personuppgifter om lagöver- trädelser m.m., skyldighet att lämna information till den registrerade och att på begäran av den registrerade rätta, blockera eller utplåna personupp- gifter som inte hade behandlats i enlighet med lagen (t.ex. 9, 10, 13, 16, 21 och 23–28 §§.) De som i direktivet benämndes som registeransvarig

Prop. 2017/18:298

Prop. 2017/18:298 och registerförare motsvarades i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §).

4.6Likheter och skillnader mellan dataskydds- förordningen och dataskyddsdirektivet

Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdi- rektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska data- skyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

Definitionerna av begreppen personuppgifter och behandling i data- skyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterli- gare exempel på vad som utgör personuppgifter respektive behandling (ar- tikel 4.1 och 4.2).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4.7 och 4.8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillå- ten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av person- uppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artiklarna 5, 6, 9, 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. de förändringar som beskrivs nedan.

Tillämpningsområdet har utvidgats

Dataskyddsförordningen ska tillämpas på behandling av personuppgifter som görs inom ramen för den verksamhet som bedrivs på personuppgifts- ansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen (artikel 3.1). Vidare ska dataskyddsförordningen, i likhet med dataskydds- direktivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.3).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett per- sonuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om be- handlingen avser registrerade som befinner sig i unionen, under förutsätt- ning att behandlingen har anknytning till antingen utbjudande av varor el- ler tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2).

Den registrerades rättigheter har förstärkts

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. I för- hållande till dataskyddsdirektivet har den information som ska tillhanda- hållas den registrerade preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informa- tionen i en begriplig och lättillgänglig form. Det finns liksom i dataskydds- direktivet en rätt till s.k. registerutdrag och en rätt till rättelse av felaktiga uppgifter. Rätten till radering (utplåning) av uppgifter har förtydligats. En rätt till begränsning av behandling har vidare ersatt rätten till blockering av uppgifter. Det finns också, liksom enligt dataskyddsdirektivet, en rätt för den registrerade att invända mot behandling av personuppgifter som rör honom eller henne (artiklarna 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Ett krav på samtycke har införts för situationer när informationssam- hällets tjänster erbjuds barn

När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). Enligt dataskyddslagen gäller en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställ- ning och särskilda utsatthet poängteras också på flera ställen i dataskydds- förordningen.

En skyldighet att anmäla personuppgiftsincidenter har införts

Genom dataskyddsförordningen införs en skyldighet för den personupp- giftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska in- formeras om incidenten om den sannolikt leder till en hög risk för enskil- das rättigheter och friheter, såvida inte vissa villkor är uppfyllda (artikel 33).

Ett krav på konsekvensanalyser har ersatt en allmän anmälningsskyldig- het

Genom dataskyddsförordningen införs även ett krav på konsekvensana- lyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmäl- ningsskyldigheten till tillsynsmyndigheten har däremot tagits bort.

Det finns ingen missbruksregel och vissa förändringar har gjorts av de rättsliga grunderna för personuppgiftsbehandling

Genom att dataskyddsförordningen börjat tillämpas finns den så kallade missbruksregeln i 5 a § PUL inte längre kvar. Såväl dataskyddsdirektivet som PUL innebar att behandling av personuppgifter förutsatte tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebar att vissa av

Prop. 2017/18:298

Prop. 2017/18:298 dessa hanteringsregler inte behövde tillämpas på behandling av person- uppgifter som inte ingick i eller var avsedda att ingå i en samling av per- sonuppgifter som strukturerats för att påtagligt underlätta sökning efter el- ler sammanställning av personuppgifter. Detta gällde dock endast under förutsättning att behandlingen inte innebar en kränkning av den registrera- des personliga integritet. Bestämmelsen tillkom för att förenkla regle- ringen av personuppgiftsbehandling och bestämmelsen hade ett relativt vitt tillämpningsområde (jfr HFD 2015 ref. 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen.

Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behand- lingen och den registrerades rättigheter och intressen (artikel 6.1). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myn- digheter ska kunna basera en behandling av personuppgifter på den rätts- liga grunden samtycke är begränsat.

Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehand- lingen stödjer sig på i vissa fall ska vara fastställd i enlighet med unions- rätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgif- ter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1 och 2 §§ i dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter för forskningsändamål behandlas i avsnitt 7.

Förändringar när det gäller känsliga personuppgifter och lagöverträdel- ser

Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 10 och 11.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser samt personnummer och samordningsnummer finns i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lag- överträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

Förhållandet till offentlighetsprincipen har blivit tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför personupp- giftsregleringen har blivit tydligare i dataskyddsförordningen. Detta har skett genom en uttrycklig och direkt tillämplig bestämmelse om att per- sonuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen (ar- tikel 86). Härigenom möjliggörs alltså en tillämpning av tryckfrihetsför- ordningens reglering om allmänhetens tillgång till handlingar när det gäl- ler allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta finns i 1 kap. 7 § dataskyddslagen.

Administrativa sanktionsavgifter och andra åtgärder som syftar till en	Prop. 2017/18:298
enhetlig tillämpning har införts

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förord- ningen. Kompletterande nationella bestämmelser om sanktionsavgifter finns i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förord- ningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförande- koder och certifiering. Det införs även en skyldighet för de nationella till- synsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgifts- ansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artiklarna 40, 43, 57, 68–76 och 83).

Särskilda bestämmelser med villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål har införts

I dataskyddsförordningen finns det några bestämmelser som särskilt reg- lerar villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål. Behandling av personuppgifter för sådana ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rät- tigheter och friheter. Om personuppgifter behandlas för sådana ändamål får det under vissa förutsättningar i unionsrätten eller medlemsstaternas nationella rätt föreskrivas undantag från vissa av de artiklar i förordningen som reglerar de rättigheter den registrerade har för att ha kontroll över sina uppgifter (artikel 89). Ett särskilt undantag från förbudet att behandla känsliga personuppgifter finns också om behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål (artikel 9.2 j).

4.7Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå

När det gäller införande av svensk reglering som kompletterar dataskydds- förordningen behöver regeringsformens (RF) grundläggande bestämmel- ser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om denne registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lag- stiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personupp- gifter.

Prop. 2017/18:298 Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numera att var och en är gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhål- landen. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF).

Vid införandet av nya bestämmelser som avser behandling av person- uppgifter behöver därmed bedömas om regleringen utgör ett sådant bety- dande intrång som kräver lagform, eller om regleringen kan införas på för- ordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (prop. 2009/10:80 s. 171 f).

5 Vilka är forskningsutförare?

Forskningsutförare inom det offentligrättsliga området

En stor del av den forskning i Sverige som bedrivs av offentligrättsliga forskningsutförare bedrivs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga or- gan. Enligt 2 kap. 18 § andra stycket RF är forskningens frihet skyddad enligt bestämmelser som meddelas i lag.

För universitet och högskolor med staten som huvudman framgår det av högskolelagen (1992:1434) att de ska bedriva forskning. Där anges det att staten som huvudman ska anordna högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet, och forskning och konstnärlig forskning samt utvecklingsarbete (1 kap. 2 §). Av högskolelagen framgår också forskningens frihet. Som allmänna prin- ciper för forskning som bedrivs av dessa utförare gäller att forsknings- problem får fritt väljas, forskningsmetoder får fritt utvecklas och forsk- ningsresultat får fritt publiceras (1 kap. 6 §). I högskolornas uppgift ska det ingå att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Flera andra statliga myndigheter har forskningsuppgifter inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forsk- ning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Forskningsutförare inom det privaträttsliga området

Bland privaträttsliga aktörer som utför forskning ska först enskilda utbild- ningsanordnare nämnas. Enskilda utbildningsanordnare är lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller

föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda exa- Prop. 2017/18:298 mina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, och

bedriver sin verksamhet på samma sätt som högskolor med staten som hu- vudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa är alla privaträttsliga forskningsutförare. För de enskilda utbildningsanordnarna anges det emellertid inte i lagen om tillstånd att utfärda vissa examina att de har en uppgift att bedriva forsk- ning.

Forskning bedrivs även i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningsutförare som bedriver forskning med omfattande användning av personuppgifter.

6I dataskyddsförordningen används begreppet forskningsändamål

När villkoren för personuppgiftsbehandling inom forskning regleras sär- skilt i dataskyddsförordningen används i stort sett genomgående termen vetenskapliga eller historiska forskningsändamål. I vissa fall talas det en- bart om forskningsändamål. Till ledning för tolkningen av detta begrepp anges det att begreppet vetenskapliga forskningsändamål bör i förord- ningen ges en vid tolkning och omfatta t.ex. teknisk utveckling och de- monstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt intresse inom folkhälso- området bör omfattas av begreppet (skäl 159). Historiska forskningsända- mål omfattar historiska och genealogiska ändamål (skäl 160). Termen vetenskapliga och historiska forskningsändamål är alltså ett unionsrättsligt begrepp.

7De rättsliga grunderna för behandling av personuppgifter för forskningsändamål

Som framgått av avsnitt 4.6 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara göras om det finns en tillämplig rättslig grund. De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst att

1.den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a),

2.behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (uppgift av allmänt intresse, artikel 6.1 e), och

Prop. 2017/18:298 3. behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1 f).

I något fall kan också den rättsliga grunden att behandlingen är nödvän- dig för att fullgöra en rättslig förpliktelse som åvilar den personuppgifts- ansvarige (rättslig förpliktelse, artikel 6.1 c) vara aktuell.

Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de rättsliga grunderna i artikeln är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån över- lappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling.

Som framgått av avsnitt 4.6 är skillnaderna mot vad som gällde enligt dataskyddsdirektivet och PUL bl.a. att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är mer begränsat enligt dataskyddsförordningen, att det enligt dataskyddsförordningen inte är tillåtet för myndigheter att behandla per- sonuppgifter med stöd av den rättsliga grunden intresseavvägning, och att bl.a. den rättsliga grunden uppgift av allmänt intresse och myndighetsut- övning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och pre- cis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse och intresseavvägning (avsnitt 7.1). Därefter behandlas vilka förutsättningar offentligrättsliga respektive privaträttsliga forskningsutförare har att stödja sin behandling av personuppgifter på dessa grunder (avsnitt 7.2). I avsnitt 10.4 behandlas forskning i form av klinisk läkemedelsprövning och användandet av den rättsliga grunden rättslig förpliktelse i samband med sådan forskning.

	7.1	Tre rättsliga grunder är främst aktuella
	7.1.1	Samtycke
	Om en behandling grundar sig på samtycke ska den personuppgiftsans-
	varige kunna visa att den registrerade har samtyckt till att dennes person-
	uppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a
	och 7.1).
	Med samtycke avses varje slag av frivillig, specifik, informerad och
	otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett
	uttalande eller genom en entydig bekräftande handling, godtar behandling
	av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke
	kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förkla-
	ring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida,
	genom val av inställningsalternativ för tjänster på informationssamhällets
30	område eller genom någon annan förklaring eller något annat beteende

som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av person- uppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

För forskningens del är också vad som anges i skäl 33 i dataskydds- förordningen av betydelse. Där konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträck- ning det avsedda syftet medger detta.

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för data- skydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU- kommissionen och den europeiske datatillsynsmannen, har yttrat att sam- tycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om sam- tycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera be- handlingen av personuppgifter att vara fullgörandet av en rättslig förplik- telse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (Yttrande 15/2011 om definitionen av begreppet samtycke Artikel 29- gruppen s. 13–14 och 16–17). Artikel 29-gruppen har också antagit riktlinjer om samtycke enligt dataskyddsförordningen, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regu- lation 2016/679, wp259rev.01, antagna den 10 april 2018). Europeiska dataskyddsstyrelsen, som har i uppgift att se till att dataskyddsförord- ningen tillämpas enhetligt, har den 25 maj 2018 beslutat att stödja dessa riktlinjer. Av riktlinjerna framgår att existerande yttranden fortfarande har relevans då de grundläggande förutsättningarna för personuppgifts- behandling enligt dataskyddsdirektivet är desamma som enligt dataskyddsförordningen. Generellt framhåller arbetsgruppen i riktlinjerna att ett samtycke är giltigt endast om den registrerade har en reell valmöjlighet och det inte finns någon risk för att den registrerade blir bedragen, utsätts för hot eller tvång eller andra negativa konsekvenser om han eller hon inte samtycker.

Prop. 2017/18:298

Prop. 2017/18:298 Möjligheten att använda samtycke som rättslig grund är därmed begrän- sad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag (prop. 2017/18:105) gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (a. prop., s. 57).

7.1.2Uppgift av allmänt intresse

Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för be- handlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en med- lemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportio- nell mot det legitima mål som eftersträvas.

	Vilka uppgifter är av allmänt intresse?
	Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har de-
	finierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och
	innebörden har heller inte ännu utvecklats av EU-domstolen.
	Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något
	som är av intresse för eller berör många människor på ett bredare plan, i
	motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till data-
	skyddsförordningen följer att allmänintresset inbegriper hälso- och sjuk-
	vårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjuk-
	vårdstjänster. Det kan konstateras att begreppet också finns i motsvarande
	bestämmelser i det upphävda dataskyddsdirektivet (artikel 7 e) och i den
	upphävda PUL (10 § d) och att ledning kan hämtas från hur begreppet
	tolkats enligt dessa bestämmelser.
	Som anförts i propositionen Ny dataskyddslag gör regeringen bedöm-
	ningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga
	myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av
	allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På
	motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och
	landsting att utföra av allmänt intresse. Detta måste enligt regeringens me-
	ning gälla även i dataskyddsförordningens mening, eftersom det är upp till
	varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.
	Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant
	som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande
	eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i data-
	skyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver
	den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att
	den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som
	en följd av det kommunala självstyret har kommuner och landsting en vid-
	sträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid
32	enligt kommunallagen (2017:725) begränsad till angelägenheter av just

allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla all- männyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsan- läggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).

Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.

Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är där- med den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndig- hetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den person- uppgiftsansvarige är en offentlig eller en privat aktör.

När det gäller frågan om forskning ska anses vara en uppgift av allmänt intresse kan konstateras att vetenskaplig forskning i dataskyddsdirektivets skäl 34 framhålls som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter.

I förarbetena till PUL exemplifieras arbetsuppgifter som kan vara av all- mänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbets- uppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39

s.364).

I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift

av allmänt intresse måste ges en vid betydelse (s. 56). Detta för att myn- digheternas verksamhet ska kunna fungera även i fortsättningen mot bak- grund av dataskyddsförordningens begränsningar för myndigheter att til- lämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet (se närmare om detta i avsnitt 7.2.1 och 7.2.3).

Sammanfattningsvis bör presumtionen vara att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig föränd- ring i förhållande till vad som gäller enligt PUL är emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i en- lighet med gällande rätt.

Prop. 2017/18:298

Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?

I propositionen Ny dataskyddslag framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlems- stats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personupp- giftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse, dvs. i nu aktuellt fall uppgiften att forska. Något motsvarande krav på att grunden för behandlingen ska vara fastställd i unionsrätt eller nationell rätt när det är fråga om bl.a. uppgift av allmänt intresse finns inte i dataskyddsdirekti- vet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbets- uppgift av allmänt intresse, även om uppgiften inte är fastställd i författ- ning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd, t.ex. privata forskningsutförare. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag.

Att grunden för en behandling ska vara fastställd i nationell rätt är vis- serligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 49 f.). Legali- tetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra för- fattningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av person- uppgifter, måste ha stöd i någon av de källor som tillsammans bildar rätts- ordningen.

När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas kons- tateras i nämnda proposition att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakon- ventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åta- ganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bak- grund bör utgångspunkten vara att dataskyddsförordningens krav i art. 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt.

Myndigheternas uppdrag och åligganden framgår av författningar, rege- ringsbeslut och kommunala reglementen, antagna i enlighet med RF:s bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller

uppfylla dessa åligganden har därmed i sig en legal grund, som har offent- liggjorts genom tydliga, precisa och förutsebara regler. Statliga myndig- heter får sina uppdrag och befogenheter av riksdag och regering – i myn- dighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsva- rande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åta- ganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige ut- färdar för den ansvariga nämnden.

En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de grundläggande principer som gäller för personuppgiftsbehandling i artikel 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 8). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personupp- giftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetyd- lig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommu- nala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den tradi- tionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommuni- kation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av per- sonuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgif- ten inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock upp- giften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade och

Prop. 2017/18:298

Prop. 2017/18:298 uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstla- gen (2001:453). Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av sådan utbildning som regleras i den lagen.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryck- ligt uppdrag eller till följd av ett åliggande måste anses vara av denna ka- raktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myn- dighet, utför en förvaltningsuppgift som åligger kommunen eller myndig- heten, bör alltså även den privata utföraren, entreprenören eller det kom- munala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträtts- ligt organ som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller genom att in- hämta den registrerades samtycke. Detsamma gäller om verksamheten vis- serligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.

Reglering i dataskyddslagen

Av skäl 41 i dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett kons- titutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäl- ler uppgift av allmänt intresse har preciserats 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av arti- kel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författ- ning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 i dataskyddsförordningen framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unio- nens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nöd- vändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är

allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grun- den är mer preciserad och därmed gör intrånget förutsebart (propositionen Ny dataskyddslag, s. 51).

På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara til- lämplig och kunna åberopas. Det ställs däremot inte något krav enligt data- skyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.

Nödvändighetsrekvisitet

Som nämnts ovan får personuppgifter behandlas om behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3).

Nödvändighetsrekvisitet har även gällt enligt artiklarna 6 och 7 i data- skyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok be- tyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i dataskyddsdirektivet har t.ex. inte an- setts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets fö- rande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, ef- tersom en manuell informationshantering inte utgör ett realistiskt alterna- tiv för vare sig myndigheter eller företag. Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personupp- giftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nöd- vändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behand- ling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (propositionen Ny dataskyddslag s. 46 f. och 60).

Prop. 2017/18:298

Prop. 2017/18:298 För forskningens del innebär nödvändighetsrekvisitet i artikel 6.1 i data- skyddsförordningen att personuppgiftsbehandlingen måste vara nödvän- dig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedöm- ning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna om- fatta bedömningen av huruvida användandet av personuppgifter kan med- föra högre kvalitet och tillförlitlighet i forskningsresultatet.

7.1.3 Intresseavvägning

	Behandling av personuppgifter är enligt dataskyddsförordningen även lag-
	lig om den är nödvändig för ändamål som rör den personuppgiftsansvari-
	ges eller en tredje parts berättigade intressen, om inte den registrerades
	intressen eller grundläggande rättigheter och friheter väger tyngre och krä-
	ver skydd av personuppgifter, särskilt när den registrerade är ett barn (ar-
	tikel 6.1 f första stycket). Motsvarande grund har enligt dataskyddsdirek-
	tivet och PUL även kunnat tillämpas av myndigheter. I artikel 6.1 andra
	stycket i dataskyddsförordningen klargörs dock att den rättsliga grunden
	intresseavvägning inte gäller för behandling som utförs av offentliga
	myndigheter när de fullgör sina uppgifter.
	Vid den rättsliga grunden intresseavvägning ska behandlingen av per-
	sonuppgifter vara nödvändig för ett ändamål som rör ett berättigat intresse.
	Nödvändighetsrekvisitet har behandlats i avsnitt 7.1.2.
	Av skäl 47 till dataskyddsförordningen framgår att vid bedömningen av
	om den rättsliga grunden intresseavvägning kan tillämpas ska den registre-
	rades rimliga förväntningar till följd av förhållandet till den personupp-
	giftsansvarige beaktas. Som exempel på när en personuppgiftsansvarig
	kan ha ett berättigat intresse nämns att det föreligger ett relevant och lämp-
	ligt förhållande mellan den registrerade och den personuppgiftsansvarige,
	t.ex. att den registrerade är kund hos eller arbetar för den personuppgifts-
	ansvarige. Ett berättigat intresse kräver under alla omständigheter en nog-
	grann bedömning som inbegriper huruvida den registrerade vid tidpunkten
	för inhämtandet av personuppgifter och i samband med detta rimligen kan
	förvänta sig att en behandling kan komma att ske. Den registrerades
	intressen och grundläggande rättigheter skulle i synnerhet kunna väga
	tyngre om personuppgifter behandlas under omständigheter där den regi-
	strerade inte rimligen kan förvänta sig någon ytterligare behandling. Sådan
	behandling av personuppgifter som är absolut nödvändig för att förhindra
	bedrägerier utgör också ett berättigat intresse för berörd personuppgifts-
	ansvarig. Behandling av personuppgifter för direkt marknadsföring kan
	betraktas som ett berättigat intresse (skäl 47 till dataskyddsförordningen).
	Som nämnts tidigare framhålls vetenskaplig forskning i dataskyddsdi-
	rektivets skäl 34 som ett exempel på viktigt allmänt intresse som kan mo-
	tivera undantag från förbudet att behandla känsliga personuppgifter. I
	förarbetena till personuppgiftslagen exemplifieras vidare arbetsuppgifter
	som kan vara av allmänt intresse med till exempel arkivering, forskning
	och framställning av statistik. Det konstateras vidare att arbetsuppgiften
	kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte
	är något hinder för bedömningen av om en arbetsuppgift är av allmänt
38	intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364).
38

Enligt regeringens uppfattning bör en uppgift, som bedöms vara av all- Prop. 2017/18:298 mänt intresse men som inte har fastställts i unionsrätten eller nationell rätt,

i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f. Artikel 29-gruppen har när det gäller dataskyddsdirektivet uttalat att

intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan va- riera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Andra intressen kan vara mindre akuta för samhället som helhet eller åtminstone kan samhälls- effekterna av dessa vara blandade. Begreppet berättigat intresse kan om- fatta ett brett spektrum av intressen. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i data- skyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts ovan följer det dock av artikel 6.1 andra stycket dataskyddsförordningen att myndigheter, bl.a. universitet och hög- skolor med statlig huvudman, inte längre får åberopa denna grund för per- sonuppgiftsbehandling när de fullgör sina uppgifter.

7.2Möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder

7.2.1	Samtycke

Regeringens bedömning: Dataskyddsförordningen bör normalt inte
innebära något hinder för forskningsutförare att använda samtycke som
rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas
om det föreligger en sådan ojämlik situation att det inte kan sägas att
inhämtade samtycken lämnas frivilligt, särskilt när den personuppgifts-
ansvarige är en offentligrättslig forskningsutförare.

Utredningens bedömning överensstämmer i sak med regeringens
bedömning. Utredningen gjorde fler bedömningar med inriktning på olika
aspekter av ett giltigt samtycke.
Remissinstanserna: Ingen remissinstans yttrar sig i frågan om utred-
ningens bedömning av olika forskningsutförares möjlighet att använda den
rättsliga grunden samtycke. De flesta remissinstanser som yttrar sig delar
i huvudsak utredningens bedömning av innebörden av samtycke.
Några remissinstanser, bl.a. Mittuniversitetet och Skåne läns landsting,
problematiserar kring samtyckens giltighet vid ett ojämlikt förhållande
mellan den personuppgiftsansvarige och den registrerade.
Umeå universitet anser att en diskussion borde ha förts kring hur äldre
samtycken som inhämtats innan dataskyddsdirektivet infördes ska hante-
ras.
Flera remissinstanser, Verket för innovationssystem (Vinnova), Institutet
för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU),		39

Prop. 2017/18:298

Läkemedelsindustriföreningen och Cancerfonden, tar upp frågan om tolkningen av skäl 33 i dataskyddsförordningen och vikten av att kunna använda s.k. breda samtycken i forskningen.

Några remissinstanser kommenterar också utredningens bedömning när det gäller ytterligare behandling av personuppgifter som inhämtats med stöd av samtycke. Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Datainspektionen konstaterar att samtycke kan an- vändas som rättslig grund så länge det inte är fråga om ett ojämlikt förhål- lande. Inspektionen anser att man bör iaktta försiktighet när man gör en bedömning av om samtycke kan utgöra en rättslig grund och framhåller att det inte enbart är i de situationer där det råder ett direkt maktförhållande mellan den personuppgiftsansvarige och den registrerade som möjligheten att använda samtycke är begränsad. Lunds universitet framhåller att sam- tycke kan vara problematiskt när den registrerade upplever sig beroende av den personuppgiftsansvarige. Universitet anser att det krävs en mer in- gående analys av när ett betydande ojämlikhetsförhållande föreligger.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Alla personuppgiftsansvariga som vill använda den rättsliga grunden sam- tycke för sin personuppgiftsbehandling har att beakta förutsättningarna som angivits i avsnitt 7.1.1 för att ett giltigt samtycke ska föreligga.

Kravet på frivillighet som gäller för att ett samtycke ska vara giltigt är formulerat på samma sätt i dataskyddsförordningen som i PUL. Det fak- tum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen. Där anges det att för att säkerställa att samtycket lämnas frivilligt bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp- giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata sam- tycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbe- gripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

I ett yttrande om samtycke har Artikel 29-gruppen uttalat att inom den offentliga sektorn är behandlingen av uppgifter normalt knuten till fullgö- randet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av all- mänt intresse och att då använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna är inte en lämplig rättslig grund (Yttrande 15/2011 om definitionen av begreppet samtycke). Artikel 29- gruppen pekar på att detta är särskilt tydligt när det gäller hur personupp- gifter behandlas av offentliga myndigheter som har officiella maktbefo- genheter, till exempel rättsvårdande myndigheter som agerar inom ramen

för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polis- myndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag. Som nämnts i avsnitt 7.1.1 har Artikel 29-gruppen antagit Guidelines on Consent under Regulation 2016/679, som kompletterar tidigare yttranden. Artikel 29-gruppen uttalar i vägledningen att det generellt är osannolikt att offentliga myndigheter kan förlita sig på den rättsliga grunden samtycke eftersom det ofta föreligger ett sådant ojämlikt maktförhållande mellan myndigheten som är personuppgiftsansvarig och den registrerade. I många fall har inte den registrerade något alternativ förutom att acceptera myndighetens villkor för behandling av personuppgifter. Arbetsgruppen anser därför att andra rättsliga grunder i princip är lämpligare att använda än samtycke för offentliga myndigheter. Arbetsgruppen anger emellertid i vägledningen att det inte är helt uteslutet att offentliga myndigheter kan använda samtycke enligt dataskyddsförordningen, utan att det kan vara lämpligt under vissa omständigheter (Guidelines on Consent under Regulation 2016/679, s. 6).

När det gäller offentliga forskningsutförare kan det enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forsknings- projekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forskningsutföraren kan använda sig av denna rättsliga grund.

Kommuner och landsting har myndighetsuppgifter gentemot sina invå- nare. De driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjuk- vårdens regionala och nationella kvalitetsregister, som handhas av lands- tingen, en särskilt stor och ökande betydelse. Behandling av personuppgif- ter i sådana register regleras i 7 kap. patientdatalagen (2008:355). Enligt 7 kap. 2 § får personuppgifter inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde mot- sätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgif- terna utplånas ur registret så snart som möjligt. Det finns vidare en särskild reglering i 7 kap. 2 a § för en enskild som inte endast tillfälligt saknar förmåga att ta ställning i denna fråga.

Sammanfattningsvis anser regeringen att formuleringen i skäl 43 inne- bär en begränsning av offentliga forskningsutförares möjlighet att använda sig av samtycke som rättslig grund, men det föreligger inte alltid ett hinder

Prop. 2017/18:298

för sådana forskningsutförare att använda samtycke som rättslig grund. När de tar ställning till frågan med stöd av vilken rättslig grund person- uppgiftsbehandling i ett forskningsprojekt ska ske behöver de särskilt be- akta om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund utan en annan rättslig grund bör väl- jas. Det ankommer på den personuppgiftsansvarige att för varje forsk- ningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Privaträttsliga forskningsutförare

Även privaträttsliga forskningsutförare måste beakta att förutsättningarna för ett giltigt samtycke är uppfyllda när de tar ställning till vilken rättslig grund personuppgiftsbehandling i ett projekt ska grundas på och om det är lämpligt att använda sig av samtycke.

Regeringens bedömning är att utgångspunkten när det gäller privaträtts- liga forskningsutförare är att det normalt inte råder betydande ojämlikhet mellan dem som personuppgiftsansvariga och registrerade när personupp- gifter behandlas för forskningsändamål. För enskilda utbildningsanord- nare bör väsentligen samma resonemang om fall där en betydande ojäm- likhet skulle kunna föreligga kunna föras som för universiteten och hög- skolorna med offentlig huvudman. Företag, stiftelser och andra medlems- organisationer som utför forskning bör kunna använda samtycke för alla som inte har någon anknytning till organisationen, genom att vara exem- pelvis anställda, intressenter och/eller medlemmar. En sådan särskild situation enligt skäl 43 då samtycke inte kan anses ha lämnats frivilligt kan vara när den personuppgiftsansvarige vill använda ett anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis bör formuleringen i skäl 43 normalt inte innebära hinder för privaträttsliga forskningsutförare att använda samtycke för per- sonuppgiftsbehandling för forskningsändamål. Även privaträttsliga forsk- ningsutförare behöver emellertid beakta om det kan föreligga en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbehandlingen i ett forskningsprojekt. Det ankom- mer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Äldre samtycken

När det gäller redan inhämtade samtycken och frågan om giltigheten av sådana samtycken framgår det av skäl 171 i dataskyddsförordningen att om en personuppgiftsbehandling grundar sig på samtycke enligt data- skyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen ifråga efter det att förordningen börjat tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Det behöver alltså ske en kontroll av att lämnade samtycken skett på ett sätt som krävs för att ett giltigt samtycke ska föreligga enligt dataskydds- förordningen för att avgöra om behandlingen kan fortsätta med stöd av

samtycket eller om ett nytt samtycke behöver inhämtas. När det gäller Prop. 2017/18:298 ännu äldre samtycken framgår det av övergångsbestämmelserna till PUL

att ett samtycke som hade lämnats för en behandling innan PUL trädde i kraft skulle gälla även efter ikraftträdandet om samtycket uppfyllde kraven

iPUL (p. 6 i ikraftträdande- och övergångsbestämmelserna). PUL är baserad på dataskyddsdirektivet. Det får enligt regeringens uppfattning förutsättas att en bedömning gjorts av om ett sådant samtycke är förenligt med PUL och därmed dataskyddsdirektivet och att ett nytt samtycke inhämtats om samtycket inte bedömts uppfylla kraven i PUL. Enligt rege- ringens uppfattning bör dessa samtycken därför kunna hanteras på samma sätt som samtycken enligt dataskyddsdirektivet, dvs. att en kontroll görs av om det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen.

7.2.2Uppgift av allmänt intresse

Regeringens bedömning: För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nöd- vändig för att utföra forskningen.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i en- lighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behand- ling av personuppgifter som är nödvändig för att utföra forskningen.

En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de till- stånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt.

Det bör inte införas en bestämmelse i lag där det anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen berör inte frågan om tillstånd från myndigheter för att bedriva forskning. Utredningen har föreslagit att det ska införas en bestäm- melse i lag som anger att personuppgifter med stöd av artikel 6.1 e i data- skyddsförordningen ska få behandlas för forskningsändamål om behand- lingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse samt att forskning av allmänt intresse får utföras av statliga myn- digheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Remissinstanserna: I stort sett alla remissinstanser som yttrar sig till- styrker, ställer sig positiva till eller har ingen invändning mot att en be-

Prop. 2017/18:298 stämmelse som reglerar forskning som uppgift av allmänt intresse för så- väl offentligrättsliga som privaträttsliga forskningsutförare införs i lag. Detta gäller bl.a. Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering (IFAU), Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Sveriges Kommuner och Landsting (SKL) och flertalet landsting.

Uppsala universitet tillstyrker förslaget och konstaterar att själva upp- giften att bedriva forskning måste vara fastställd enligt gällande rätt och att så redan är fallet för universitet och högskolor. För andra offentliga forskningsutförare, enskilda näringsidkare såsom läkemedelsföretag och andra juridiska personer saknas en reglering som står i överensstämmelse med dataskyddsförordningen. Genom de föreslagna bestämmelserna ges nu en sådan precisering vilket gör det möjligt också för dessa forsknings- utförare att åberopa allmänt intresse som rättslig grund. Dessa forsknings- utförare bedriver redan idag ett viktigt vetenskapligt arbete eller utveck- lingsarbete på vetenskaplig grund och bör när det gäller behandling av per- sonuppgifter för forskningsändamål behandlas lika som statliga universitet och högskolor.

Kalmar läns landsting delar utredningens uppfattning att kommunalla- gens bestämmelser om att kommuner och landsting själva får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar, inte är tillräckligt tydlig, preciserad och förutsägbar för att uppfylla dataskyddsförordningens krav vid fastställande av rättslig grund. Landstinget anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som lands- ting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Vetenskapsrådet anser att forskning oavsett om den utförs av en offent- lig eller privat forskningsutförare är en uppgift av allmänt intresse. Mot bakgrund av myndighetens uppgift att förbättra förutsättningarna för re- gisterforskning i Sverige anser myndigheten att det är av avgörande bety- delse att även privata forskningsutförare kan behandla personuppgifter utan samtycke. Vetenskapsrådet betonar därför vikten av att det i nationell lagstiftning slås fast att även privata forskningsutförare kan använda sig av den rättsliga grunden allmänt intresse.

Verket för innovationssystem (Vinnova) anser att det i lag bör möjliggö- ras att offentligrättsliga och privaträttsliga forskningsutförare likställs när det gäller möjligheten att åberopa artikel 6.1 e som rättslig grund för per- sonuppgiftsbehandling för forskningsändamål. Skälen är att det i dagens forskningssamhälle saknas en skarp gräns mellan offentliga och privata forskningsutförare, att samverkan mellan olika forskningsutförare är en viktig del av nuvarande forskningslandskap och att privaträttsliga forsk- ningsutförare utför en betydande del forskning som kan anses vara uppgift av allmänt intresse.

Mittuniversitetet vill lyfta fram det absolut nödvändiga i att genomföra den del av förslaget som innebär att även privata forskningsutförare ges möjlighet till att använda den rättsliga grunden ”uppgift av allmänt intresse” vid forskning som innebär personuppgiftshantering. Om försla- get inte genomförs kommer för allmänheten betydelsefull forskning som sker inom den privata sektorn, exempelvis inom läkemedelsindustrin, an- nars försvåras eller i värsta fall omöjliggöras. Detta oavsett om denna

forskning sker enbart inom den privaträttsliga sfären eller om den sker i samarbete med någon högskola eller något universitet.

Enligt Pensionsmyndigheten är det uppenbart att den forskning som bedrivs enligt bestämmelserna i högskolelagen (1992:1434) är exempel på en sådan uppgift av allmänt intresse som avses i dataskyddsförordningen. Enligt myndigheten skulle det dock kunna anses vara mer tveksamt om privat oreglerad forskningsverksamhet kan anses underkastad en sådan reglering. Enligt Pensionsmyndighetens uppfattning är det därför av stor vikt att det i det fortsatta beredningsarbetet säkerställs att även sådan forsk- ningsverksamhet är reglerad på ett sådant sätt att den anses fastställd i en- lighet med dataskyddsförordningens krav.

Malmö högskola påpekar att utredningens förslag tillåter en mycket vid grupp att utföra forskning av allmänt intresse och forskningsutföraren ska själv avgöra vad som är allmänt intresse, vilket lämnar möjlighet till fel och direkt missbruk. Att tillåta allt från enskilda näringsidkare och uppåt att bedriva forskning och samtidigt överlåta avgörandet av vad som är av allmänt intresse kan vara en risk.

Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse.

Datainspektionen avstyrker utredningens förslag avseende 6 § i den fö- reslagna forskningsdatalagen. Inspektionen anför att 6 § i den föreslagna forskningsdatalagen synes reglera vem som får utföra forskning av allmänt intresse och utgör enligt vad utredningen anfört, den i nationell rätt fast- ställda grunden för att utföra en uppgift av allmänt intresse. Datainspekt- ionen anser inte att den föreslagna bestämmelsen är en i nationell rätt fast- ställd uppgift, utan bestämmelsen återger i första meningen en del av data- skyddsförordningens krav och i sista meningen anges olika subjekt som får bedriva forskning av allmänt intresse. Datainspektionen konstaterar att friheten att forska inte är en fråga som rör dataskydd och att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att denna reglering tillför något materiellt. Mot denna bakgrund ifrågasätter Datainspektionen om 6 § forskningsdatalagen egentligen inte endast kan anses utgöra enbart ett återgivande av de regler som gäller di- rekt enligt artikel 6.1 e i förordningen. Eftersom bestämmelsen inte utgör ett förtydligande i enlighet med skäl 8 i förordningen anser Datainspek- tionen att bestämmelsen saknar stöd i dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn- punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Brottsförebyggande rådet, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndig- heten, Tandvårds- och läkemedelsförmånsverket, Inspektionen för social- försäkringen, Arbetsgivarverket, Jönköping University, Örebro universi- tet, Kungl. Biblioteket och Riksarkivet. Bland de som ställer sig positiva till förslagen och bedömningarna finns Högskolan i Borås, Karlstads uni- versitet, Karolinska institutet och Malmö universitet. Göteborgs universi-

Prop. 2017/18:298

Prop. 2017/18:298 tet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsre- miss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som

	helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intres-
	sen av att kunna använda personuppgifter och att den typ av forskning som
	Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl
	forskningsutföraren följer de krav på hantering och skyddsåtgärder som
	det nya regelverket föreskriver.
	När det gäller bedömningarna av olika forskningsutförares möjligheter
	att använda sig av olika rättsliga grunder framhåller ett antal remissinstan-
	ser, Mittuniversitetet, Umeå universitet, Vetenskapsrådet, Forskningsrå-
	det för miljö, areella näringar och samhällsbyggande (Formas) och Insti-
	tutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU),
	vikten av att privaträttsliga forskningsutförare kan använda sig av den
	rättsliga grunden uppgift av allmänt intresse och att det är problematiskt
	att offentligrättsliga och privaträttsliga forskningsutförare får olika förut-
	sättningar, vilket de bl.a. anser försvårar samarbete mellan olika forsk-
	ningsutförare och ger privaträttsliga forskningsutförare sämre konkurrens-
	förutsättningar. Stockholms universitet anser att det är olyckligt att privata
	forskningsutförares behandling av personuppgifter ska fördelas på skilda
	rättsliga grunder beroende på om känsliga personuppgifter behandlas eller
	inte. Kommerskollegium ställer sig frågande till bedömningen att inte in-
	föra någon rättslig grund i form av uppgift av allmänt intresse för privata
	forskningsutförare som bedriver forskningsprojekt som inte involverar
	känsliga personuppgifter eller uppgifter om lagöverträdelser. Verket för
	innovationssystem (Vinnova) framhåller att det är av yttersta vikt att ingen
	åtskillnad görs i lagstiftning mellan offentligrättsliga och privata forsk-
	ningshuvudmän.
	Flera remissinstanser, Datainspektionen, Lunds universitet, Stockholms
	universitet, Regionala etikprövningsnämnden i Lund, Regionala etikpröv-
	ningsnämnden i Uppsala och Regionala etikprövningsnämnden i Umeå
	ifrågasätter bedömningen att ett beslut enligt etikprövningslagen och even-
	tuellt andra tillämpliga författningar ger en sådan grund för behandlingen
	som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i data-
	skyddsförordningen. Läkemedelsindustriföreningen framför att detta är
	potentiellt en väl fungerande ordning för forskning som förutsätter beslut
	av en etikprövningsnämnd men påpekar att det inte fungerar för all forsk-
	ning. Föreningen anser att för sådan forskning som består i klinisk läke-
	medelsprövning behövs en annan lösning vad gäller rättslig grund och
	anger att ett sätt att lösa frågan vore att tydliggöra från lagstiftarens sida
	att klinisk läkemedelsforskning kan åberopa uppgift av allmänt intresse
	som rättslig grund i den mån denna forskning kräver myndighetstillstånd
	enligt annan lagstiftning, som tillstånd enligt läkemedelslagen eller det
	framtida, särskilda regelverket som ska gälla för etisk granskning av kli-
	niska läkemedelsprövningar.
	Flera remissinstanser tar också upp bedömningen att kommuner och
	landsting kan tillämpa den rättsliga grunden uppgift av allmänt intresse i
	de fall forskningsuppgiften är fastställd genom beslut om verksamheten i
	kommunen som fattats i enlighet med bestämmelserna i kommunallagen
	och bedömningen att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdsla-
	gen på hälso- och sjukvårdsområdet och folkhälsoområdet uppfyller data-
46	skyddsförordningens krav på att en reglering ska vara tydlig, precis och

förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i	Prop. 2017/18:298
nationell rätt. Sveriges Kommuner och Landsting (SKL) delar bedöm-
ningen när det gäller bestämmelsen i hälso- och sjukvårdslagen och forsk-
ning inom det området, men anser att kommuner och landsting bör kunna
samverka med varandra och med berörda universitet och högskolor på
motsvarande sätt som inom hälso- och sjukvården på andra områden och
att det därför finns skäl för att införa särskilt författningsstöd om att
forskning är en uppgift för kommuner och landsting även på andra
områden än inom hälso- och sjukvården. Även Stockholms läns landsting
anför att i vissa fall är forskningsuppgiften inte fastställd i nationell rätt på
sådant sätt att den utan vidare kan hänföras till den rättsliga grunden
uppgift av allmänt intresse. Det handlar om fakultativa forsknings-
uppgifter, där landstingets engagemang i forskningen stöds på den all-
männa kommunal kompetensen snarare än på lagstöd i positiv bemärkelse.
Med beaktande av landstingets roll vid medicinsk och annan forskning
finns det enligt landstinget ett kvarvarande behov av att mer utförligt
utreda och förklara förslagens konsekvenser. En särskild fråga är enligt
landstinget behovet och räckvidden av sådana särskilda beslut av
landstingsfullmäktige som kan bli nödvändiga för att den rättsliga grunden
uppgift av allmänt intresse ska kunna tillämpas. Kalmar läns landsting och
Västra Götalands läns landsting anser att det finns en risk för osäkerhet
kring vilken typ av beslut som krävs och för att bestämmelserna i data-
skyddsförordningen inte uppfylls med avseende på kravet om tydlighet,
precision och förutsägbarhet för att den rättsliga grunden ska anses vara
fastställd. Kalmar läns landsting anser därför att det i nationell rätt bör
förtydligas att offentliga forskningsutförare som landsting/regioner ska
kunna tillämpa den rättsliga grunden uppgift av allmänt intresse och Västra
Götalands läns landsting anser att regeringen bör föreslå en ny forsk-
ningsdatalag där det klart framgår att forskning av allmänt intresse får
utföras. Datainspektionen anser mot bakgrund av att bestämmelsen i 18
kap. 2 § hälso- och sjukvårdslagen aktualiserar en stor mängd känsliga
samt integritetskänsliga personuppgifter är den ett exempel på bestäm-
melse där det kan ifrågasättas om den uppfyller kraven på precision.
Chalmers tekniska högskola anser inte att det tillfredsställande kommer
till uttryck att högskolans forskningsuppgift är fastställd i enlighet med
rättsordningen och att förslaget således inte med önskvärd tydlighet säker-
ställer högskolans förutsättningar att behandla personuppgifter inom
forskningsverksamheten. Högskolan framhåller också att det är väsentligt
att högskolans forskning ges förutsättningar att utföras på jämställda vill-
kor med statliga högskolor.
Skälen för regeringens bedömning
Offentligrättsliga forskningsutförare
Som framgått av avsnitt 7.1.2 är det regeringens bedömning att presum-
tionen är att uppgiften att forska är en uppgift av allmänt intresse även i
dataskyddsförordningens mening. För att den rättsliga grunden i artikel 6.1
e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs
emellertid enligt artikel 6.3 att uppgiften är fastställd i enlighet med
unionsrätten eller den nationella rätten. Vad detta innebär har behandlats i
avsnitt 7.1.2.	47

Prop. 2017/18:298	I 2 kap. 18 § andra stycket RF fastslås att forskningens frihet är skyddad
	enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434)
	reglerar verksamhet vid universitet och högskolor under statligt huvud-
	mannaskap och innehåller bestämmelser som tar avstamp i grundlags-
	regleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvud-
	uppgift. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens tro-
	värdighet och god forskningssed värnas i verksamheten och 1 kap. 6 §
	reglerar just forskningens frihet genom att det anges allmänna principer
	för den delen av högskolornas verksamhet. För forskningen ska gälla att
	forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas
	och forskningsresultat får fritt publiceras. Regeringens bedömning är där-
	för att för universitet och högskolor med staten som huvudman är forsk-
	ningsuppgiften fastställd i svensk lag och de kan därför behandla person-
	uppgifter som är nödvändiga för att utföra forskningen med stöd av artikel
	6.1 e.
	Utöver universitet och högskolor behandlar många statliga myndigheter
	personuppgifter för forskningsändamål. Dessa myndigheters möjligheter
	att behandla personuppgifter för forskningsändamål med stöd av artikel
	6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts
	respektive myndighet i gällande rätt. Flera myndigheter har en förord-
	ningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen
	(2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § för-
	ordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Upp-
	giften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller ge-
	nom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd
	på detta sätt för en myndighet har myndigheten möjlighet att grunda be-
	handling av personuppgifter som är nödvändig för att utföra forskningen
	på att det är en uppgift av allmänt intresse enligt artikel 6.1 e.
	Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att
	samma resonemang kan föras för dem som för myndigheter i allmänhet.
	Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Total-
	försvarets forskningsinstitut. Det finns dock även forskningsinstitut som
	drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE
	(Research Institutes of Sweden) är ett exempel på nätverk av teknikinrik-
	tade forskningsinstitut som samverkar med akademi, näringsliv och sam-
	hälle. För sådana organ är det bedömningarna beträffande privaträttsliga
	forskningsutförare som är relevanta (se nedan).
	Verksamheten vid kommuner och landsting är reglerad i RF, kommu-
	nallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård-
	och omsorg. Kommuner och landsting har även viss rätt att meddela egna
	lokala föreskrifter. När det gäller kommunernas verksamhet anges det i
	14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter
	av allmänt intresse på den kommunala självstyrelsens grund. Närmare
	bestämmelser om detta finns i lag. På samma grund sköter kommunerna
	även de övriga angelägenheter som bestäms i lag. Kommunallagen regle-
	rar såväl kommuner som landsting på en övergripande nivå. Där anges att
	kommuner och landsting får själva ha hand om angelägenheter av allmänt
	intresse som har anknytning till kommunens eller landstingets område
	eller deras medlemmar. Kommuner och landsting får inte ha hand om
	sådana angelägenheter som enbart staten, en annan kommun, ett annat
48	landsting eller någon annan ska ha hand om.

Forskning och innovation är en viktig del av många landstings och kom- muners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdsla- gen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Landsting och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § hälso- och sjukvårdslagen).

Enligt 2 kap. 2 § 1 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Formuleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. På hälso- och sjuk- vårdsområdet och folkhälsoområdet bedömer regeringen till skillnad från Datainspektionen att ovan nämnda bestämmelser i hälso- och sjukvårdsla- gen uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Forskning hör i övrigt till området där landsting och kommuner kan göra frivilliga åtaganden inom ramen för sin befogen- het. Att som bl.a. SKL föreslår i författning fastställa att forskning är en uppgift för kommuner och landsting inom andra områden skulle innebära att nya uppgifter läggs på kommunerna, vilket med hänsyn till den kom- munala självstyrelsen kräver särskilda överväganden som det saknas un- derlag för i detta lagstiftningsärende. För att kommuner och landsting i övrigt ska kunna använda sig av den rättsliga grunden uppgift av allmänt intresse när de bedriver forskning är det enligt regeringens uppfattning av vikt att de beaktar att forskningsuppgiften anges tydligt i de beslut om verksamheten som fattas av fullmäktige så att forskningsuppgiften därige- nom kan anses vara fastställd i nationell rätt. Det är varje personuppgifts- ansvarigs ansvar att se till att det finns en laglig grund för den behandling av personuppgifter som den personuppgiftsansvarige avser att göra och därmed kommunernas ansvar att se till att de kommunala beslut som kan behövas för att forskningsuppgiften ska anses vara fastställd och den rätts- liga grunden uppgift av allmänt intresse kunna användas får en tillräckligt tydlig och precis utformning.

Privaträttsliga forskningsutförare

Forskning bedrivs även av privata forskningsutförare. Forskningsuppgif- ten är emellertid inte fastställd i nationell rätt för dessa aktörer på motsva- rande sätt som för de flesta offentligrättsliga forskningsutförare.

Forskningsdatautredningen har i sitt delbetänkande föreslagit att det ska införas kompletterande nationella bestämmelser för behandling av person- uppgifter för forskningsändamål i en forskningsdatalag. Utredningen har bl.a. föreslagit att det i den lagen ska införas bestämmelser som bl.a. anger att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och pro- portionerlig för att utföra forskning av allmänt intresse och att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och

Prop. 2017/18:298

Prop. 2017/18:298 landsting, andra juridiska personer och enskilda näringsidkare. När det gäller den av utredningen föreslagna bestämmelsen om att offentliga och

	privata forskningsutförare får utföra forskning av allmänt intresse gör re-
	geringen följande bedömning.
	Som framgått innebär regleringen i dataskyddsförordningen en påtaglig
	skillnad i förhållande till dataskyddsdirektivet på så vis att enligt direktivet
	kan behandling av personuppgifter utföras på den rättliga grunden allmänt
	intresse, även om den uppgift som föranleder personuppgiftsbehandlingen,
	i nu aktuellt fall uppgiften att forska, inte är fastställd i nationell rätt eller
	unionsrätt. Det innebär att det hittills inte har spelat någon roll om forsk-
	ningsutföraren har varit en myndighet eller en enskild fysisk eller juridisk
	person. Utgångpunkten har ändå varit att uppgiften att forska är en uppgift
	av allmänt intresse. Som framgår av avsnitt 7.1.2 räcker det dock enligt
	dataskyddsförordningen inte att uppgiften är av allmänt intresse. Den
	måste också vara fastställd i nationell rätt eller unionsrätt. Som framgår av
	avsnitt 7.1.2 är myndigheters uppgifter fastställda i nationell eller
	unionsrätten eftersom legalitetsprincipen är en av de principer som känne-
	tecknar Sverige som rättsstat. Legalitetsprincipen är grundlagsfäst genom
	1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna.
	För enskilda är inte utgångpunkten att de behöver rättsligt stöd för sina
	handlingar utan för dem gäller att allt som inte är förbjudet eller på annat
	sätt reglerat är tillåtet. För privata forskningsutförare innebär det att de har
	rätt att forska fritt så länge staten inte har uppställt krav på tillstånd för viss
	forskning eller forskningen innefattar brottslig verksamhet etc. Vad data-
	skyddsförordningens krav på att en uppgift ska vara fastställd i nationell
	rätt eller i unionsrätten för att den ska anses vara en uppgift av allmänt
	intresse i den mening som avses i artikel 6.1.e innebär framgår av 2 kap. 2
	§ 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter be-
	handlas med stöd av artikel 6.1 e i dataskyddsförordningen om behand-
	lingen är nödvändig för att utföra en uppgift av allmänt intresse som följer
	av lag eller annan författning, av kollektivavtal eller av beslut som har
	meddelats med stöd av lag eller annan författning.
	Flera skäl talar för att det skulle finnas ett behov av en reglering där
	forskningsuppgiften fastställs för privaträttsliga forskningsutförare för att
	göra det möjligt för dem att använda sig av den rättsliga grunden uppgift
	av allmänt intresse. Även forskning som bedrivs av privata utförare kan
	anses vara en uppgift av allmänt intresse. Som exempel kan nämnas att
	högskolor kan bedrivas i både offentlig och privat form. Forskningsupp-
	giften är i praktiken likvärdig vid de båda verksamheterna. Forskning be-
	drivs vidare ofta i samverkan mellan offentliga och privata forskningsut-
	förare. Det är också av vikt att såväl offentliga som privata forskningsut-
	förare har möjlighet att behandla personuppgifter för att genomföra stor-
	skaliga registerbaserade studier inom exempelvis hälsoområdet. Sådana
	studier är av stor betydelse för ökad kunskap om t.ex. sjukdomsorsaker
	och behandlingsmetoder. Det är inte alltid möjligt eller ens lämpligt att
	inhämta samtycke för behandling av personuppgifter för forskningsända-
	mål i studier som omfattar flera hundra tusen personer. Detta innebär att
	såväl offentliga som privata forskningsutförare behöver ha möjligheter att
	behandla personuppgifter även utan samtycke.
	Av det som anförts ovan kan slutsatsen dras att frågan om att reglera
50	forskning som en uppgift av allmänt intresse har störst betydelse för de

privaträttsliga forskningsutförarna. För offentligrättsliga forskningsutfö- rare, som universitet och högskolor med staten som huvudman och statliga myndigheter som har i uppgift att forska, är forskningsuppgiften i de flesta fall redan reglerad i författning eller kan regleras i författning.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och lands- ting får själva ha hand om angelägenheter av allmänt intresse som har an- knytning till kommunens eller landstingets område eller deras medlem- mar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvän- dig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse. För privaträttsliga forskningsutförare är däremot uppgif- ten att forska som huvudregel inte reglerad.

Forskningsdatautredningens förslag innebär att det ska införas bestäm- melser av vilka det framgår dels under vilka förutsättningar personuppgif- ter får behandlas för forskningsändamål (om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse), dels att forskning av allmänt intresse får utföras av statliga myndigheter, kommu- ner och landsting, andra juridiska personer och enskilda näringsidkare. Detta innebär att forskningsutföraren själv även fortsatt skulle ha att be- döma om den forskning som utförs är av allmänt intresse, och om person- uppgiftsbehandlingen är nödvändig för att utföra forskningen. Av skäl 41 i dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Forskningsdatautredningen lyfter i detta sammanhang fram att det av skäl 33 framgår att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsända- mål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessu- tom att behandling av personuppgifter för vetenskapliga forskningsända- mål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinan- sierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkom- mandet av ett europeiskt forskningsområde. Vetenskapliga forskningsän- damål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat ut- lämnande av personuppgifter inom ramen för vetenskapliga forskningsän- damål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrera- des intresse, bör de allmänna reglerna i dataskyddsförordningen tillämpas på dessa åtgärder. Mot denna bakgrund är det Forskningsdatautredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse i en forsk- ningsdatalag som är tillämplig för alla slags forskningsutförare som bedri- ver sådan forskning. Forskningsdatautredningen framhåller också att det av skäl 45 i dataskyddsförordningen framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska

Prop. 2017/18:298

Prop. 2017/18:298 vara en myndighet, eller annan som omfattas av offentligrättslig lagstift- ning, eller om denne kan vara en fysisk eller juridisk person som lyder

	under civilrättslig lagstiftning.
	Majoriteten av remissinstanserna är positiva till utredningens förslag.
	Malmö högskola är dock kritisk till att forskningsutföraren själv ska få av-
	göra vad som är allmänt intresse och Chalmers tekniska högskola efterly-
	ser en tydligare vägledning rörande vilken forskning som är av allmänt
	intresse. Datainspektionen avstyrker förslaget. Inspektionen anser att den
	första meningen i den föreslagna lagtexten enbart innebär ett återgivande
	av vad som redan framgår av dataskyddsförordningen. När det gäller den
	föreslagna andra meningen anför Datainspektionen att friheten att forska
	inte är en fråga som rör dataskydd samt att någon uppgift att forska inte
	ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att den
	föreslagna regleringen tillför något materiellt.
	Regeringen delar Datainspektionens uppfattning att den första meningen
	i den föreslagna paragrafen endast innebär ett återgivande av vad som re-
	dan framgår av dataskyddsförordningen.
	När det gäller den föreslagna andra meningen i lagtexten att forskning
	av allmänt intresse får utföras av statliga myndigheter, kommuner och
	landsting, andra juridiska personer och enskilda näringsidkare anför Data-
	inspektionen att denna bestämmelse inte innebär att en uppgift att forska
	ges. När det gäller denna bestämmelse anser regeringen att en jämförelse
	kan, såvitt gäller privata forskningsutförare, göras med regleringen av per-
	sonuppgiftsbehandling i enskilda arkiv i dataskyddslagen (2 kap. 3 § första
	stycket). Den regleringen innebär bl.a. att regeringen eller den myndighet
	som regeringen bestämmer ska få meddela föreskrifter om att personupp-
	giftsansvariga som inte omfattas av föreskrifter om arkiv får behandla per-
	sonuppgifter för arkivändamål av allmänt intresse. Regeringen har i förar-
	betena till den bestämmelsen tagit ställning för att en föreskrift som tillåter
	en personuppgiftsansvarig att behandla personuppgifter för arkivändamål
	av allmänt intresse ger det stöd i den svenska rättsordningen som krävs
	enligt artikel 6.3 (prop. 2017/18:105 s. 113). Regleringen avseende en-
	skilda arkiv har dock en helt annan detaljeringsgrad än det förslag som
	Forskningsdatautredningen har lämnat beträffande privata forskningsutfö-
	rare. I propositionen Ny dataskyddslag anges att en föreskrift som tillåter
	att t.ex. en förening behandlar personuppgifter för arkivändamål av all-
	mänt intresse i sig innebär att föreningen erkänns ha befogenhet att bedriva
	arkivverksamhet av allmänt intresse. Det anges vidare att regeringen har
	för avsikt att delegera föreskriftsrätten i dataskyddslagen till Riksarkivet,
	eftersom det är den myndighet som har bäst förutsättningar att bedöma
	vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses
	vara av allmänt intresse i dataskyddsförordningens mening. Riksarkivet
	bör enligt regeringen dock ha en skyldighet att höra Datainspektionen
	innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta
	synpunkter från den enskilda arkivsektorn i allmänhet och de berörda
	personuppgiftsansvariga i synnerhet. Med anledning av Riksarkivets
	önskemål om förtydligande av vad föreskrifterna i praktiken ska reglera
	har regeringen angett att föreskrifterna skulle kunna innehålla generella
	bestämmelser som bör gälla för all arkivverksamhet av allmänt intresse
	som inte omfattas av arkivlagstiftningen, i linje med vad som anges i skäl
52	158, samt att de berörda personuppgiftsansvariga skulle kunna anges i en

bilaga till föreskrifterna, med angivande av den verksamhet som bedöms vara av allmänt intresse. I förekommande fall kan begränsningar avseende de generella bestämmelserna eller särskilda villkor för tillämpningen anges. I propositionen anges vidare att det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling av personuppgifter för arkivändamål av allmänt intresse. Det har därför införts bestämmelser i dataskyddslagen som innebär dels att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse, dels att den myndighet som regeringen bestämmer även i enskilda fall får besluta att sådana personuppgifts- ansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett sådant beslut får förenas med villkor (2 kap. 3 § dataskydds- lagen). Regeringen konstaterar vidare att en översyn av arkivväsendet inletts. En särskild utredare har fått i uppdrag att bl.a. analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riks- arkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras (dir. 2017:106). Regeringen framhåller därför i propositionen Ny data- skyddslag att den ordning som föreslås i det lagstiftningsärendet avseende enskildas behandling av personuppgifter för arkivändamål av allmänt in- tresse kan komma att bli en övergångslösning.

För att uppgiften att forska ska anses fastställd för privata forskningsut- förare på motsvarande sätt som för enskilda arkiv krävs alltså att det på något av de sätt som anges i 2 kap. 2 § dataskyddslagen, dvs. i lag eller annan författning, i kollektivavtal eller i beslut som har meddelats med stöd av lag eller annan författning, fastställs vilka privata forsknings- utförare som har i uppgift att forska. Först då kan de utföra sådan personuppgiftsbehandling som är nödvändig för den i den nationella rätten fastställda forskningsuppgiften med stöd av artikel 6.1 e i dataskydds- förordningen.

Vid en jämförelse mellan den detaljerade reglering som föreslås för en- skilda arkiv och den reglering som Forskningsdatautredningen föreslår för bl.a. privata forskningsutförare anser regeringen att Forskningsdatautred- ningens förslag inte uppfyller de krav som anges i EU-förordningen för att det ska vara fråga om en i nationell rätt fastställd uppgift. Vid övervägan- den om privata forskningsutförares forskningsuppgift ska fastställas i t.ex. föreskrifter eller beslut anser regeringen vidare att hänsyn måste tas till att även privat finansierad forskning måste omfattas av forskningens frihet. Regeringen anser vidare att en uppdelning i ”forskning” och ”forskning av allmänt intresse” är olycklig utifrån principerna om forskningens frihet och att en sådan uppdelning skapar en mängd frågor. Som nämnts i avsnitt

7.1.2är enligt regeringen presumtionen att forskning är av allmänt intresse. Detta är centralt utifrån principerna om forskningens frihet. En presumtion kan dock brytas. De fall då staten har ansett sig behöva reglera forskning är då frågan uppstår om forskningen är etiskt försvarbar eller inte. Det är en fråga som har ansetts vara så viktigt att den både är föremål

Prop. 2017/18:298

Prop. 2017/18:298 för internationella överenskommelser och lagstiftning. Enligt gällande rätt får vissa typer av forskning som avser människor inte utföras om tillstånd

	inte har meddelats enligt lagen (2003:460) om etikprövning av forskning
	som avser människor (etikprövningslagen). Detta gäller bl.a. om forsk-
	ningen innefattar behandling av känsliga personuppgifter eller person-
	uppgifter om lagöverträdelser m.m. (se vidare avsnitt 10 och 11) och
	oavsett om forskningsutföraren är en statlig myndighet eller en fysisk eller
	juridisk person (3 och 6 §§ etikprövningslagen). Av sista stycket i 6 § etik-
	prövningslagen framgår även att ett godkännande enligt den lagen inte
	medför att forskningen får utföras om den strider mot någon annan författ-
	ning. Det kan alltså vara så att det för ett forskningsprojekt inte alltid är
	tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan
	det kan även krävas tillstånd av myndigheter enligt andra författningar,
	exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedels-
	prövningar.
	I förarbetena till etikprövningslagen har regeringen som utgångspunkt
	för den prövning som ska ske vid en etikprövning av forskning bl.a. angivit
	att som ett allmänt krav på forskning där människor ska ingå, bör gälla att
	forskningen ska kunna innebära teoretisk och/eller praktisk nytta för sam-
	hället och mänskligheten i stort, se propositionen Etikprövning av forsk-
	ning (prop. 2002/03:50 s. 98.). I etikprövningslagen anges bl.a. att
	mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid
	etikprövningen samtidigt som hänsyn skall tas till intresset av att ny
	kunskap kan utvecklas genom forskning samt att människors välfärd ska
	ges företräde framför samhällets och vetenskapens behov (8 §). I 9 § anges
	att forskning får godkännas bara om de risker som den kan medföra för
	forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av
	dess vetenskapliga värde. Ett beslut om godkännande av ett forsknings-
	projekt enligt etikprövningslagen innebär således att forskningen bedömts
	kunna vara till nytta för samhället. Ett forskningsprojekt som godkänts
	enligt etikprövningslagen får därmed anses vara en uppgift av allmänt
	intresse. Till skillnad från Datainspektionen, Lunds universitet, Stock-
	holms universitet och Regionala etikprövningsnämnderna i Lund, Uppsala
	och Umeå anser därför regeringen att ett beslut enligt etikprövningslagen
	och eventuellt andra tillämpliga författningar ger en sådan grund för
	behandlingen som är fastställd i enlighet med nationell rätt enligt artikel
	6.3 i dataskyddsförordningen. Enligt den artikeln ska unionsrätten eller
	medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och
	vara proportionell mot det legitima mål som eftersträvas. Som nämnts
	tidigare får enligt 2 kap. 2 § 1 dataskyddslagen personuppgifter behandlas
	med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är
	nödvändig för att utföra en uppgift av allmänt intresse som följer av lag
	eller annan författning, av kollektivavtal eller av beslut som har meddelats
	med stöd av lag eller annan författning. Detta innebär att en privat forsk-
	ningsutförare som avser att bedriva forskning som kräver tillstånd av en
	eller flera myndigheter och som har fått de tillstånd som krävs för ett
	forskningsprojekt kan åberopa den rättsliga grunden uppgift av allmänt
	intresse för den personuppgiftsbehandling som är nödvändig för projektet.
	Detta gäller på motsvarande sätt även för offentliga forskningsutförare,
	men som redovisats ovan har dessa i regel möjlighet att åberopa den
54	rättsliga grunden uppgift av allmänt intresse mot bakgrund av en i nationell

rätt fastställd uppgift att forska. Som framgått av avsnitt 7.1.2 kan en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Enligt regeringen innebär detta att forskning som inte innefattar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. kan baseras på en mer allmänt hållen rättslig grund, t.ex. den rättsliga grund som anges i högskolelagen.

Flera remissinstanser påtalar med anledning av bedömningarna i det re- mitterade utkastet till lagrådsremiss att de ställt sig positiva till utredning- ens förslag och framhåller vikten av att även privata forskningsutförare kan använda den rättsliga grunden uppgift av allmänt intresse liksom att samarbete mellan olika forskningsaktörer kan hämmas om de inte kan an- vända samma rättsliga grund. Regeringen anser också att det vore en fördel om även privata forskningsutförare skulle kunna åberopa den rättsliga grunden utförande av en allmän uppgift i de fall det är fråga om behandling av andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Det skulle dock beträffande andra privata forsk- ningsutförare än Chalmers och Högskolan i Jönköping (se nedan) kräva en omfattande reglering av privata forskningsutförare som det för närvarande saknas beredningsunderlag för. Privata forskningsutförare har vidare, som framgått av avsnitt 7.2.1, stora möjligheter att bedriva forskning med sam- tycke. De har även stora möjligheter att bedriva forskning efter en intresse- avvägning, vilket utvecklas i nästa avsnitt. Regeringen delar därför Forsk- ningsrådets för hälsa, arbetsliv och välfärd (Forte) uppfattning att för- slagen i propositionen väl tillgodoser forskningens intressen av att kunna använda personuppgifter, och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Regeringen bedömer att detsamma gäller även annan forsk- ning än sådan som Forte ger bidrag till.

När det gäller Chalmers Tekniska Högskola och även Högskolan i Jön- köping kan konstateras att dessa tidigare var statliga högskolor. De drivs dock numera i stiftelseform. I propositionen om högskolor i stiftelseform

—mångfald för kvalitet (prop. 1992/93:231) föreslog regeringen att dessa två statliga högskolor skulle överföras i stiftelseform. Regeringen föreslog att riksdagen skulle bemyndiga regeringen att genomföra en sådan över- föring och tillskjuta nödvändigt kapital. Det föreslogs att ombildningen skulle gå till så att en stiftelse skulle bildas för var och en av högskolorna. Stiftelsen skulle bli huvudman för den förändrade högskolan och ytterst ansvarig för dess verksamhet. Med respektive stiftelse som ensam ägare skulle dessutom inrättas dels ett högskolebolag i vilket verksamheten vid högskolan skulle bedrivas, dels ett fastighetsbolag för förvaltning av högskolans fastigheter. I stiftelseförordnandet skulle ändamålet med stif- telsen anges och ett led i det var därvid att stiftelsen såsom ensam ägare till det särskilda högskolebolaget skulle verka för att det vid högskolan i fråga bedrivs utbildning och forskning på en hög internationell nivå. Riksdagen godkände förslaget och godkände därvid också principer som angavs i propositionen för ett ramavtal som skulle träffas mellan staten och

Prop. 2017/18:298

Prop. 2017/18:298 respektive stiftelse och högskolebolag för att reglera de långsiktiga rela- tionerna mellan parterna (prop. 1992/93:231, bet. 1992/93:UbU18, rskr. 1992/93:405). I september 1993 beslutade regeringen därefter att överföra Chalmers Tekniska Högskola och Högskolan i Jönköping till stiftelseform. När stiftelser och högskolebolag bildats träffades sådana ramavtal om ombildning avseende Chalmers Tekniska högskola och Högskolan i Jön- köping den 1 juli 1994. Som bilaga till dessa avtal finns ett långsiktigt ramavtal mellan parterna om utbildning och forskning med en underbilaga där statens utbildnings- och forskningsuppdrag till respektive högskola närmare preciseras. I underavtalet anges den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. Underavtalen om utbildnings- och forskningsuppdrag sluts för de plane- ringsperioder som gäller för de statliga universiteten och högskolorna. Det förnyas årligen efter godkännande av regeringen. De två stiftelsehög- skolorna ska också genom en reglering i offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillämpa vad som föreskrivs i tryck- frihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myn- digheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Ny dataskyddslag framhåller regeringen att gemensamt för de privata organ som enligt OSL omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att or- ganets verksamhet helt eller delvis finansieras med allmänna medel och att detta enligt regeringens mening innebär att t.ex. Stiftelsen Svenska Filminstitutet och andra organ, vars handlingar omfattas av handlingsof- fentlighet, i motsvarande utsträckning måste anses utföra uppgifter av all- mänt intresse i den mening som avses i dataskyddsförordningen (prop. 2017/18:105 s. 59). Detta gäller enligt regeringens uppfattning även för Chalmers Tekniska Högskola och Högskolan i Jönköping. De beslut om godkännande av avtalen varigenom statens utbildnings- och forsknings- uppdrag till Chalmers Tekniska Högskola och Högskolan i Jönköping pre- ciseras har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen. Enligt regeringens uppfattning utgör därmed Chalmers Tekniska Högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt.

7.2.3Intresseavvägning

Regeringens bedömning: Offentliga forskningsutförare kan inte till- lämpa den rättsliga grunden intresseavvägning i artikel 6.1 f i data- skyddsförordningen som grund för sin personuppgiftsbehandling.

Privaträttsliga forskningsutförare kan tillämpa intresseavvägning som grund för nödvändig personuppgiftsbehandling i forskningen. Det ska i varje enskilt fall göras en avvägning mellan den personuppgifts- ansvariges eller en tredje mans berättigade intresse av att utföra person- uppgiftsbehandlingen och den registrerades intressen och grundläg- gande rättigheter och friheter.

Utredningens bedömning överensstämmer i sak med regeringens be- Prop. 2017/18:298 dömning. Utredningen redogjorde i text för sina bedömningar när det

gäller offentligrättsliga respektive privaträttsliga forskningsutförares möjlighet att åberopa den rättsliga grunden intresseavvägning men formulerade inte detta i en särskild bedömningsruta.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rätts- liga grunden intresseavvägning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Som nämnts gäller enligt artikel 6.1 andra stycket i dataskyddsförord- ningen inte den rättsliga grunden intresseavvägning för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta moti- veras i skäl 47 med att då det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas be- handling av personuppgifter bör denna rättsliga grund inte gälla för den behandling som de utför som ett led i fullgörandet av dessa uppgifter. När det i bestämmelsen talas om att den inte ska gälla när offentliga myndig- heter fullgör sina uppgifter gäller det enligt regeringens uppfattning vid fullgörandet av alla uppgifter en myndighet har, såväl sådana som innefat- tar myndighetsutövning som övriga uppgifter av t.ex. mer förvaltningska- raktär. Den rättsliga grunden intresseavvägning är alltså inte tillämplig när offentligrättsliga forskningsutförare fullgör en uppgift att bedriva forsk- ning.

Privaträttsliga forskningsutförare

Till skillnad från vad som gäller för de offentligrättsliga forskningsutfö- rarna är det möjligt för privaträttsliga forskningsutförare att stödja sin per- sonuppgiftsbehandling på den rättsliga grunden intresseavvägning. Som nämnts tidigare har Artikel 29-gruppen, när det gäller dataskyddsdirekti- vet, uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statis- tiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar ar- tikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts i föregående avsnitt bedömer också regeringen att presumtionen är att forskning är en uppgift av allmänt intresse och att presumtionen därmed är att det är fråga om ett berättigat intresse.

Prop. 2017/18:298 I föregående avsnitt gör regeringen bedömningen att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt, om det krävs tillstånd för forskningsprojektet av en eller flera myn- digheter och forskningsutföraren har fått de tillstånd som krävs, och att den rättsliga grunden uppgift av allmänt intresse är tillämplig i ett sådant fall. Det är således bara när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lag- överträdelser m.m. som en privat forskningsutförare behöver åberopa andra rättsliga grunder, t.ex. samtycke eller intresseavvägning.

Då presumtionen är att forskning är ett berättigat intresse bedömer rege- ringen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning, särskilt då en sådan avväg- ning normalt bara blir aktuell för mindre känsliga uppgifter. En presumtion kan dock brytas och omständigheterna i ett enskilt fall kan vara sådana att en intresseavvägning enligt 6.1 f inte utfaller till den planerade forsk- ningens förmån.

7.3Det behövs inte någon upplysningsbestäm- melse i nationell rätt om artikel 6.1

Regeringens bedömning: Det behövs inte någon bestämmelse i natio- nell rätt som upplyser om att personuppgifter bara får behandlas om minst ett av de villkor som anges i artikel 6.1 är uppfyllt.

Utredningens bedömning överensstämmer inte med regeringens be- dömning. Utredningen har föreslagit att en ny lag, forskningsdatalagen, ska innehålla en bestämmelse som upplyser om att det av dataskydds- förordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är upp- fyllt.

Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget. Uppsala universitet anför att hän- visningen till artikel 6.1, där villkoren för att personuppgiftsbehandling ska vara laglig anges, ger intrycket av att det finns annan personuppgifts- behandling för forskningsändamål än de som omfattas av artikel 6.1. Av- sikten förefaller dock enligt universitetet inte vara att avgränsa personupp- giftbehandlingen för forskningsändamål enligt 6.1 i förhållande till annan behandling, på en annan rättslig grund, utan avgränsningen synes istället ligga i begreppet ”för forskningsändamål”, sådan behandling som omfattas av undantagen i artikel 89 dataskyddsförordningen. Hänvisningen till arti- kel 6.1 verkar därför enligt universitetet vara överflödig och bör utgå.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om be- dömningen.

Skälen för regeringens bedömning: Utredningen har föreslagit att en ny lag, forskningsdatalagen, bl.a. ska innehålla en bestämmelse som upp- lyser om att det av dataskyddsförordningen framgår att personuppgifter får

behandlas endast om minst ett av de villkor som anges i artikel 6.1 i för- Prop. 2017/18:298 ordningen är uppfyllt. Utredningen har ansett att en sådan inledande upp- lysningsbestämmelse behövs för förståelsen av den av utredningen före-

slagna bestämmelsen om att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare (6 § förslaget till forskningsdatalag).

Som närmare har utvecklats i avsnitt 7.2.2 anser regeringen att den av utredningen föreslagna 6 § inte bör genomföras. Något behov av en upp- lysningsbestämmelse för förståelse av en sådan bestämmelse om faststäl- lande av den rättsliga grunden finns då inte heller. En sådan bestämmelse bör därför inte införas.

8Principer som måste följas vid behandling av personuppgifter för forskningsändamål

8.1Grundläggande principer för personuppgiftsbehandling

Förutom att minst en rättslig grund måste vara tillämplig för att en behand- ling av personuppgifter ska vara laglig, finns det ett antal principer som ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskydds- direktivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i data- skyddsförordningen.

Dessa principer innebär för det första att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglig- het, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet, artikel 5.1 d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för ar-

Prop. 2017/18:298 kivändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål i enlighet med artikel 89.1, under förut- sättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registre- rades rättigheter och friheter (lagringsminimering, artikel 5.1 e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otil- låten behandling och mot förlust, förstöring eller skada genom olyckshän- delse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

När det gäller behandling som avser särskilda kategorier av personupp- gifter (känsliga personuppgifter) eller personuppgifter som rör lagöverträ- delser anges ytterligare villkor i artiklarna 9 och 10. Detta utvecklas när- mare avsnitt 10 och 11.

8.2När och hur kan redan insamlade uppgifter behandlas ytterligare för forskningsändamål?

Det är vanligt att personuppgifter som behandlas för forskningsändamål ursprungligen har samlats in för ett annat ändamål än forskning.

Huvudregeln är som nämnts att personuppgifter ska samlas in för sär- skilda, uttryckligt angivna och berättigade ändamål och inte senare be- handlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare be- handling för bl.a. vetenskapliga eller historiska forskningsändamål i enlig- het med artikel 89.1 ska dock inte anses vara oförenlig med de ursprung- liga ändamålen (artikel 5.1 b i dataskyddsförordningen, forskningsundan- taget). I artikel 89.1 anges att behandling för bl.a. vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminime- ring iakttas. Dessa åtgärder får inbegripa pseudonymisering (se vidare avsnitt 9), under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Bestämmelserna i artikel 5.1 b och artikel 89.1 hade en motsvarighet i artikel 6.1 b och c i dataskyddsdi- rektivet och 9 § första stycket c–f och andra stycket PUL, även om bestäm- melserna i artikel 89.1 är lite mer detaljerade. I dataskyddsförordningen används begreppet ”ytterligare behandling”, i stället för begreppet ”vida- rebehandling” som ofta använts i sammanhanget. Ytterligare behandling av personuppgifter för forskningsändamål är alltså särskilt gynnad såväl i dataskyddsförordningen som enligt dataskyddsdirektivet och PUL.

Tidigare gällde emellertid att även om det nya ändamålet var förenligt med det ursprungliga måste den nya behandlingen alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § PUL. Av dataskyddsförordningen framgår däremot att det inte krävs någon ny rättslig grund för tillåten ytter- ligare behandling av personuppgifter av samma personuppgiftsansvarig. I skäl 50 till förordningen förtydligas detta på så sätt att det anges att

behandling av personuppgifter för andra ändamål än de för vilka de Prop. 2017/18:298 ursprungligen samlades in endast bör vara tillåten när detta är förenligt

med de ändamål för vilka personuppgifterna ursprungligen samlades in samt att det i dessa fall inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om be- handlingen är nödvändig för att fullgöra bl.a. en uppgift av allmänt intresse kan unionsrätten eller medlemsstaternas nationella rätt fastställa och när- mare ange för vilka uppgifter och syften ytterligare behandling bör betrak- tas som förenlig och laglig. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål bör betraktas som förenlig och laglig behandling av uppgifter.

Dataskyddsförordningens bestämmelser innebär alltså att en personupp- giftsansvarig får utföra ytterligare behandling av personuppgifter för forskningsändamål utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsutförare får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterligare forskningsändamål utan krav på ny rättslig grund. När uppgifter samlats in för forskningsändamål med stöd av den rättsliga grunden samtycke har dock även omfattningen av det sam- tycke den registrerade har lämnat betydelse för att avgöra vilken ytterligare behandling som kan vara möjlig.

Även i samband med utlämnande av personuppgifter till annan person- uppgiftsansvarig för behandling för forskningsändamål är den nya behand- lingen, dvs. utlämnandet, att anse som förenlig med ändamålet för den ursprungliga behandlingen. Att ta emot personuppgifter utgör däremot inte en ytterligare behandling utan en insamling av personuppgifter. Den per- sonuppgiftsansvarige som tar emot uppgifterna måste således, för att in- samlingen av personuppgifter ska vara laglig, ha en rättslig grund för sin behandling för forskningsändamål. Detta innebär att forskningsutförare som samlar in personuppgifter för forskningsändamål alltid, oavsett för vilka ändamål uppgifterna tidigare har behandlats av andra personuppgift- sansvariga, måste kunna åberopa en rättslig grund enligt artikel 6.1 för sin behandling.

Vinnova och IFAU anser att möjligheten att ytterligare behandla person- uppgifter som inhämtats med samtycke bör regleras. Dataskyddsförord- ningen är direkt tillämplig i medlemsstaterna. Förordningen ger inte något utrymme för att i nationell rätt reglera ytterligare behandling av per- sonuppgifter som samlats in med samtycke. Det är därför inte möjligt att särskilt reglera denna fråga.

Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Om det är aktuellt att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser måste de sär- skilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda (se avsnitt 10 och 11). Vid all behandling av personuppgifter för forskningsändamål aktualiseras också artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta behandlas i avsnitt 9.

Prop. 2017/18:298 9	Det behövs kompletterande nationella
	bestämmelser om skyddsåtgärder som
	ska gälla vid all behandling av
	personuppgifter för forskningsändamål

9.1Vilka krav på skyddsåtgärder ställs i data- skyddsförordningen?

Bestämmelser som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forsknings- ändamål har tidigare införts i svensk rätt med stöd av dataskyddsdirektivet. Vid en jämförelse ställer dataskyddsförordningen mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Utöver detta ställer dataskyddsförordningen specifika krav på skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål. Dessa krav har inte haft någon direkt motsvarighet i dataskyddsdirektivet eller PUL.

En av dataskyddsförordningens grundläggande principer för personupp- giftsbehandling, principen om integritet och konfidentialitet, anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med använd- ning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f). Till den allmänna regleringen hör även skyldigheter för den personuppgifts- ansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Artikel 25 (inbyggt dataskydd och dataskydd som standard) ålägger den personuppgiftsansvarige bl.a. att in- tegrera nödvändiga skyddsåtgärder i behandlingen. Av artikel 32, som in- nehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett an- tal åtgärder och utgångspunkter för bedömningen av lämplig säkerhets- nivå. Godkända uppförandekoder eller godkända certifieringsmekanismer kan enligt artiklarna 24 och 32 användas för att visa att den personupp- giftsansvarige fullgör sina skyldigheter. På motsvarande sätt kan enligt ar- tikel 25 godkända certifieringsmekanismer användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

På en mer specifik nivå ställer dataskyddsförordningen krav på att all personuppgiftsbehandling för forskningsändamål ska omfattas av lämp- liga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättig- heter och friheter, särskilt principen om uppgiftsminimering (artikel 89.1). Dataskyddsförordningen anger i sammanhanget även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål (skäl 156).

Begreppen skyddsåtgärder respektive tekniska och organisatoriska åt- gärder är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säker- ställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och

organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” de- finieras närmare i dataskyddsförordningen.

Vad ska skyddas?

Ofta anges vad själva skyddsintresset är, dvs vad åtgärderna är avsedda att skydda, i anslutning till kravet på skyddsåtgärd. Exempelvis anger arti- kel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42 nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskydds- förordningen.

Av artikel 89.1, som är central vid all personuppgiftsbehandling för forskningsändamål, framgår att lämpliga skyddsåtgärder ska skydda den registrerades rättigheter och friheter, särskilt avseende principen om upp- giftsminimering (artikel 5.1 c).

Vilka exempel på skyddsåtgärder anges i dataskyddsförordningen?

Dataskyddsförordningen anger sällan att vissa specifika skyddsåtgärder ska vidtas. I några sammanhang används termerna ”skyddsåtgärder”, ”tek- niska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. För behandling av känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål anges tystnadsplikt uttryckligen som en skyddsåtgärd (artikel 9.2 h och 9.3).

I samband med fastställande av om behandling för andra ändamål är förenlig med ursprungsändamålet anges att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas (artikel 6.4 e).

Förordningen lyfter i flera fall särskilt fram pseudonymisering som en skyddsåtgärd. I artikel 32 anges att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säker- hetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudony- misering och kryptering som sådana slags åtgärder i de fall det är lämpligt. Av artikel 89.1 framgår att lämpliga skyddsåtgärder får inbegripa pseudo- nymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Även skäl 28, 29 och 156 lyfter fram pseudonymisering som exempel på skyddsåtgärd.

I skäl 78 anges ett antal övriga skyddsåtgärder som främst är organisa- toriska till sin natur. Sådana åtgärder kan bland annat bestå av att uppgifts- behandlingen minimeras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgifts- behandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar.

Utöver sådana skyddsåtgärder som nämns direkt i förordningen finns i svensk rätt andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser.

Prop. 2017/18:298

Vad innebär pseudonymisering?

Som nämnts ovan återkommer pseudonymisering på flera ställen i data- skyddsförordningen som exempel på en skyddsåtgärd. I artikel 4.5 defi- nieras pseudonymisering enligt följande:

Behandling av personuppgifter på ett sätt som innebär att personuppgif- terna inte längre kan tillskrivas en specifik registrerad utan att komplet- terande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisato- riska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dataskyddsförordningens definition anger dock inte hur pseudonymisering ska utformas. Detta kan göras på i huvud- sak två sätt, antingen baserat på identifierande uppgifter eller utifrån helt fristående värden i form av ett kodnyckelförfarande.

I många fall, särskilt vid forskningsstudier som pågår under många år där det finns ett behov av att komplettera uppgifterna vid senare tillfällen, är det önskvärt att pseudonymen kan härledas från de ursprungliga uppgif- terna. Ett enkelt exempel kan vara att skapa en pseudonym från ett person- nummer genom att med en s.k. säker hashfunktion beräkna en hashsumma på personnumret. En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.

Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudony- men. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande upp- gifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.

Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifie- rande uppgifterna. Vid exempelvis forskningsstudier som pågår under lång tid kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.

Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det.

9.2Skyddsåtgärder bör föreskrivas i svensk rätt

Regeringens bedömning: Bestämmelser om skyddsåtgärder vid per- sonuppgiftsbehandling för forskningsändamål kan och bör ges i författ- ningsform.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Dataskyddsförordningens krav på lämpliga skyddsåtgärder för personuppgiftsbehandling för forsknings- ändamål i artikel 89.1 är direkt tillämpliga. Utifrån dessa krav är det dock inte självklart att lämpliga skyddsåtgärder ska föreskrivas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skydds- åtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.

Alternativ till författningsreglering av skyddsåtgärder kan vara att be- myndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder, enligt artikel 40, kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas. En författningsreglering kan dock ge större tydlighet vid tillämp- ningen och säkerställa att lämpliga åtgärder vidtas i sådana situationer där det bedöms särskilt viktigt.

Det är i sammanhanget värt att understryka att vid all personuppgiftsbe- handling för forskningsändamål kräver dataskyddsförordningen att be- handlingen omfattas av lämpliga skyddsåtgärder. Det är den personupp- giftsansvariges ansvar att se till att sådana lämpliga skyddsåtgärder före- ligger. Det är därför inte tillräckligt att endast tillämpa bestämmelser i nationell rätt utan att samtidigt ta ställning till om kraven i förordningen är uppfyllda vid varje enskild behandling.

Med beaktande av dataskyddsförordningens möjligheter att i nationell rätt reglera skyddsåtgärder när personuppgifter behandlas för forsknings- ändamål är det regeringens bedömning att viss sådan reglering ska införas i författningsform. Frågan om vilken reglering som ska införas avseende all behandling av personuppgifter för forskningsändamål behandlas i avsnitt 9.3–9.7. Frågor om skyddsåtgärder som särskilt tar sikte på behand- ling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

9.3Uppgifter ska inte få användas för att vidta åtgärder i fråga om den registrerade

Regeringens förslag: Personuppgifter som enbart behandlas för forsk- ningsändamål ska få användas för att vidta åtgärder i fråga om den re-

Prop. 2017/18:298

gistrerade endast om det finns synnerliga skäl med hänsyn till den re- gistrerades vitala intressen. Något undantag för myndigheters använd- ning av personuppgifter i allmänna handlingar ska inte gälla.

Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att personuppgifter som behandlas för forskningsän- damål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta ska dock inte gälla för en myndighets användning av per- sonuppgifter i allmänna handlingar.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal lands- ting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län anser att förslaget är lämpligt.

Brottsförebyggande rådet (Brå) anser att formuleringen är svårläst. Svå- righeterna gäller främst att förstå hur sista meningen ska tolkas i förhål- lande till föregående mening och alltså vad ordet ”detta” syftar på. Brå anser att det är lämpligare att använda samma konstruktion som den man använder i förslaget till dataskyddslag. Sveriges lantbruksuniversitet (SLU), som påpekar att de insamlade uppgifterna vid ett lärosäte som regel är allmänna handlingar, undrar vad ordet ”detta” i den andra mening syftar på. Menas att personuppgifter från allmänna handlingar inte alls får använ- das för att vidta åtgärder i fråga om den registrerade, ens om det finns vi- tala intressen, eller är avsikten med formuleringen någon annan? Veten- skapsrådet anser att sista meningen i den föreslagna bestämmelsen, om myndigheters användning av uppgifter i allmänna handlingar, inte behövs eftersom den föreslagna lagen endast ska gälla när personuppgifter be- handlas för forskningsändamål. Utredningens förslag ska motsvara bestämmelsen i PUL. Bakgrunden till regleringen i PUL om undantaget för myndigheters användning av uppgifter i allmänna handlingar torde vara behovet av information för rättskipningen och förvaltningen dvs. möj- ligheten att använda uppgifterna för andra ändamål än forskning. Det är enligt Vetenskapsrådet uppfattning också olämpligt att ha kvar sista me- ningen i den föreslagna bestämmelsen. Detta eftersom en konsekvens som uppmärksammats av samma skrivning i PUL är att den ger forskare vid myndigheter formell möjlighet att utan hinder av användningsbegräns- ningen i PUL använda personuppgifter i forskningsmaterial som utgör all- männa handlingar för att vidta åtgärder i fråga om de registrerade. Data- inspektionen kan inte tillstyrka förslaget i den föreslagna forskningsdata- lagen, eftersom utredningen inte gjort en egen bedömning utan endast ut- gått från en bedömning som gjorts långt tidigare.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Samtliga remissinstanser som yttrat sig tillstyrker eller har inga synpunkter på förslaget. Sveriges Kommuner och Landsting (SKL) framför särskilt att SKL delar uppfattningen att det finns vissa un- dantagssituationer på exempelvis hälso- och sjukvårdens område då upp- gifter som annars bara behandlas för forskningsändamål måste kunna an- vändas även för att vidta sådana åtgärder, t.ex. då forskningspersonens liv eller egna vitala intressen står på spel.

Skälen för regeringens förslag

Användningsbegränsning är en befintlig skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

I PUL fanns en skyddsåtgärd i form av en bestämmelse som angav att per- sonuppgifter som behandlades för historiska, statistiska eller veten- skapliga ändamål bara fick användas för att vidta åtgärder i fråga om den registrerade om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen (9 § fjärde stycket PUL). Denna begränsning gällde dock inte för en myndig- hets användning av personuppgifter i allmänna handlingar (8 § andra stycket PUL).

Personuppgifter som har samlats in för forskningsändamål får inte an- vändas för andra ändamål som är oförenliga med det ursprungliga forsk- ningsändamålet. Denna ändamålsbegränsning framgår av såväl artikel 5.1 b i dataskyddsförordningen som tidigare av 9 § d PUL. Att behandla personuppgifter som insamlats för forskningsändamål för att vidta åtgärder beträffande de registrerade är som huvudregel att behandla personuppgifterna för ett nytt ändamål.

Av förarbetena till PUL framgår att ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder mot de registrerade är när personuppgifter som behandlas för forsknings- ändamål behöver användas för att varna de registrerade. Det kan före- komma t.ex. när en forskare, som undersöker ett misstänkt samband mel- lan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta un- dersöka sig och få behandling. En sådan personuppgiftsbehandling har inte bedömts vara oförenlig med det ursprungliga forskningsändamålet. I vissa fall kan personuppgifter som behandlas för forskningsändamål även an- vändas för att vidta åtgärder beträffande de registrerade för att forsknings- projektet är upplagt så att personuppgifterna ska användas för att vidta åt- gärder rörande enskilda. Ett sådant projekt har dock enbart bedömts vara tillåtet om de registrerade har samtyckt till det (prop. 1997/98:44 s. 62 och 119). Mot denna bakgrund infördes bestämmelsen i PUL som angav att personuppgifter som behandlas för bl.a. forskningsändamål fick användas för att vidta åtgärder beträffande den registrerade bara om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av förarbetena till PUL framgår vidare att det beträffande personupp- gifter i myndigheters arkiv finns bestämmelser om lämpliga skydds- åtgärder i form av t.ex. sekretess och skydd för arkiv, varför användnings- begränsningen bedömdes inte behöva gälla för sådana personuppgifter som finns i en myndighets arkiv. Mot bakgrund av detta infördes undanta- get i PUL som angav att begränsningen dock inte gällde för en myndighets användning av personuppgifter i allmänna handlingar. Detta undantag av- såg således främst personuppgifter som behandlades för arkivändamål, vil- ket inte helt tydligt framgick av bestämmelsens utformning (prop. 1997/98:44 s. 62 och 118).

Prop. 2017/18:298

Motsvarande skyddsåtgärd vid behandling av personuppgifter för arkiv- ändamål och statistiska ändamål föreslås i dataskyddslagen

I dataskyddslagen finns bestämmelser om användningsbegräsningar som avser personuppgifter i arkiv och statistik i 4 kap.

Enligt 1 § första stycket får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen hindrar enligt andra stycket inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. Vid tillämpningen av andra stycket ska vidare andra än myn- digheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

Enligt 2 § får personuppgifter som behandlas enbart för statistiska ända- mål användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av propositionen Ny dataskyddslag framgår att de nya bestämmelserna utformats för att det ska framgå tydligare än av PUL att användnings- begränsningen bara gäller personuppgifter som enbart behandlas för arkiv- ändamål av allmänt intresse respektive statistiska ändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas och tillägget utgör därmed inte någon utvidgning av den personuppgiftsansvariges befogenheter. I propositionen har regeringen vidare tagit ställning för att det inte finns skäl att i de nya bestämmelserna ange att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen (prop. 2017/18:105 s. 119). Någon saklig skillnad mellan de nya bestämmelserna och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av dataskyddslagen.

Ett undantag för myndigheters användning av uppgifter i allmänna hand- lingar gäller vid behandling av personuppgifter för arkivändamål…

Som framgår ovan gäller enligt 4 kap. 1 § andra stycket dataskyddslagen att bestämmelsen i första stycket om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade med användning av personupp- gifter som behandlas enbart för arkivändamål av allmänt intresse, inte ska hindra myndigheter och andra vars verksamhet omfattas av offentlighets- principen och sekretesslagstiftningen från att använda personuppgifter som finns i allmänna handlingar. Detta beror bl.a. på att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m. Bestämmelsen innebär ingen förändring i förhål- lande till vad som gällt enligt PUL.

… men inte vid behandling av personuppgifter för statistiska ändamål

När det gäller undantag från användningsbegränsningen av personuppgif- ter som enbart behandlas för statistiska ändamål har regeringen dock gjort en annan bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 125). En allmän utgångspunkt för behandling av personuppgifter för

statistiska ändamål är att resultatet eller uppgifterna inte används till stöd Prop. 2017/18:298 för åtgärder eller beslut som avser en särskild fysisk person (skäl 162 i dataskyddsförordningen). Enligt regeringens mening står det klart att det

finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt borde däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständig- heten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder enligt regeringen ingen an- nan bedömning. Myndigheter undantas därför inte från använd- ningsbegränsningen i 4 kap. 2 § dataskyddslagen.

Användningsbegränsning bör även i fortsättningen vara en skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

Regeringen anser att en användningsbegränsning som innebär att person- uppgifter som behandlas för vetenskapliga eller historiska forsknings- ändamål bara får användas för att vidta åtgärder i fråga om den registrerade om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, alltjämt utgör en väl avvägd skyddsåtgärd. I likhet med vad som föreslogs i propositionen Ny dataskyddslag anser regeringen att det inte finns skäl att i den nya bestämmelsen ange att uppgifter får användas för att vidta åtgärder i fråga om den registrerade med den registrerades sam- tycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen.

Någon saklig skillnad mellan förslaget och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.

Något undantag för myndigheters användning av personuppgifter i all- männa handlingar ska inte gälla.

Begränsningen i 9 § fjärde stycket PUL gällde, som framgått, inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmel- ser om sekretess och skydd för arkiv, bl.a. mot bakgrund av att myndig- heternas arkiv enligt lag ska tillgodose behovet av information för rätts- skipningen och förvaltningen m.m.

Av dataskyddsförordningen framgår att om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse bör de allmänna reglerna i förordningen tillämpas på dessa åtgärder (skäl 159). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. Dessa situationer rör i huvudsak hälso- och sjukvårdsändamål i den registrerades intresse, enligt de exempel som åter-

Prop. 2017/18:298 givits tidigare, och då ska alltså dataskyddsförordningen och komplette- rande svensk rätt tillämpas på den personuppgiftsbehandling som sker i samband med att åtgärder vidtas mot den registrerade.

Det är regeringens uppfattning att i övrigt bör inte myndigheter kunna använda sådana personuppgifter som enbart behandlas för forsknings- ändamål för att vidta åtgärder i förhållande till den registrerade. Den om- ständigheten att uppgifterna finns i allmänna handlingar föranleder ingen annan bedömning. Forskningsmaterial utgör som huvudregel allmänna handlingar vid myndigheter och det tidigare undantaget i PUL var inte hel- ler avsett att möjliggöra för forskningsutförare som är myndigheter att fritt kunna använda personuppgifter som enbart behandlas för forskningsända- mål för att vidta åtgärder mot den registrerade. Regeringen instämmer där- med i Vetenskapsrådets invändningar och anser att myndigheter inte bör undantas från den föreslagna användningsbegränsningen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska därför inte gälla.

	9.4	Det följer direkt av dataskyddsförordningen att
		personuppgifter bör pseudonymiseras eller
		omfattas av andra lämpliga skyddsåtgärder

	Regeringens bedömning: Personuppgifter bör pseudonymiseras eller
	omfattas av andra lämpliga skyddsåtgärder när de behandlas för forsk-
	ningsändamål. Detta framgår direkt av EU:s dataskyddsförordning och
	bör därför inte föreskrivas i svensk rätt.

	Utredningens förslag överensstämmer inte med regeringens bedöm-
	ning. Utredningen föreslår att en bestämmelse ska införas i den föreslagna
	forskningsdatalagen som anger att personuppgifter ska pseudonymiseras
	eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål
	förutsatt att ändamålet kan uppfyllas på det viset.
	Remissinstanserna: Ett övervägande antal av de remissinstanser som
	har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal
	landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne
	län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län,
	Dalarnas län och Gävleborgs län anser att de av utredningen föreslagna
	skyddsåtgärderna är lämpliga. Regionala etikprövningsnämnden i Upp-
	sala välkomnar den föreslagna bestämmelsen om att personuppgifter så
	långt det är möjligt bör pseudonymiseras. Kungl. Vetenskapsakademien
	bedömer föreslaget som rimligt. Sveriges Kommuner och Landsting anser
	att huvudregeln bör vara att personuppgifter anonymiseras eller skyddas
	på likvärdigt sätt när de behandlas för forskningsändamål.
	Stockholms universitet tillstyrker förslaget men noterar samtidigt att
	uppfyllandet av detta krav kommer att kräva en infrastruktur som flertalet
	lärosäten inte äger i dagsläget. Universitetet anser att också kostnaden för
	anskaffning av sådan infrastruktur bör beaktas i analysen av de ekono-
	miska konsekvenserna av utredarens förslag.
	Kungl. Tekniska högskolan (KTH) anser att det inte tydligt framgår om
70	detta även gäller personuppgiftsbiträdens skyldigheter.

Institutet för språk och folkminnen framför att förslaget om pseudony- misering som skyddsåtgärd förefaller vara en relativt effektiv metod för att skydda personuppgifter vid forskning, eftersom tröskeln för att koppla samman en handling, innehållande forskningsuppgifter, med en specifik person höjs. Emellertid ger pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inget fullgott skydd för in- dividen. De handlingar som uppstår i samband med forskning vid myndig- heter är underkastade tryckfrihetsförordningen och offentlighetsprincipen, vilken har företräde framför dataskyddslagsstiftningen. Även de nyck- lar/samordningsregister som är kopplade till de pseudonymiserade uppgif- terna blir således allmänna handlingar.

Chalmers tekniska högskola och Göteborgs universitet föreslår att begreppen och deras inbördes förhållanden tydliggörs ytterligare. En viss begreppsförvirring råder kring användandet av begreppen anonymisering, avidentifiering samt pseudonymisering. Det är viktigt för tillämpare att tydligt kunna särskilja de fall som faller utanför regelverket från de som omfattas. Det behövs även mer vägledning i att förstå begreppens innebörd rätt så att lämpliga skyddsåtgärder vidtas i samband med hantering av per- sonuppgifter. Region Skåne och Västra Götalands läns landsting ställer sig frågade till varför pseudonymisering och kodning skulle utgöra två olika typer av åtgärder och befarar att detta kommer leda till att förvirring på området kvarstår.

Statens medicinsk-etiska råd (Smer) ifrågasätter undantagsformule- ringen i bestämmelsen som föreslås införas i forskningsdatalagen, i vilken det anges att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål - ”förutsatt att ändamålet kan uppnås på sådant vis.” Det behövs ett förtydligande av denna bestämmelse. Formuleringen är för bred och för otydlig.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att for- muleringen”…ska vara pseudonymiserade…” är en olämplig förstärkning av dataskyddsförordningens motsvarande formulering ”… får inbegripa pseudonymisering…”. Karolinska institutet anser att förslaget ska revide- ras, genom att ”ska” ändras till ”får”, eller att bestämmelsen helt kan utgå och påpekar att regleringen i artikel 89 i dataskyddsförordningen, där pseudonymisering nämns som en möjlig skyddsåtgärd bland andra, utgör en tillräcklig skyddsåtgärd. Uppsala universitet anser att det finns anled- ning att ifrågasätta om inte kravet på pseudonymisering har fått en alltför långtgående utformning. Cancerfonden vill uppmärksamma att pseudony- misering är en skyddsåtgärd bland flera, och föreslår att det förtydligas genom att ordet bör används istället för ska, dvs. ”…personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål…”. Kungl. Vitterhetsakademien anser att frågan bör ställas om inte en mindre långtgående anonymisering av personuppgif- terna vore en bättre avvägning mellan forskningens behov och den enskil- des integritet.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Kalmar läns landsting anser att det är viktigt att upprätthålla integritetsskyddet i sam- band med forskning, inte minst för dem som deltar i forskningsprojekt, och

Prop. 2017/18:298

Prop. 2017/18:298 ställer sig positiv till utredningens förslag om att införa en bestämmelse om att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset.

Skälen för regeringens bedömning

Det framgår av dataskyddsförordningen att pseudonymisering ofta är en lämplig skyddsåtgärd

Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som exempel på lämplig skyddsåtgärd. Artikel 89.1 lyfter särskilt fram pseudo- nymisering i samband med personuppgiftsbehandling för forskningsända- mål. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter läm- nas ut från registren i kodad form. Artikel 89.1 anger vidare att skyddsåt- gärderna får inbegripa pseudonymisering under förutsättning att forsk- ningsändamålet kan uppfyllas på det sättet. Annars bör alltså andra lämp- liga skyddsåtgärder vidtas för att uppnå motsvarande skydd. Denna for- mulering öppnar för att det inte i alla situationer är möjligt att pseudony- misera om ändamålet med forskningen ska kunna uppfyllas och att det då måste finnas möjlighet att tillämpa andra lämpliga skyddsåtgärder för att uppnå förordningens krav på skydd för varje enskild personuppgiftsbe- handling. Det framgår således direkt av förordningen att i de fall pseudo- nymisering, enligt definitionen i förordningen, inte är den lämpligaste skyddsåtgärden så ska personuppgifterna omfattas av andra lämpliga skyddsåtgärder för att uppnå dataskyddsförordningens krav.

Det bör finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig skyddsåtgärd

Den legaldefinition av pseudonymisering som finns i dataskyddsförord- ningen är strikt och ställer framför allt krav på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt. Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forsk- ningsändamålet. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd.

Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras eller behandlas i själva forsk- ningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig åtgärd, om forskningsändamålet annars inte kan uppnås. Av dataskyddsförordningen framgår också att tillämpningen av pseudonymi-

sering kan minska riskerna för de registrerade och hjälpa personuppgifts- ansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förord- ningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).

Det är i första hand den personuppgiftsansvarige som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller liknande skyddsåtgärder tillämpas. I samband med personuppgiftsbehandling för forskningsändamål som etikprövas kan etikprövningsnämnder meddela villkor, bland annat om pseudonymisering. Det är dock alltid den som be- handlar personuppgifterna, dvs. den personuppgiftsansvarige eller person- uppgiftsbiträdet, som ytterst ansvarar för att varje enskild personuppgifts- behandling omfattas av lämpliga skyddsåtgärder i enlighet med data- skyddsförordningens krav.

Krav på pseudonymisering eller ett likvärdigt skydd bör inte föreskrivas som skyddsåtgärd i svensk rätt

Att pseudonymisering är en central skyddsåtgärd vid behandling av per- sonuppgifter för forskningsändamål framgår direkt av dataskyddsförord- ningen. Att i enlighet med utredningens förslag föreskriva ett ska-krav i svensk lagstiftning, med motsvarande undantagsmöjligheter som i princip redan framgår av förordningen, är enligt ett flertal remissinstanser alltför långtgående. Bland annat Forte, Karolinska institutet, Uppsala universitet, Cancerfonden och Kungl. Vitterhetsakademien framför att dataskyddsför- ordningen utgör tillräcklig reglering i sammanhanget. Regeringen instäm- mer i denna bedömning och anser att det redan framgår av förordningen att psedonymisering bör användas när det är lämpligt och möjligt i relation till forskningsändamålet och i annat fall bör andra lämpliga skyddsåtgärder komma ifråga för att uppnå motsvarande skyddsnivå. Det är således rege- ringens uppfattning, till skillnad från Kalmar läns landsting, att utredning- ens förslag inte bör genomföras i denna del.

Det finns sekretesskydd även för kodnyckel i vissa fall

Institutet för språk och folkminnen framför att pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inte ger något fullgott skydd för individen därför att även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir allmänna hand- lingar. Regeringen vill i detta sammanhang framhålla att det enligt vissa bestämmelser i 24 kap. offentlighets- och sekretesslagen (2009:400, OSL) gäller sekretess till skydd för enskilda i viss forskning. Enligt 18 kap. 9 § OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med me- toden motverkas om uppgiften röjs och metoden har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att före- skriven sekretess åsidosätts. Om det gäller sekretess för uppgifter om enskilda i ett forskningsprojekt där pseudonymisering används kan således också kodnyckeln skyddas. I de fall uppgifterna i forskningsprojektet inte omfattas av sekretess omfattas inte heller kodnyckeln av sekretess. Det hindrar inte att användning av pseudonymisering och andra skyddsåtgär- der ger ett integritetsskydd även om det inte kan upprätthållas om någon

Prop. 2017/18:298

Prop. 2017/18:298 väljer att låta sin begäran om utfående av allmänna handlingar även om- fatta kodnyckeln. Nämnas kan också att enligt 21 kap. 7 § OSL gällde ti- digare sekretess för personuppgift om det kunde antas att ett utlämnande skulle medföra att uppgiften behandlades i strid med PUL. I och med att PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen gäller numera enligt 21 kap. 7 § OSL sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförord- ningen eller dataskyddslagen. Regeringen återkommer i avsnitt 15.2 med förslag till ytterligare komplettering av 21 kap. 7 § OSL.

9.5Det följer direkt av dataskyddsförordningen att den registrerade kan invända mot behandling

Regeringens bedömning: En skyddsåtgärd som innebär att personupp- gifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen föreslår en bestämmelse i forskningsdatalagen som anger att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forsk- ningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbe- handling ändå få utföras.

Remissinstanserna: En större del av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal lands- ting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Vinnova, Kungl. Vetenskapsaka- demien och Cancerfonden tillstyrker utredningens förslag.

Uppsala universitet tillstyrker förslaget i sak men anser att den negativt formulerade ordalydelsen gör regeln otydlig. Sveriges lantbruksuniversitet (SLU) anser att lagtexten är otydligt utformad. I första stycket anges att personuppgifter inte får behandlas om den enskilde motsätter sig det. I andra stycket sägs det att det går bra ändå. För en lekman framstår lagtex- ten enligt universitetet som tvetydig. Kungl. Vetenskapsakademien anser att förslaget innebär en dämpande skrivning jämfört med utredningens fö- reslagna undantag från de registrerades rättigheter beträffande rätten att återta eller ändra information och önskar ett förtydligande. Statens medi- cinsk-etiska råd (Smer) anser att formuleringarna som rör undantag för den enskildes möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål bör förtydligas.

Datainspektionen avstyrker utredningens förslag då det inte står klart huruvida denna bestämmelse påverkar de registrerades rättigheter enligt kapitel III i dataskyddsförordningen.

Malmö högskola anser att den begränsning av den registrerades rättig- Prop. 2017/18:298 heter att invända mot behandling som föreslås står i strid med dennes rät-

tigheter att invända mot behandling enligt förordningen. Den föreslagna skrivningen innebär, enligt Malmö högskola, sannolikt en kraftig försäm- ring av den registrerades rättigheter i förhållande till dataskyddsförord- ningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Sveriges Kommuner och Landsting (SKL) noterar att rätten att göra invändningar har en tydlig koppling till vilken rättslig grund som används vid forskningen; samtycke, allmänt intresse eller intresseavvägning. Om det gäller artikel 21.6 torde detta innebära, att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.

Karolinska institutet anser att regeringens bedömning innebär en onö- dig försvagning av den registrerades rätt till att motsätta sig behandling för forskningsändamål jämfört med Forskningsdatautredningens förslag. Institutet framhåller att rätten att motsätta sig deltagande i forskning til- lämpas i praktiken så gott som alltid inom forskningen och anser att denna praxis bör införlivas i svensk rätt, t.ex. genom en lagstiftningsåtgärd enligt artikel 23.1(i) som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 21.6, eller genom ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes person- uppgifter behandlas för forskningsändamål. Detta skulle enligt institutet förstärka integritetsskyddet för den enskilde i förhållande till det skydd som ges i dataskyddsförordningen och även stärka förtroendet för forsk- ningen.

Stockholms universitet anser att då frågan är omdebatterad skulle det vara en stor fördel om den svenska lagstiftningen på området kunde för- medla en klar och entydig grund för att tillåta ett opt-out förfarande. Även om det saknas lagtekniska skäl för en sådan reglering skulle den kunna bidra till ökad tydlighet och därmed underlätta för dem som har att tillämpa regleringen. Stockholms universitet vill i detta sammanhang framhålla att oklarheter i regleringen av förutsättningarna att bedriva forskning kan leda till att forskare av försiktighetsskäl avstår från att utföra sådan forskning som hade varit lagligt möjlig, vilket i sin tur riskerar att få en hämmande effekt på svensk forskning. I förlängningen kan detta leda till sämre förut- sättningar för Sverige att hävda sig internationellt, exempelvis med avse- ende på forsknings- och innovationssamarbeten och rekrytering av fram- stående forskare.

Prop. 2017/18:298

Skälen för regeringens bedömning

Hur förhåller sig den föreslagna skyddsåtgärden till rätten att invända mot behandling?

Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende ho- nom eller henne som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fast- ställande, utövande eller försvar av rättsliga anspråk (artikel 21.1). Senast vid den första kommunikationen med den registrerade ska bl.a. denna rätt uttryckligen meddelas den registrerade och redovisas tydligt, klart och åt- skilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i en- lighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot be- handling av personuppgifter avseende honom eller henne om inte behand- lingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Enligt artikel 89.1 ska behandling för bl.a. vetenskapliga eller historiska forskningsändamål omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåt- gärderna ska säkerställa att tekniska och organisatoriska åtgärder har in- förts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyl- las genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Utredningen föreslår en skyddsåtgärd som innebär att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjlig- heten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras. En- ligt utredningen ska denna skyddsåtgärd i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Denna skyddsåtgärd ska dock inte vara tillämplig om den rättsliga grunden är samtycke, då det finns möjlighet i dataskyddsförordningen att dra tillbaka sitt samtycke (artikel 7). I det remitterade utkastet till lagråds- remiss görs bedömningen att förslaget inte bör genomföras. Karolinska institutet och Stockholms universitet framhåller i sina remissvar över ut- kastet att rätten att invända mot behandling enligt artikel 21 skiljer sig åt beroende på rättslig grund för behandling. Karolinska institutet och Stock- holms universitet förordar en i nationell rätt fastställd möjlighet att mot- sätta sig behandling.

Som framgår av avsnitt 7 är det främst tre rättsliga grunder som är rele- vanta vid forskning: samtycke, uppgift av allmänt intresse eller intresse- avvägning. Artikel 21.6 innebär att om den registrerade invänder mot be- handling av dennes personuppgifter för forskningsändamål måste den per- sonuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att ut- föra en uppgift av allmänt intresse har den registrerade inte rätt att invända. Om forskningen däremot baseras på den rättsliga grunden intresseavväg- ning blir artikel 21.1 tillämplig. Om den registrerade av skäl som hänför sig till hans eller hennes specifika situation gör invändningar mot att per- sonuppgifter avseende honom eller henne behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Som nämnts ovan var syftet med den föreslagna skyddsåtgärden enligt utredningen att i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Artikel 21 omfattar enligt regeringens bedömning de rättsliga grunder som personuppgiftsbehand- ling för forskningsändamål i praktiken främst kommer att grundas på, för- utom samtycke som enligt artikel 7.2 alltid kan återkallas. Det har vidare på senare tid tydliggjorts att EU-kommissionen anser att behandling av personuppgifter vid kliniska läkemedelsprövningar i vissa delar kommer att ske med stöd av den rättsliga grunden rättslig förpliktelse (se vidare avsnitt 10.4). Vid sådan behandling gäller inte rätten att invända enligt ar- tikel 21 i dataskyddsförordningen. Regeringen anser således, till skillnad från Karolinska institutet, Stockholms universitet och SKL, att en sådan skyddsåtgärd inte bör fastställas i lag, utan att de möjligheter att invända mot behandling som framgår av dataskyddsförordningen är tillräckliga för såväl integritetsskyddet som förtroendet för forskningen. Karolinska insti- tutet föreslår vidare ett förtydligande i etikprövningslagen om att Etikpröv- ningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsända- mål. Enligt 6 § etikprövningslagen får ett godkännande förenas med vill- kor. Det framgår inte närmare av lagen vilka slags villkor som får förenas med ett etikgodkännande. Det är regeringens uppfattning att detta inte hel- ler bör regleras i lag på sådan detaljnivå, utan att det bör vara upp till etik- prövningsnämnderna att bedöma i samband med etikprövningen.

Medlemsstaterna har enligt artikel 89.2 rätt att i nationell rätt föreskriva undantag från de rättigheter som avses i bl.a. artikel 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1, i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. Frågan om det finns något behov av att begränsa rättigheten enligt artikel 21 behandlas i avsnitt 13.6.2.

Prop. 2017/18:298

9.6All personuppgiftsbehandling för forsknings- ändamål ska inte etikprövas

9.6.1Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser

Som regeringen återkommer till i avsnitt 10 innehåller dataskyddsförord- ningen, i likhet med det upphävda dataskyddsdirektivet, ett principiellt för- bud mot behandling av särskilda kategorier av uppgifter samt flera undan- tag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personupp- gifter för de uppgifter som omfattas av denna särskilda reglering (13 §). Dessa var enligt dataskyddsdirektivet och PUL personuppgifter som av- slöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller upp- gifter om en fysisk persons sexualliv eller sexuella läggning. I 3 kap. 1 § dataskyddslagen används benämningen känsliga personuppgifter för nu aktuella kategorier av uppgifter.

Som regeringen återkommer till i avsnitt 11 finns det vidare i artikel 10 i dataskyddsförordningen en särskild reglering för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. En motsvarande special- reglering för sådana uppgifter fanns i dataskyddsdirektivet och PUL.

Enligt PUL fick känsliga personuppgifter behandlas för forskningsända- mål om behandlingen godkänts enligt etikprövningslagen (19 § första stycket PUL). Uppgifter om lagöverträdelser fick behandlas för forsk- ningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen (21 § andra stycket PUL). Enligt 3 § etikpröv- ningslagen är den lagen tillämplig bl.a. när forskning som ska utföras i Sverige innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser enligt 21 § PUL. Sådan forsk- ning får enbart utföras om den har godkänts vid en etikprövning (6 § etik- prövningslagen).

Etikprövning utgör således i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöver- trädelser för forskningsändamål. Utgångspunkterna för vad som ska beak- tas vid etikprövningen framgår av 7–11 §§ etikprövningslagen. Där anges att

1.forskning bara får godkännas om den kan utföras med respekt för män- niskovärdet,

2.mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3.människors välfärd ska ges företräde framför samhällets och vetenska- pens behov,

4.forskning bara får godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

5.forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6.behandling av känsliga personuppgifter och personuppgifter om lag- överträdelser bara får godkännas om den är nödvändig för att forsk- ningen skall kunna utföras,

7.forskning får godkännas bara om den ska utföras av eller under över- inseende av en forskare som har den vetenskapliga kompetens som be-

hövs.

Ett beslut om etikgodkännande kan förenas med villkor. Detta används i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås.

Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkän- nande inte medför att forskningen får utföras om den strider mot någon annan författning.

Dataskyddsförordningen ställer krav på lämpliga och särskilda skyddsåt- gärder

Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Vid personuppgiftsbehandling för forskningsändamål anges krav på skyddsåtgärder i flera artiklar i förordningen.

All personuppgiftsbehandling för forskningsändamål måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1). Det finns dock inget hinder i förordningen mot att nationellt reglera skyddsåtgärder med stöd av artikel 89.1.

Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).

Behandling av personuppgifter om lagöverträdelser för forskningsända- mål som utförs av andra än myndigheter får utföras när behandling är til- låten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Dataskyddsförordningens krav har stora likheter med de krav som det upphävda dataskyddsdirektivet ställde. Dataskyddsdirektivet krävde lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser. Regeringen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsför- ordningen skulle innebära någon skillnad i sak jämfört med begreppet spe- cifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”sui- table and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet angav kravet på ”suitable specific safe- guards”. Det engelska begreppet specific har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförord- ningen och dataskyddsdirektivet.

Prop. 2017/18:298

Prop. 2017/18:298 Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskydds- förordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläg- gande rättigheter och intressen. I artikel 10 anges att kravet på lämpliga skyddsåtgärder syftar till att skydda de registrerades rättigheter och fri- heter vid personuppgiftsbehandling av uppgifter om lagöverträdelser. Någon motsvarande formulering av syftet med skyddsåtgärderna fanns inte i dataskyddsdirektivet, som dock hade som övergripande syfte att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (artikel 1). Det framgår av 7 och 8 §§ etikprövningslagen att forskning bara får godkännas om den kan utföras med respekt för människovärdet och att mänskliga rät- tigheter och grundläggande friheter alltid ska beaktas vid etikprövningen.

Ansvaret för att varje enskild personuppgiftsbehandling uppfyller data- skyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar alltid den personuppgiftsansvarige. I avsnitt 9.1 finns utförligare beskriv- ningar av dataskyddsförordningens krav på skyddsåtgärder generellt.

	9.6.2	Tillämpningsområdet för kravet på etikprövning
		bör inte utvidgas

	Regeringens bedömning: Tillämpningsområdet för etikprövnings-
	lagen bör inte utvidgas till att omfatta all behandling av personuppgifter
	för forskningsändamål.

	Utredningens bedömning överensstämmer med regeringens bedöm-
	ning.
	Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyr-
	ker eller har inga invändningar mot bedömningen. Av dem som uttryckli-
	gen tillstyrker återfinns Västra Götalands läns landsting, Vetenskapsrådet,
	Regionala etikprövningsnämnden i Göteborg, Regionala etikprövnings-
	nämnden i Lund, Institutet för arbetsmarknads- och utbildningspolitisk
	utvärdering (IFAU), Örebro universitet och Luleå tekniska universitet.
	Karlstads universitet anser att en utvidgning av etikprövningen till att om-
	fatta all personuppgiftsbehandling för forskningsändamål knappast är en
	praktisk genomförbar lösning och att de föreslagna generella skyddsåtgär-
	derna att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt
	sätt förefaller vara en mer proportionerlig åtgärd. Vinnova ställer sig
	bakom utredningens bedömning och anser att nuvarande reglering av vil-
	ken forskning som ska etikprövas överensstämmer väl med dataskydds-
	förordningens krav på lämplig och särskild skyddsåtgärd för personupp-
	giftsbehandling av känsliga personuppgifter. En utvidgning av etikpröv-
	ningslagens tillämpningsområde skulle enligt Vinnova kunna innebära
	minskade möjligheter för forskare att initiera och genomföra insamlingar
	och studier till följd av att krav om etikprövning föreligger oavsett vilken
	typ av personuppgiftsbehandling som ska genomföras.
	Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
	ringens bedömning.
	Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyr-
80	ker eller har inga invändningar mot bedömningen. Detta gäller bland annat

Regionala etikprövningsnämnden i Lund som delar denna bedömning. Prop. 2017/18:298 Luleå kommun anser att utöver de skäl som framförs av regeringen bör

beaktas att ett utvidgande av tillämpningsområdet till att omfatta alla per- sonuppgifter skulle medföra negativa konsekvenser för möjligheterna att bedriva forskning till följd av betydligt ökade byråkratiska krav. Därtill skulle möjligheterna att bedriva forskning som grundas på vad som får anses vara harmlös information försvåras och innebära en onödig arbetsin- sats för den blivande Etikprövningsmyndigheten.

Skälen för regeringens bedömning

Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgär- der för all behandling av personuppgifter för forskningsändamål och det faktum att etikprövning är en i dagsläget fastställd skyddsåtgärd för käns- liga personuppgifter och personuppgifter om lagöverträdelser finns det an- ledning att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.

Att bedöma vilket tillämpningsområde etikprövningslagen bör ha hand- lar ytterst om att hitta en balans mellan etiska principer och andra värden som bör vägas in. En uttrycklig avgränsning av etikprövningens tillämp- ningsområde skapar tydlighet för forskare bl.a. vid planering av forsk- ningsprojekt. Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är minst lika viktig för allmänhetens förtroende för systemet. Kravet på etik- prövning kan också anses vara en begränsning av forskningens frihet, fors- karens möjlighet att fritt använda sig av personuppgifter i forskningen, vil- ket kräver proportionalitet i avgränsningen av tillämpningsområdet.

Definitionen av personuppgift är vidsträckt

En personuppgift är enligt definitionen i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Alla uppgifter som enskilt eller tillsammans med andra upp- gifter kan knytas till en levande person omfattas.

Om etikprövningslagens tillämpningsområde utvidgas till att omfatta all behandling för personuppgiftsändamål skulle kravet på etikprövning om- fatta varje slags behandling för forskningsändamål även av indirekta per- sonuppgifter utan någon sannolik integritetsmässig risk. Att kräva en så omfattande skyddsåtgärd, som etikprövning innebär, för behandling av alla slags personuppgifter är enligt regeringens uppfattning inte propor- tionerligt sett i relation till skyddsintresset. Konsekvenserna för såväl fors- kningsutförarna som för etikprövningsorganisationen skulle också bli omotiverat omfattande, med ökad arbetsbörda och ökade resursbehov.

Befintliga kategoriseringar utgör en lämplig avgränsning av vilka personuppgifter som ska etikprövas

Behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser har i tidigare lagstiftningssamman- hang bedömts inte vara av särskilt integritetskänslig karaktär. Det bör dock i sammanhanget framhållas att en sådan uppfattning i viss mån kan vara subjektiv, vad någon uppfattar som integritetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och

Prop. 2017/18:298

en för sig är av mindre integritetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av per- sonuppgift som framgår av såväl den upphävda PUL som EU:s data- skyddsförordning kan alla olika slags personuppgifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritets- mässig risk att behandla. Det är regeringens uppfattning att PUL:s katego- riseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser alltjämt är rimliga och lämpliga avgränsningar för vad som generellt kan karaktärisera sådana integritetskänsliga personuppgifter som kräver ett ökat skydd. Denna bedömning gäller förstås med de juste- ringar av dessa begrepp som EU:s dataskyddsförordningen innebär (se vi- dare avsnitt 10 och 11).

Tillämpningsområdet ska vara tydligt, precist och förutsägbart

Det är viktigt att en avgränsning är så lätt att tillämpa som möjligt och samtidigt uppfyller grundläggande krav på rättssäkerhet, inbegripande förutsägbarhet. Metoden att räkna upp de situationer som ska etikprövas får anses uppfylla detta syfte. De situationer som inte räknas upp ska såle- des inte etikprövas. Denna avgränsning är, enligt regeringens uppfattning, såväl tydlig och precis som förutsägbar och proportionerlig i enlighet med dataskyddsförordningens krav. I dagsläget finns dessutom i förordningen (2003:615) om etikprövning av forskning som avser människor ett förfa- rande med rådgivande yttrande för ärenden där forskningen inte omfattas av etikprövningslagens tillämpningsområde (4 a §).

Andra skyddsåtgärder bör komma ifråga när personuppgiftsbehandling för forskningsändamål sker i andra fall

Etikprövningens syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Vid personuppgiftsbehandling handlar detta främst om att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns det i princip ingen risk för sådan skada bör inte heller någon etikprövning behöva ske. Regeringens samlade bedöm- ning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med skyddsåtgärden och dessutom riskera att urholka förtroendet för etikprövningssystemet. För att uppnå ett lämpligt skydd i enlighet med dataskyddsförordningens krav för personuppgiftsbehandling för forsk- ningsändamål som inte omfattar känsliga personuppgifter eller personupp- gifter om lagöverträdelser bör således andra skyddsåtgärder komma ifråga. Regeringen instämmer således med Karlstads universitet som anser att ett utvidgande av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktiskt genomförbar lösning och att skyddsåtgärder som innebär att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åt- gärd. Som framgår av avsnitt 9.4 anser regeringen att det framgår direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt.

Regeringens sammantagna bedömning är således att etikprövningsla- gens tillämpningsområde inte bör utvidgas till att omfatta all personupp- giftsbehandling för forskningsändamål.

10 Det behövs kompletterande nationella Prop. 2017/18:298 bestämmelser för behandling av känsliga personuppgifter

10.1Förbudet mot behandling av känsliga person- uppgifter utvidgas

Dataskyddsförordningen innehåller, i likhet med dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen käns- liga personuppgifter för de uppgifter som omfattas av denna särskilda reglering. Dessa var enligt dataskyddsdirektivet och 13 § PUL personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt dataskyddsförordningen omfattar de särskilda kategorierna av uppgifter även genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Särskilda kategorier av personuppgifter benämns känsliga personuppgif- ter i dataskyddslagen

I såväl dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter, utan att detta närmare har kommenterats i förarbetena. I dataskyddslagen används begreppet känsliga person- uppgifter som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i data- skyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75).

10.2Dataskyddsförordningen möjliggör behandling av känsliga personuppgifter för forsknings- ändamål

Dataskyddsförordningens förbud mot att behandla känsliga personuppgif-
ter kompletteras, liksom i direktivet, av en rad undantag som möjliggör
sådan behandling i vissa fall. Förbudet i sig, liksom undantagen, är direkt
tillämpliga genom förordningen och kräver alltså inga åtgärder av med-
lemsstaterna. Vissa av undantagen innehåller dock hänvisningar till natio-
nell rätt som kan innebära att lagstiftningsåtgärder bör vidtas för att dessa
undantag ska vara tillämpliga (artikel 9.2).	83
	83

Prop. 2017/18:298 Av förordningen framgår att känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen för ett eller flera specifika ändamål, utom då unionsrätten eller medlemssta- ternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade (artikel 9.2 a).

I artikel 9.2 j finns ett uttryckligt undantag från förbudet mot behandling av känsliga personuppgifter, som anger att förbudet inte gäller om behand- lingen är nödvändig för bl.a. forskningsändamål i enlighet med arti- kel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestäm- melser om lämpliga och särskilda åtgärder för att säkerställa den registre- rades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakt- tas.

Dataskyddsförordningen ger därmed en explicit möjlighet till behand- ling av känsliga personuppgifter för forskningsändamål. Som nämnts fanns inte något sådant explicit undantag för behandling av personuppgif- ter för forskningsändamål i dataskyddsdirektivet. Enligt dataskyddsdirek- tivet var det emellertid möjligt för medlemsstaterna att under förutsättning av lämpliga skyddsåtgärder besluta om undantag från förbudet att be- handla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse (artikel 8.4). I PUL fanns undantag för behandling av känsliga personuppgifter för forskningsändamål i 19 §, som angav att känsliga personuppgifter fick behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen.

10.3Etikprövning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs för behandling av känsliga personuppgifter för andra forskningsända- mål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det ska regleras i en forskningsdatalag att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikpröv- ningslagen. Utredningen föreslår även en kompletterande bestämmelse i andra stycket i den föreslagna paragrafen som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forsknings- ändamål framgår av etikprövningslagen.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal lands- ting, däribland i Uppsala län, Södermanlands län, Skåne län, Västra Göta- lands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län ser positivt på förslaget. Arbetsgivarverket anser att det är av godo att upprätthålla ett starkt nationellt skydd för känsliga per- sonuppgifter genom den föreslagna bestämmelsen. Vinnova, Cancerfon- den och Nationellt biobanksråd framhåller att de stödjer förslaget. Kungl. Vetenskapsakademien påpekar att det är rimligt och bra att alla personupp- gifter inom den utökade definitionen av känsliga personuppgifter ska få behandlas när det är nödvändigt för forskningsändamålet och efter etik- prövning.

Statens medicinsk-etiska råd (Smer) tillstyrker utredningens förslag att kravet på etikprövning enligt etikprövningslagen ska kvarstå för tillåtelse för behandling av känsliga personuppgifter när denna behandling är nöd- vändig för att uppnå forskningsändamålet. Smer ifrågasätter dock om det är ett tillräckligt krav för tillåtelse ”när denna är nödvändig för att uppnå forskningsändamålet”.

Vetenskapsrådet förordar att begreppet ”särskilda kategorier av person- uppgifter” används istället för begreppet ”känsliga personuppgifter”. Göteborgs universitet anser att utredningen föreslår ett avsteg från data- skyddsförordningens vokabulär utan att ange någon egentlig förklaring till detta förslag. Mittuniversitetet anser att begreppet ”känsliga personuppgif- ter” bör strykas ur lagstiftningen. Att använda dataskyddsförordningens terminologi ”särskilda kategorier av personuppgifter” tydliggör att det inte är upp till forskaren att bestämma vilka uppgifter det är fråga om, samt underlättar ett av dataskyddsförordningens huvudsyften, nämligen den fria rörligheten av personuppgifter inom EU.

Datainspektionen avstyrker utredningens förslag till upplysningsbe- stämmelse då den är otydlig på så sätt att bestämmelsen i sig eller de vill- kor som framgår av etikprövningsnämnders beslut kan komma att uppfat- tas som den rättsliga regleringen av behandling av känsliga personuppgif- ter, trots att dataskyddsförordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekans- lern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etik- prövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göte- borgs universitet, Karlstads universitet, Malmö universitet, Örebro uni- versitet, Jönköping University, Brottsförebyggande rådet, Försvarsmak- ten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndig- heten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgi- varverket, Kungl. Biblioteket och Riksarkivet.

Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövnings- nämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling. Utöver detta finns det, för närvarande,

Prop. 2017/18:298

Prop. 2017/18:298 situationer där etikprövningslagens tillämpningsområde inte överensstäm- mer med dataskyddsförordningen. Ett exempel på detta är när personupp- giftsansvariga som bedriver forskning som omfattar känsliga personupp- gifter är etablerade i Sverige, men bedriver forskning utomlands. Den per- sonuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Data- inspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för

	de registrerades del.
	Skälen för regeringens bedömning
	Undantag från förbudet att behandla känsliga personuppgifter kräver att
	nationell rätt innehåller bestämmelser om skyddsåtgärder
	Som nämnts ska enligt artikel 9.2 j i dataskyddsförordningen förbudet mot
	behandling av känsliga personuppgifter inte tillämpas om behandlingen är
	nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål i en-
	lighet med artikel 89.1, på grundval av unionsrätten eller medlemsstater-
	nas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet,
	vara förenlig med det väsentliga innehållet i rätten till dataskydd och inne-
	hålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa
	den registrerades grundläggande rättigheter och intressen.
	I skäl 10 anges att dataskyddsförordningen är avsedd att ge medlemssta-
	terna handlingsutrymme att specificera bestämmelser för behandlingen av
	känsliga uppgifter samt att förordningen inte utesluter att det fastställs när-
	mare omständigheter och mer exakta villkor för laglig behandling av per-
	sonuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla
	känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i
	medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder
	för att skydda personuppgifter och övriga grundläggande rättigheter, när
	allmänintresset motiverar detta, samt att sådant undantag får göras för bl.a.
	vetenskapliga eller historiska forskningsändamål. I sammanhanget bör
	även skrivningarna i skäl 8 beaktas, där det anges att om dataskydds-
	förordningen föreskriver förtydliganden eller begränsningar av dess
	bestämmelser genom medlemsstaternas nationella rätt, kan medlemssta-
	terna, i den utsträckning det är nödvändigt för samstämmigheten och för
	att göra de nationella bestämmelserna begripliga för de personer som de
	tillämpas på, införliva delar av denna förordning i nationell rätt.
	I propositionen Ny dataskyddslag konstaterar regeringen att det inte är
	helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten
	och den nationella rätten, som finns i flera av de punkter i artikel 9.2 som
	innehåller undantag från förbudet att behandla känsliga personuppgifter,
	har eller vilken betydelse det har att de utformats på olika sätt. Regeringen
	gör där bedömningen att undantaget i sig inte måste genomföras i nationell
	rätt för att vara tillämpligt, men att det är uppenbart att det vid behandling
	av känsliga personuppgifter för bl.a. forskningsändamål krävs ett stöd i
	svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt ar-
	tikel 9.2 j går utöver de krav som ställs på rättslig grund enligt artikel 6 i
	dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska
86	få behandla känsliga personuppgifter är således högre än den som gäller

för behandling av andra personuppgifter i samma situation. I artikel 9.2 j tillkommer ett krav på att gällande rätt innehåller bestämmelser om lämp- liga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande intressen. Någon bestämmelse direkt motsvarande artikel 9.2 j fanns som nämnts inte i det upphävda dataskyddsdirektivet. Undantaget i PUL

(19 §) var dock baserat på artikel 8.4 i direktivet som innehöll ett mot- svarande krav på lämpliga skyddsåtgärder. Kravet på skyddsåtgärder överensstämmer på så vis med vad som gällt enligt dataskyddsdirektivet och innebär således inte någon ny begränsning av möjligheten att behandla känsliga personuppgifter för forskningsändamål. Vidare är innebörden av kravet på att behandlingen ska vara nödvändig enligt regeringens bedömning densamma i artikel 9 som i artikel 6.

Etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läke- medelsprövningar

Som nämnts i avsnitt 10.2 fick enligt den upphävda PUL känsliga person- uppgifter behandlas för forskningsändamål om behandlingen hade god- känts enligt etikprövningslagen (19 §).

Enligt etikprövningslagen får forskning bara godkännas om den kan ut- föras med respekt för människovärdet. Mänskliga rättigheter och grund- läggande friheter ska alltid beaktas vid etikprövningen samtidigt som hän- syn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre ris- ker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöver- trädelser får bara godkännas om den är nödvändig för att forskningen skall kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7–11 §§ etikprövningslagen). Den riskbedömning som etik- prövningsnämnderna gör av personuppgiftsbehandling för forskningsän- damål har sedan tidigare bedömts förenlig med kraven i dataskyddsdirek- tivet.

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisato- riska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhål- lande till risken, med beaktande av den senaste utvecklingen, genomföran- dekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska per- soners rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32). Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs om be- handlingen inbegriper en risk eller en hög risk (skäl 76).

En etikprövning enligt etikprövningslagen uppfyller enligt regeringens uppfattning dataskyddsförordningens krav på en objektiv bedömning av

Prop. 2017/18:298

Prop. 2017/18:298 de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter. Regeringen bedömer således att etikprövning är en sådan i nationell rätt fastställd lämplig och särskild åt- gärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig be- handling av känsliga personuppgifter för forskningsändamål. Som rege- ringen återkommer till i avsnitt 10.4 finns för sådan forskning som består i klinisk läkemedelsprövning särskilda bestämmelser i form av EU:s för- ordning nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Denna EU-förordning har dock inte börjat tillämpas och det är i dagsläget inte bestämt när så ska ske. Det blir dock sannolikt inte tidigare än hösten 2019. Eftersom det i EU-förord- ningen anges att kliniska läkemedelsprövningar ska genomgå etisk gransk- ning och godkännas enligt förordningen har regeringen i propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) föreslagit att forskning som består i klinisk läkemedelsprövning inte ska etikprövas en- ligt etikprövningslagen. Sådan forskning ska i stället genomgå etisk granskning enligt ett förslag till ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Riksdagen har antagit regeringens förslag (bet. 2017/18:UbU26, rskr. 2017/18:332). Bestämmelserna har emellertid inte trätt i kraft eftersom EU-förordningen inte börjat tillämpas ännu utan be- stämmelserna ska träda i kraft den dag regeringen bestämmer, dvs. när EU- förordningen börjar tillämpas. Vad som anförs nedan om behandling av känsliga personuppgifter för forskningsändamål avser således, när EU- förordningen om kliniska läkemedelsprövningar har börjat tillämpas och de föreslagna kompletterande bestämmelserna trätt i kraft, behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läke- medelsprövningar.

Behandling av känsliga personuppgifter för forskningsändamål med samtycke enligt artikel 9.2 a bör enligt utredningens bedömning omfattas av samma krav på etikprövning som all annan nödvändig behandling av känsliga personuppgifter för forskningsändamål, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf, som upplyser om att övriga krav på etikprövning av behandling av käns- liga personuppgifter för forskningsändamål framgår av etikprövningsla- gen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Av artikel 9.2 a i data- skyddsförordningen framgår att medlemsstaterna måste föreskriva i nationell rätt, om förbudet mot behandling av känsliga personuppgifter inte ska kunna upphävas av den registrerade. Enligt 3 § etikprövningslagen ska lagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden. Paragrafen innehöll tidigare en bestämmelse om att forsk- ning som innefattar behandling av de i paragrafen angivna personuppgif- terna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop.

2007/08:44). Ändringen innebär att sedan dess ska all forskning som inne- bär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Detta framgår uttryckligen av 6 § första stycket etikprövningslagen. Där anges att forsk- ning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etik- prövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Enligt regeringens uppfattning är därför bestämmelsen i etikprövningslagen en sådan reglering som avses i artikel 9.2 a sista ledet.

Innebörden av andra stycket i den bestämmelse utredningen föreslår, dvs. att all behandling av känsliga personuppgifter för forskningsändamål ska etikprövas oavsett vilken rättslig grund den baseras på och att sam- tycke således inte ersätter kravet på etikprövning, kommer enligt rege- ringens bedömning inte helt till uttryck i bestämmelsen. Bestämmelsen är av upplysande karaktär och hänvisar till etikprövningslagen. Mot bak- grund av att den angivna bestämmelsen i etikprövningslagen bedöms vara en sådan bestämmelse som avses i artikel 9.2 a finns det inte något behov av att ha ytterligare en bestämmelse med den innebörden. Regeringen an- ser därför att bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen inte bör införas.

När det gäller frågan om rättslig grund för behandling av personupp- gifterna anser regeringen, som framgår av avsnitt 7.2.2, att om ett forsk- ningsprojekt har godkänts enligt etikprövningslagen så har forskningen er- känts i svensk rättsordning på ett sådant sätt att utförande av forsknings- uppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Smer ifrågasätter om det ska vara en tillräcklig förutsättning för behand- ling av känsliga personuppgifter att en behandling är nödvändig för att uppnå forskningsändamålet. Utredningens förslag till bestämmelse är ut- formad i enlighet med kraven i artikel 9.2 j i dataskyddsförordningen, där det anges att undantag från förbudet gäller när behandlingen är nödvändig för bl.a. forskningsändamål. Som nämnts framgår det redan av etikpröv- ningslagen att behandling av personuppgifter som avses i 3 § får godkän- nas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket), varför det, vilket regeringen återkommer till nedan, kan ifrågasättas om det behövs ytterligare en bestämmelse i en forskningsda- talag om detta.

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering inne- bär att det i 2 § etikprövningslagen anges att med behandling av person- uppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forsk- ning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö- vanden enligt 21 § PUL. Sådan forskning får bara utföras om den har god- känts vid en etikprövning (6 § etikprövningslagen). Behandlingen av per- sonuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad rege- ringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 §

Prop. 2017/18:298

Prop. 2017/18:298 etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i arti- kel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § etikpröv- ningslagen till 13 § PUL ska ersättas med en hänvisning till motsvarande bestämmelse i dataskyddsförordningen. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för forsk- ningsändamål och om behandlingen har godkänts enligt etikprövningsla- gen, får då närmast karaktären av en upplysningsbestämmelse eftersom undantaget i artikel 9.2 j i sig inte behöver genomföras i svensk rätt för att vara tillämpligt och då redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j. Regeringen återkom- mer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

Flera remissinstanser har ifrågasatt att benämningen känsliga person- uppgifter fortsatt ska användas. I såväl dataskyddsförordningen som data- skyddsdirektivet benämns dessa personuppgifter som särskilda kategorier av personuppgifter (artikel 9). I jämförelse med vad som i PUL benämnts känsliga personuppgifter har det tillkommit tre kategorier (genetiska upp- gifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning). I dataskyddslagen används begreppet känsliga personuppgifter för samtliga dessa kategorier. För att det nationella regelverket ska vara enhetligt föreslås det därför att samma benämning ska användas även i etikprövningslagen.

Datainspektionen framhåller i sitt remissvar över det remitterade utkas- tet till lagrådsremiss att det finns situationer där etikprövningslagens til- lämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedri- ver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsar- betet bör omfatta en analys av huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del. Som regeringen konsta- terar i avsnitt 15.1 finns det inte något beredningsunderlag för att ändra etikprövningslagens tillämpningsområde i detta lagstiftningsärende. Den situation som Datainspektionen tar upp i sitt yttrande är inte heller ny, då även PUL hade ett delvis annat tillämpningsområde än etikprövnings- lagen. Det är dock möjligt enligt dataskyddsförordningen för den person- uppgiftsansvarige att behandla känsliga personuppgifter med stöd av samtycke när etikprövningslagens tillämpningsområde inte omfattar den aktuella behandlingen. Liksom för all personuppgiftsbehandling för forskningsändamål gäller också att det är den personuppgiftsansvariges ansvar enligt artikel 89.1 att behandlingen omfattas av lämpliga skyddsåtgärder i varje enskilt fall.

10.4Etisk granskning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter vid forskning inom ramen för kliniska läkemedels- prövningar

Regeringens bedömning: Etisk granskning enligt lagen med komplet- terande bestämmelser om etisk granskning till EU:s förordning om kli- niska prövningar av humanläkemedel är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs enligt EU:s dataskyddsförord- ning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning.

Utredningen lämnar inget förslag i denna del.

Utkastet till lagrådsremiss: Utkastet innehöll ingen bedömning, utan en redogörelse för förslagen till svensk kompletterande lagstiftning till EU-förordningen om kliniska läkemedelsprövningar i dels propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedels- prövningar (prop. 2017/18:196), dels propositionen Kompletterande be- stämmelser om etisk granskning till EU-förordningen om kliniska läkeme- delsprövningar (prop. 2017/18:193) samt en hänvisning till att det då på- gick en diskussion inom EU om olika dataskyddsfrågor relaterade till EU- förordningen om kliniska läkemedelsprövningar och dess förhållande till EU:s dataskyddsförordning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig har inga synpunkter. Läkemedelsverket anser att det i avsnittet bör för- tydligas om dataskyddsfrågorna som är relaterade till EU-förordningen om kliniska läkemedelsprövningar kommer att behandlas i en egen utredning eller om de båda EU-förordningarnas direkta effekt medför att det inte be- höver göras någon ytterligare utredning på nationell nivå. Karolinska in- stitutet anser att det är otillfredsställande att det fortfarande finns en otyd- lighet när det gäller vilka regler som ska gälla för personuppgiftsbehand- ling inom ramen för kliniska läkemedelsprövningar. Det skulle underlätta planeringen av verksamheten för berörda forskningsutförare att snarast möjligt få klarhet i vilka regelverk som blir tillämpliga för personuppgifts- behandling inom ramen för klinisk läkemedelsprövning. Läkemedelsindu- striföreningen ifrågasätter vad som menas med att för klinisk läkemedels- prövning avstår regeringen från att göra ”bedömningar i dessa frågor i denna lagrådsremiss”. Läkemedelsindustriföreningen anser att det krävs ett förtydligande om att tidigare regler kan fortsätta att gälla i avvaktan på att ett nytt regelverk är på plats.

Skälen för regeringens bedömning

De nuvarande svenska bestämmelserna om klinisk läkemedelsprövning baseras på ett EU-direktiv som ersätts av en EU-förordning

Forskning som består i klinisk läkemedelsprövning genomförs i form av undersökningar på friska eller sjuka människor för att studera effekten av ett eller flera läkemedel. Nuvarande bestämmelser om kliniska läkeme- delsprövningar finns i Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra

Prop. 2017/18:298

författningar rörande tillämpning av god klinisk sed vid kliniska pröv- ningar av humanläkemedel. Direktivet har genomförts i svensk rätt bland annat genom läkemedelslagen (2015:315) och etikprövningslagen (2003:460). För att få genomföra en klinisk läkemedelsprövning i Sverige krävs i dag både godkännande av en etikprövningsnämnd enligt etikpröv- ningslagen och tillstånd från Läkemedelsverket.

Europaparlamentet och rådet antog den 16 april 2014 förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphä- vande av direktiv 2001/20/EG, nedan kallad EU-förordningen om kliniska läkemedelsprövningar. Denna EU-förordning trädde i kraft den 16 juni 2014, men det har ännu inte beslutats när den ska börja tillämpas. Enligt artikel 99 ska den börja tillämpas sex månader efter det att kommissionen har meddelat i Europeiska unionens officiella tidning att den EU-portal och den EU-databas som regleras i EU-förordningen är fullt funktionsdug- liga. Det sker sannolikt inte tidigare än hösten 2019.

Anpassningar av svensk rätt till EU-förordningen om kliniska läkeme- delsprövningar

EU-förordningen om kliniska läkemedelsprövningar är bindande och di- rekt tillämplig i Sverige. Som ovan angetts är det dock inte klart när den ska börja tillämpas. Den 1 januari 2019 genomförs en organisationsför- ändring avseende den svenska etikprövningsorganisationen som innebär att de sex regionala etikprövningsnämnderna avvecklas och att etikpröv- ning av forskning som avser människor i stället ska hanteras av en ny myn- dighet, Etikprövningsmyndigheten. Syftet är att öka effektiviteten och skapa en mer enhetlig tillämpning av regelverket (prop. 2017/18:45, bet. 2017/18:UbU12, rskr. 2017/18:173). Den nya myndigheten kommer att vara på plats när EU-förordningen ska börja tillämpas. I propositionerna Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedels- prövningar (prop. 2017/18:196, bet. 2017/18:SoU29, rskr. 2017/18:417) och Kompletterande bestämmelser om etisk granskning till EU-förord- ningen om kliniska läkemedelsprövningar (prop. 2017/18:193, bet. 2017/18:UbU26, rskr. 2017/18:332) redogörs för de undantagsbestäm- melser och kompletterande bestämmelser som i övrigt har bedömts behö- vas i svensk rätt med anledning av EU-förordningen.

Etisk granskning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för forskningsändamål i forskning som består av klinisk läkemedelsprövning

Enligt EU-förordningen om kliniska läkemedelsprövningar ska ansök- ningar om sådana prövningar genomgå vetenskaplig och etisk granskning och godkännas i enlighet med EU-förordningen. Den etiska granskningen ska utföras av en etikkommitté i enlighet med nationell rätt i den berörda medlemsstaten. Enligt definitionen i artikel 2.2.11 är en etikkommitté ett oberoende organ i en medlemsstat vilket inrättats i enlighet med nationell rätt i den medlemsstaten och som har befogenhet att avge yttranden i sam- band med tillämpningen av EU-förordningen, med beaktande av syn- punkter från lekmän, i synnerhet patienter eller patientorganisationer. Varje berörd medlemsstat ska genom ett enda beslut underrätta sponsorn om huruvida den kliniska läkemedelsprövningen eller en väsentlig ändring

av prövningen har beviljats tillstånd, har beviljats tillstånd på vissa villkor eller huruvida ansökan om tillstånd har avslagits (artiklarna 8.1, 14.3, 19.1,

20.5och 23.1). Med sponsorn avses enligt förordningen person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk prövning.

I propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar föreslås att forskning som består i klinisk läkemedelsprövning framöver inte ska etikprövas en- ligt etikprövningslagen. Som ovan angivits (avsnitt 10.3) har riksdagen antagit regeringens förslag men bestämmelserna har ännu inte trätt i kraft. Forskning som består i klinisk läkemedelsprövning ska, när bestämmel- serna har trätt i kraft, i stället genomgå etisk granskning enligt en ny lag med kompletterande bestämmelser om etisk granskning till EU:s förord- ning om kliniska prövningar av humanläkemedel. Enligt den lagen ska den etiska granskningen utföras av Etikprövningsmyndigheten och resultatet av den etiska granskningen ska redovisas i ett yttrande som beslutas av Etikprövningsmyndigheten och lämnas till Läkemedelsverket (2 och 3 §§). Av propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) framgår att Läke- medelsverket ska vara den myndighet i Sverige som fattar beslut om tillstånd till kliniska läkemedelsprövningar. De huvudsakliga skälen till detta är att Läkemedelsverket är central förvaltningsmyndighet för kontroll och tillsyn av läkemedel och även har till uppgift enligt läke- medelslagen att pröva frågor om tillstånd till kliniska läkemedelspröv- ningar. I Sverige kommer det således att vara Läkemedelsverket som fattar beslut i fråga om en ansökan om klinisk läkemedelsprövning. Enligt EU- förordningen gäller att en ansökan ska avslås bl.a. om en etikkommitté har avgett ett negativt yttrande som i enlighet med nationell rätt i den berörda medlemsstaten gäller för hela medlemsstaten (artiklarna 8.4, 14.10, 19.2,

20.7och 23.4). I propositionen Anpassningar av svensk rätt till EU- förordningen om kliniska läkemedelsprövningar föreslås att det i lä- kemedelslagen ska införas en bestämmelse som innebär att Läkemedels- verket inte får bifalla en ansökan om klinisk läkemedelsprövning om Etik- prövningsmyndigheten i sitt yttrande anser att den bör avslås.

Enligt 3 § i den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkeme- del ska vad som anges i 7–11 §§ etikprövningslagen ligga till grund för Etikprövningsmyndighetens etiska bedömning av en ansökan om kliniska läkemedelsprövning. Utgångspunkterna för vad som ska beaktas vid etik- prövningen framgår av 7–11 §§ etikprövningslagen. Där anges att

1. forskning bara får godkännas om den kan utföras med respekt för män- niskovärdet,

2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3. människors välfärd ska ges företräde framför samhällets och ve- tenskapens behov,

4. forskning bara får godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

Prop. 2017/18:298

Prop. 2017/18:298 5. forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6.behandling av känsliga personuppgifter och personuppgifter om lag- överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras,

7.forskning får godkännas bara om den ska utföras av eller under över- inseende av en forskare som har den vetenskapliga kompetens som be- hövs.

Ett beslut om etikgodkännande kan förenas med villkor. Detta används bl.a. i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås. I proposi- tionen Anpassningar av svensk rätt till EU-förordningen om kliniska läke- medelsprövningar föreslås att det i läkemedelslagen ska införas en bestäm- melse som innebär att om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska Läkemedelsverket beakta villkoren vid tillståndsgivningen.

Av propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar framgår, som ovan angivits, att den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av human- läkemedel ska träda i kraft den dag regeringen bestämmer. Regeringens bedömning i avsnitt 10.3 om att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter kommer således att gälla för klinisk läkeme- delsprövning fram till dess att EU-förordningen om kliniska läkemedels- prövningar börjar tillämpas och den svenska kompletterande regleringen träder i kraft.

Iden direkt tillämpliga EU-förordningen om kliniska läkemedelspröv- ningar finns ett antal bestämmelser som rör data som genereras vid klini- ska läkemedelsprövningar, se bl.a. artikel 3 (b), artikel 37 (4) och (8), artiklarna 41–43 och artikel 78. Enligt artikel 7 d) ska varje medlemsstat bedöma ansökans förenlighet med dataskyddsdirektivet. Enligt artikel 93 ska medlemsstaterna tillämpa dataskyddsdirektivet på den personuppgifts- behandling som sker i medlemstatarna. Enligt artikel 94 i dataskyddsför- ordningen ska referenser till dataskyddsdirektivet tolkas som referenser till dataskyddsförordningen. Enligt skäl 161 i dataskyddsförordningen ska när det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar EU-förordningen om kliniska läkemedels- prövningar tillämpas.

Som framgått ovan (avsnitt 7) har Artikel 29-gruppen efter att utkastet till lagrådsremiss remitterades antagit en vägledning om samtycke under förordning 2016/679, som kompletterar tidigare yttranden gällande sam- tycke (Guidelines on Consent under Regulation 2016/679, antagna den 10 april 2018). I denna vägledning uttalar Artikel 29-gruppen att när sam- tycke är den rättsliga grunden för att utföra forskning i enlighet med data- skyddsförordningen ska detta samtycke till behandlingen av person- uppgifterna skiljas från andra krav på samtycke som tjänar som en etisk standard eller ett procedurkrav. Ett exempel på ett sådant procedurkrav där behandlingen inte är baserad på samtycke utan på en annan rättslig grund

finns enligt Artikel 29-gruppen i EU-förordningen om kliniska läke- medelsprövningar. I dataskyddssammanhang ska den senare formen av samtycke betraktas som en ytterligare skyddsåtgärd. Samtidigt begränsar inte dataskyddsförordningen tillämpningen av artikel 6 till enbart sam- tycke när det gäller behandling av personuppgifter för forskningsändamål. Så länge som lämpliga skyddsåtgärder finns på plats i enlighet med kraven enligt artikel 89.1 och behandlingen av personuppgifter är rättvis, laglig, transparant och överensstämmer med principen om uppgiftsminimering och individuella rättigheter kan andra rättsliga grunder såsom artikel 6.1 e eller f, dvs. uppgift av allmänt intresse och personuppgiftsansvariges eller en tredje parts berättigade intresse, vara användbara. Detta gäller också för behandlingen av känsliga personuppgifter enligt undantaget från förbudet av sådan behandling i artikel 9.2 j. Prövning av läkemedel kan också ske på grundval av en unionsrättslig eller nationell lag enligt artikel 9.2 i, dvs. allmänt intresse på folkhälsoområdet. Artikel 29-gruppen uttalar också att artikel 6.1 c i dataskyddsförordningen, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den person- uppgiftsansvarige, kan vara tillämplig för de delar av behandlingen som är en rättslig förpliktelse såsom att generera tillförlitliga och robusta data i enlighet med prövningsprotokollet som godkänts av en medlemsstat i enlighet med EU-förordningen om kliniska läkemedelsprövningar (jfr. exempelvis med artiklarna 3 b och 6 i EU-förordningen om kliniska läkemedelsprövningar).

När det gäller behandling av känsliga personuppgifter för bl.a. forsk- ningsändamål krävs som beskrivits ovan ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 i eller j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsför- ordningen. Regeringen gör i föregående avsnitt bedömningen att etikpröv- ning är en lämplig och särskild åtgärd vid all behandling av känsliga per- sonuppgifter för andra forskningsändamål än kliniska läkemedelspröv- ningar. Enligt 3 § i den föreslagna lagen med kompletterande bestämmel- ser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 7–11 §§ etikprövningslagen ligga till grund för den etiska bedömningen av en ansökan om kliniska läkeme- delsprövning som ska göras av Etikprövningsmyndigheten. Den etiska granskningen av forskning som består i kliniska läkemedelsprövningar kommer alltså att vila på samma etiska överväganden som ska göras vid etikprövning. Regeringen gör därför bedömningen att etisk granskning är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs enligt EU:s dataskyddsförordning för behandling av känsliga person- uppgifter för forskningsändamål inom ramen för klinisk läkemedelspröv- ning.

Prop. 2017/18:298

Prop. 2017/18:298 11	Det behövs kompletterande nationella
	bestämmelser om skyddsåtgärder för
	behandling av personuppgifter om
	lagöverträdelser

11.1Dataskyddsförordningen möjliggör en kompletterande nationell reglering för personuppgifter om lagöverträdelser

Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet. Behandling av sådana uppgifter får också ske om behand- lingen tillåts enligt unionsrätten eller nationell rätt, där lämpliga skyddsåt- gärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10).

I dataskyddsdirektivet angavs att behandling av uppgifter om lagöver- trädelser, brottmålsdomar eller säkerhetsåtgärder fick utföras endast under kontroll av en myndighet eller, om lämpliga skyddsåtgärder fanns i nationell lag, med förbehåll för de ändringar som medlemsstaterna kunde tillåta med stöd av nationella bestämmelser som innehöll lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar fick dock föras endast under kontroll av en myndighet. Medlemsstaterna fick vidare föreskriva att uppgifter som rörde administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet (artikel 8.5). Med stöd av denna artikel i dataskyddsdirektivet infördes en paragraf i PUL som i första stycket angav att det var förbjudet för andra än myndigheter att behandla personuppgifter om lag- överträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av andra stycket framgick att sådana personuppgifter som avsågs i första stycket fick be- handlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt lagen om etikprövning av forskning som avser män- niskor (21 § PUL).

Dataskyddsförordningens formulering i artikel 10 första meningen, som avser fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder är, när det gäller vilken typ av uppgifter det är fråga om, något snävare än motsvarande bestäm- melsen i den upphävda PUL (21 § första stycket). Den bestämmelsen av- såg lagöverträdelser som innefattade brott, domar i brottmål, dvs. både friande och fällande domar, straffprocessuella tvångsmedel eller administ- rativa frihetsberövanden.

Begreppet säkerhetsåtgärder har bedömts likvärdigt med begreppet straffprocessuella tvångsmedel, som använts i PUL vid genomförande av dataskyddsdirektivet, vilket i likhet med dataskyddsförordningen anger sä- kerhetsåtgärder som begrepp. Det är därmed regeringens bedömning att

vad som i praktiken skiljer definitionerna i PUL och dataskyddsförord- Prop. 2017/18:298 ningen åt är friande domar i brottmål och administrativa frihetsberövan-

den. Sådana uppgifter omfattas inte av de särskilda begränsningarna för behandling som framgår av artikel 10 i dataskyddsförordningen (prop. 2017/18:105 s. 98).

I dataskyddslagen finns en bestämmelse som förtydligar att personupp- gifter som avses i artikel 10 får behandlas av myndigheter (3 kap. 8 § första stycket).

För att andra än myndigheter alls ska kunna behandla sådana personupp- gifter om lagöverträdelser som framgår av artikel 10 måste detta tillåtas i unionsrätten eller nationell rätt, med fastställande av lämpliga skyddsåt- gärder. Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling av sådana uppgifter för till exempel forskningsändamål är möjliga i nationell lagstiftning, precis som andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda. I dataskyddslagen anges att även andra än myndigheter får be- handla personuppgifter som avses i artikel 10, om behandlingen är nöd- vändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § andra stycket). Det har även förts in ett bemyndigande i dataskyddslagen med innebörd att regeringen eller den myndighet som re- geringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i ar- tikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket). Det anges vidare att den myndighet som regeringen bestämmer även i enskilda fall får besluta att andra än myndigheter får behandla sådana uppgifter. Ett så- dant beslut får förenas med villkor (3 kap. 9 § andra stycket).

11.2Etikprövning ska vara en skyddsåtgärd vid be- handling av personuppgifter om lagöverträdel- ser för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig skyddsåtgärd, fastställd i svensk rätt, som krävs för behandling av personuppgifter om lagöverträdelser för forskningsända- mål enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med re-
geringens bedömning. Utredningen föreslår att det i forskningsdatalagen
ska införas en bestämmelse som anger att personuppgifter som rör fällande
domar i brottmål, lagöverträdelser som innefattar brott eller straffproces-
suella tvångsmedel ska få behandlas av andra än myndigheter med stöd av
artikel 10 i dataskyddsförordningen om behandlingen är nödvändig och
har godkänts enligt etikprövningslagen. I andra stycket i den föreslagna
bestämmelsen föreslår utredningen att det ska upplysas om att av etikpröv-
ningslagen framgår övriga krav på etikprövning av behandling av känsliga
personuppgifter för forskningsändamål.
Remissinstanserna: Majoriteten av de remissinstanser som har yttrat
sig tillstyrker eller har inga invändningar mot förslaget.	97
	97

Prop. 2017/18:298

Sveriges Kommuner och Landsting och Västra Götalands läns landsting instämmer i utredningens förslag och framhåller vikten av forskning med användande av personuppgifter om lagöverträdelser m.m., men också att sådan behandling alltid måste föregås av en prövning enligt etikprövnings- lagen. Kammarrätten i Stockholm anser att bestämmelsens begränsning till att endast avse andra än myndigheter kan ifrågasättas, även om det enligt artikel 10 i dataskyddsförordningen är nödvändigt med särskild reglering för att andra än myndigheter ska få behandla nämnda personuppgifter.

Statens medicinsk-etiska råd (Smer) anser att förtydligande behövs när det gäller formuleringen vid tillåtelse av behandling av personuppgifter om lagöverträdelser m.m. ”när denna är nödvändig för att uppnå forsk- ningsändamålet”.

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till 12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i data- skyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt. Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad inne- bär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvir- ring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikpröv- ning.

Datainspektionen avstyrker utredningens förslag avseende 12 § andra stycket forskningsdatalagen eftersom bestämmelsen är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämn- ders beslut kan komma att uppfattas som den rättsliga regleringen av be- handling av personuppgifter om lagöverträdelser trots att dataskydds- förordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker el- ler har inga invändningar mot bedömningen. Luleå kommun anser att för- slaget om att utöka kravet på etikprövning till myndigheter samt att det ska gälla även friande domar m.m. är en lämplig skyddsåtgärd. Datainspek- tionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgifts- behandling.

Skälen för regeringens bedömning

Andra än myndigheter ska få behandla sådana personuppgifter som avses i artikel 10 för forskningsändamål

Som framgått av avsnitt 11.1 anges i artikel 10 att myndigheter får be- handla personuppgifter som rör fällande domar i brottmål och lagöverträ- delser som innefattar brott eller därmed sammanhängande säkerhetsåtgär- der. Detta gäller även behandling för forskningsändamål. För andra än myndigheter krävs att behandlingen är tillåten enligt unionsrätten eller na- tionell rätt. Här möjliggör alltså dataskyddsförordningen kompletterande

nationell lagstiftning. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder. Det är regeringens uppfattning att det finns behov av att kunna behandla personuppgifter om lagöverträdelser för forskningsända- mål även för andra forskningsaktörer än myndigheter. Dataskyddsförord- ningens möjlighet till nationell reglering i det aktuella fallet bör därför utnyttjas när behandling är nödvändig för forskningsändamål.

Etikprövning är en lämplig skyddsåtgärd för såväl offentliga som privata forskningsutförare vid sådan behandling av uppgifter som avses i arti- kel 10

I avsnitt 10.3 har regeringen utvecklat skälen till varför regeringen anser att etikprövning enligt etikprövningslagen uppfyller kraven på lämplig och särskild skyddsåtgärd enligt dataskyddsförordningen när det gäller be- handling av känsliga personuppgifter för forskningsändamål. Av motsva- rande skäl anser regeringen att etikprövning är en lämplig skyddsåtgärd även vid behandling av sådana personuppgifter som avses i artikel 10. Krav på skyddsåtgärder vid personuppgiftsbehandling framgår vidare inte bara enligt artikel 10. Att sådana krav finns för all personuppgiftsbehand- ling för forskningsändamål framgår av artikel 89.1. Skäl 156 anger att sådana skyddsåtgärder bör införas i nationell rätt. Det är därför regeringens bedömning att det är förenligt med kravet på skyddsåtgärder i artikel 89.1 att låta även myndigheters behandling av personuppgifter om lagöver- trädelser omfattas av kravet på etikprövning. Regeringen anser således att det ska framgå av nationell rätt att sådana personuppgifter som avses i ar- tikel 10 i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen.

Samma krav på etikprövning ska fortsätta gälla även för behandling av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden

Som framgått av redogörelsen ovan skiljer sig de kategorier av personupp- gifter som avses i artikel 10 i dataskyddsförordningen något åt från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt PUL och etikprövningslagen. Att begränsa den nationella kompletterande regleringen till att avse sådana personuppgifter som avses i artikel 10 skulle innebära att behandlingar av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administ- rativa frihetsberövanden, vilka i dag omfattas av kravet på etikprövning, inte kommer vara förenade med samma skydd framöver. Regeringen anser inte att en sådan försämring av den registrerades skydd är befogad, även med beaktande av intresset av en harmoniserad reglering av person- uppgiftsskyddet. Regeringen anser vidare att det med stöd av artikel 89.1 i dataskyddsförordningen är möjligt att införa krav på sådana särskilda skyddsåtgärder även för behandling av vissa personuppgifter som faller utanför tillämpningsområdet för artikel 10. Artikel 89.1 kräver, som framgått, lämpliga skyddsåtgärder för behandling av personuppgifter för forskningsändamål generellt och det är regeringens bedömning att det är möjligt att fastställa sådana skyddsåtgärder i form av ett krav på god- kännande vid etikprövning i nationell rätt med stöd av skäl 156. Genom att den definition som idag framgår av 3 § etikprövningslagen behålls,

Prop. 2017/18:298

Prop. 2017/18:298 bortsett från hänvisningen till 21 § PUL, kommer kravet på etikprövning av såväl de personuppgifter som avses i artikel 10 i dataskyddsförord- ningen, som de uppgifter som inte anges där, men idag omfattas av krav på etikprövning, att gälla även fortsättningsvis.

Behandling av personuppgifter om lagöverträdelser bör enligt utred- ningens bedömning omfattas av kravet på etikprövning oavsett vilken rättslig grund behandlingen baseras på, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf som upplyser om att övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av sådana personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Etikprövningslagen ska tilläm- pas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Som nämnts i avsnitt 10.3 innehöll paragrafen tidigare en bestäm- melse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behand- lingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop. 2007/08:50). Ändringen innebar att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Ett samtycke till behandlingen ersätter således inte kravet på etikprövning. Enligt regeringens uppfattning är därför bestäm- melsen i andra stycket i den av utredningen föreslagna bestämmelsen överflödig och bör inte införas.

Regeringen anser sammanfattningsvis att personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden ska få behandlas för forsk- ningsändamål om behandlingen är nödvändig för ändamålet och har god- känts enligt etikprövningslagen. Detta krav ska gälla oavsett om det är fråga om en offentlig eller privat forskningsutförare och oavsett med stöd av vilken rättslig grund i artikel 6.1 som behandlingen utförs. Som rege- ringen har anfört i avsnitt 7.2.2 anser regeringen att om ett forskningspro- jekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Behövs det ytterligare reglering?

100

vanden enligt 21 § PUL. Sådan forskning får bara utföras om den har god- Prop. 2017/18:298 känts vid en etikprövning (6 § etikprövningslagen). Behandlingen av per-

sonuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad rege- ringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 § etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i arti- kel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § 1 etikpröv- ningslagen till 13 § PUL ska ersättas av en hänvisning till motsvarande bestämmelser i dataskyddsförordningen samt att 3 § 2 etikprövningslagen endast ska anpassas på så vis att hänvisningen till 21 § PUL ska tas bort men uppräkningen av de kategorier av uppgifter om lagöverträdelser som omfattas av kravet på etikprövning ska finnas kvar. En bestämmelse i na- tionell rätt i enlighet med utredningens förslag, dvs. att det i en ny forsk- ningsdatalag ska anges att personuppgifter om lagöverträdelser får med stöd av artikel 10 i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts en- ligt etikprövningslagen, får då närmast karaktären av en upplysnings- bestämmelse, eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1. Rege- ringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

12Det krävs följdändringar i bestämmelserna om etikprövningslagens tillämpningsområde

Regeringens förslag: Bestämmelsen i etikprövningslagen, som regle- rar att behandling av personuppgifter avser sådan behandling av person- uppgifter som anges i personuppgiftslagen, ska ersättas med en hänvis- ning till dataskyddsförordningen.

Etikprövningslagen ska tillämpas på forskning som innefattar be- handling av:

1. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (känsliga person- uppgifter), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Utredningens förslag överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av de remissinstanser som yttrat sig
tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a.	101
	101

Prop. 2017/18:298	landstingen i Västra Götalands läns landsting, Uppsala län,
	Södermanlands län, Skåne län, Västra Götalands län, Värmlands län,
	Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt
	Regionala etikprövningsnämnden i Göteborg och Sveriges läkarförbund.
	Regionala etikprövningsnämnden i Lund konstaterar att förslaget till
	12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i data-
	skyddsförordningen, innebär att skyddet för sådana personuppgifter som
	behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt.
	Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad inne-
	bär därför att etikprövning kommer att ske av fler uppgifter än de som ges
	skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt
	nämndens uppfattning, skapas praktiska tillämpningsproblem och förvir-
	ring i forskarsamhället om det inte råder förenlighet mellan vad som krävs
	enligt forskningsdatalagen och vilka uppgifter som omfattas av etikpröv-
	ning.
	Förslaget i utkastet till lagrådsremiss överensstämmer med regering-
	ens förslag.
	Remissinstanserna: Ingen av de remissinstanser som har yttrat sig har
	kommenterat förslaget specifikt.
	Skälen för regeringens förslag: Etikprövningslagen ska enligt 3 § til-
	lämpas på forskning som innefattar behandling av känsliga personuppgif-
	ter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefat-
	tar brott, domar i brottmål, straffprocessuella tvångsmedel eller administ-
	rativa frihetsberövanden enligt 21 § PUL. Med behandling av personupp-
	gifter avses enligt 2 § etikprövningslagen sådan behandling som anges i 3
	§ PUL. Den sistnämnda hänvisningen bör tas bort och ersättas med en hän-
	visning till definitionen av behandling enligt artikel 4.2 i dataskydds-
	förordningen.
	Som framgått av avsnitt 9.7 och 10 är dataskyddsförordningens defin-
	ition av särskilda kategorier av personuppgifter (i 3 kap. 1 § dataskyddsla-
	gen benämnda känsliga personuppgifter), vidare än dataskyddsdirektivets
	och PUL:s definitioner. I dataskyddsförordningen utvidgas de särskilda
	kategorierna av uppgifter till att också omfatta behandling av genetiska
	uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk
	person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om
	hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
	Om godkänd etikprövning ska vara ett krav för att få behandla känsliga
	personuppgifter för forskningsändamål i enlighet med dataskyddsförord-
	ningens definition innebär det således ett visst utökat tillämpningsområde
	för etikprövningslagen till följd av den EU-rättsliga utvecklingen.
	Som framgått av avsnitt 11 skiljer sig vidare de kategorier av person-
	uppgifter som omfattas av artikel 10 i dataskyddsförordningen något från
	de kategorier av personuppgifter om lagöverträdelser som omfattats av
	kravet på etikprövning enligt etikprövningslagen och den upphävda PUL.
	Som nämnts i avsnitt 11 är det regeringens bedömning att det som i prak-
	tiken skiljer definitionen i dataskyddsförordningen från den i PUL är att
	personuppgifter om lagöverträdelser som innefattar friande domar i brott-
	mål och administrativa frihetsberövanden omfattas av den upphävda PUL,
	men inte av artikel 10.
	I avsnitt 10.3 har regeringen tagit ställning för att etikprövning enligt
102	etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga

personuppgifter enligt dataskyddsförordningens vidare definition, vid be- Prop. 2017/18:298 handling för forskningsändamål. I avsnitt 11.2 har regeringen gjort mot-

svarande ställningstagande i fråga om sådana uppgifter om lagöverträdel- ser som motsvarar PUL:s definition. Med anledning härav föreslår rege- ringen att 3 § etikprövningslagen ändras i enlighet härmed och att hänvis- ningarna i den paragrafen till PUL tas bort.

Som påpekats i avsnitt 3 är regeringens avsikt med denna proposition att föreslå nödvändiga anpassningar till dataskyddsförordningen. De ställ- ningstaganden som gjorts i avsnitt 10.3 och 11.2 i fråga om att etik- prövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behand- ling av känsliga personuppgifter och uppgifter om lagöverträdelser vid be- handling för forskningsändamål överensstämmer med utredningens be- dömning. Utredningen bedömer samtidigt att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etikprövning av personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång. Den frågan behandlas inte i denna proposition. Fortsatt arbete med de aktuella författningarna kommer däremot att ske bl.a. i samband med beredningen av förslagen i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

13Bör det föreskrivas undantag från vissa av de rättigheter som den registrerade har?

13.1Dataskyddsförordningen möjliggör undantag från vissa rättigheter

Som har nämnts i avsnitt 4.6 har den registrerades rättigheter förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Det är bl.a. fråga om ökad rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av be- handling, rätt till dataportabilitet och rätt att göra invändningar (artiklarna 12–22). Det finns direkt tillämpliga undantag från vissa av dessa rättig- heter och möjlighet att i nationell rätt göra undantag från vissa rättigheter i dataskyddsförordningen, enligt vad som beskrivs nedan.

När det gäller vissa av den registrerades rättigheter framgår undantag direkt av dataskyddsförordningen

Vilken information som ska lämnas till den registrerade när personuppgif- terna inte har inhämtats från den registrerade regleras i artikel 14.1–4. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldig- heten att lämna information sannolikt kommer att göra det omöjligt eller

103

Prop. 2017/18:298 avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten.

Den rätt till radering som regleras i artikel 17.1 och 17.2 ska enligt artikel 17.3 d inte gälla i den utsträckning som behandlingen är nödvändig för bl.a. forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Rätten att göra invändning mot behandling av personuppgifter enligt ar- tikel 21 gäller om behandlingen grundar sig på artikel 6.1 e eller f. Om personuppgifter behandlas för bl.a. forskningsändamål ska den registre- rade enligt artikel 21.6 ha rätt att göra invändningar mot behandlingen av- seende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Dataskyddsförordningen möjliggör även att det föreskrivs undantag från vissa av den registrerades rättigheter i nationell rätt

Det är möjligt att i nationell rätt göra undantag från den personuppgifts- ansvariges skyldighet att lämna information till den registrerade när per- sonuppgifterna inte har inhämtats från den registrerade. I artikel 14.5 c anges att punkterna i 14.1–4 inte ska tillämpas om erhållande eller utläm- nande av uppgifter uttryckligen föreskrivs genom unionsrätten eller ge- nom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berätti- gade intressen.

Om personuppgifter behandlas för forskningsändamål får det enligt ar- tikel 89.2 i unionslagstiftningen eller medlemsstaternas nationella lagstift- ning föreskrivas om undantag från de rättigheter som framgår av artikel 15 (rätten till tillgång), artikel 16 (rätten till rättelse), artikel 18 (rätten till begränsning av behandling) och artikel 21 (rätten att göra invändningar), med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag från dessa rättigheter får endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Vissa rättigheter gäller inte om den registrerade inte är möjlig att identi- fiera

En viktig och direkt tillämplig reglering i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller be- handla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det är vanligt att det saknas direkt identifie- rande uppgifter i sådana personuppgifter som behandlas för forskningsän- damål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgif- ter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss person behandlas. Om den personuppgiftsansva- rige kan visa att denne inte kan identifiera den registrerade ska artik-

104

larna 15–20 inte gälla, förutom när den registrerade tillhandahåller ytterli- Prop. 2017/18:298 gare information som gör identifieringen möjlig (artikel 11, jfr även

skäl 57).

Det är viktigt att upprätthålla integritetsskyddet i forskningen

Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehand- ling för forskningsändamål ger goda förutsättningar för forskningen, sam- tidigt som den registrerades fri- och rättigheter skyddas. Det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Nedan behandlas frågorna om undantag bör göras i nationell rätt från den personuppgiftsansvariges skyldighet enligt artikel 14 att tillhandahålla information till den registrerade när uppgifterna inte har erhållits från ho- nom eller henne (avsnitt 13.2), från rätten till tillgång enligt artikel 15 (av- snitt 13.3), från rätten till rättelse enligt artikel 16 (avsnitt 13.4), från rätten enligt artikel 18 till begränsning av behandling (avsnitt 13.5) och från rät- ten enligt artikel 21 att göra invändningar (avsnitt 13.6).

13.2Undantaget från informationsskyldigheten när personuppgifter lämnas ut för forskningsändamål följer direkt av dataskyddsförordningen och svensk rätt

Regeringens förslag: Bestämmelsen om utlämnande av personuppgif-
ter i etikprövningslagen ska upphävas.
Regeringens bedömning: Rätten att ta del av allmänna handlingar
och myndigheters skyldighet att lämna ut allmänna handlingar i enlig-
het med offentlighetsprincipen gäller oavsett för vilket ändamål utläm-
nandet sker. Rätten respektive skyldigheten gäller dock inte i den
utsträckning handlingarna innehåller sekretessbelagda uppgifter.
Myndigheters skyldighet enligt offentlighets- och sekretesslagen att
dels på begäran av en enskild lämna ut uppgifter ur en allmän handling,
dels på begäran av en annan myndighet lämna ut uppgifter som
myndigheten förfogar över, gäller också oavsett för vilket ändamål ut-
lämnandet sker, under förutsättning att uppgifterna inte är sekretess-
belagda eller det skulle hindra arbetets behöriga gång. Regleringen in-
nebär att ett erhållande eller utlämnande av uppgifter uttryckligen är
föreskrivet i svensk rätt i enlighet med artikel 14.5 c i EU:s dataskydds-
förordning och att artikel 14.1–4 om den personuppgiftsansvariges in-
formationsskyldighet inte behöver tillämpas i dessa fall. Någon särskild
föreskrift behöver inte införas för att detta ska gälla vid myndigheters
utlämnande av uppgifter för forskningsändamål. Någon upplysnings-
bestämmelse bör inte införas.
För andra personuppgiftsansvariga än myndigheter och sådana en-
skilda som jämställs med myndigheter vid tillämpningen av bestämmel-
serna om rätt att ta del av allmänna handlingar och offentlighets- och
sekretesslagen, kan undantaget från informationsskyldigheten enligt
artikel 14.5 b i dataskyddsförordningen vara tillämpligt.	105
	105

Prop. 2017/18:298 Sådana villkor som kan uppställas i samband med godkännande en- ligt etikprövningslagen kan även fortsättningsvis avse information som ska lämnas till den registrerade vid personuppgiftsbehandling för forsk- ningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att bestämmelsen i 12 § etik- prövningslagen om att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnads- plikt, överförs till forskningsdatalagen och omformuleras, så att det fram- går att personuppgifter får lämnas ut för att behandlas för forskningsända- mål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a. Regionala etikprövningsnämnden i Göteborg och Brottsförebyggande rådet.

Arbetsgivarverket ställer sig tveksamt till bestämmelsens utformning med anledning av att offentlighets- och sekretesslagen på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även upp- gifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i offentlighets- och sekretesslagen, men att bestämmelsen i övrigt behålls oförändrad.

Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen. Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande for- muleringen, vilken går längre än artikel 14.5 b och inte räddas av de före- slagna skyddsåtgärderna i forskningsdatalagen eller en hänvisning till etik- prövningen. Datainspektionen avstyrker förslaget i sin nuvarande utform- ning. Inspektionen anser dels att bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen, dels att utredningen inte har visat att de skyddsåtgärder som föreslås uppfyller det krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c.

Förslaget och bedömningen i utkastet till lagrådsremiss överens- stämmer med regeringens förslag och bedömning.

Remissinstanserna: En majoritet av de som yttrat sig instämmer i för- slaget och bedömningen eller har inga synpunkter. Detta gäller bl.a. Kam- marrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikpröv- ningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet, Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Total- försvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkeme- delsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarver- ket, Kungl. Biblioteket och Riksarkivet.

106

Regionala etikprövningsnämnden i Umeå instämmer såväl i att bestäm-	Prop. 2017/18:298
melserna i OSL om rätten att ta del av allmänna handlingar och skyldig-
heten att lämna ut sådana får betraktas som sådana nationella bestämmel-
ser som avses i artikel 14.5 c, som i att OSL:s och andra lagars be-
stämmelser om sekretess och tystnadsplikt får anses vara fastställda lämp-
liga åtgärder för att skydda den registrerades intressen. Etikprövnings-
nämnden anser dock att det borde finnas en hänvisning till OSL i den
forskningsdatalag nämnden förordar ska införas och OSL:s betydelse för
tillämpningen av artikel 14.
Pensionsmyndigheten ställer sig tveksam till att undantagsbestämmelsen
i artikel 14.5 c ska ges en så extensiv tolkning. Pensionsmyndigheten no-
terar i sammanhanget att informationsskyldigheten enligt artikel 14 åligger
den personuppgiftsansvarige som samlar in personuppgifter, det vill säga
mottagaren av uppgifterna och inte utlämnande myndighet.
Luleå kommun anser att regeringen bör beakta Datainspektionens kritik
gällande lämpliga skyddsåtgärder noggrannare. De förtydliganden rege-
ringen gör i dessa delar är enligt Luleå kommuns uppfattning inte tillräck-
liga. Därtill bör tilläggas att offentlighetsprincipen får, även med beak-
tande av andra länders regleringar, i ett internationellt och europeiskt per-
spektiv anses vara en unik reglering. Detta medför att det skydd som följer
av sekretess och tystnadsplikt, för att minska det integritetsintrång som
offentlighetsprincipen kan leda till, inte kan anses uppfylla de krav på
lämpliga skyddsåtgärder som följer av artikel 14.5 c dataskyddsförord-
ningen. Det får snarare anses vara en del av att följa den grundläggande
dataskyddsstandard som följer av dataskyddsförordningen.
Stockholms universitet framför att eftersom TF och OSL uppfyller andra
syften än dataskyddsförordningen (se exempelvis HFD 2015 ref. 57 och
HFD 2015 ref. 71) är det svårt att överblicka i vad mån syftet med artikel
14 kan uppnås genom allmänhetens tillgång till allmänna handlingar. I ut-
kastet till lagrådsremissen förs inget resonemang om huruvida rätten till
tillgång till allmänna handlingar i varje situation täcker in den rätt till in-
formation som den enskilde har rätt till enligt 14.1–4. Det är exempelvis
av relevans huruvida de informationsbärande handlingarna vid varje till-
fälle är upprättade eller inkomna till myndigheten. Stockholms universitet
ställer sig frågande till möjligheten att stödja ett undantag från artikel
14.1–4 dataskyddsförordningen på en reglering som inte fullt ut täcker de
rättigheter som artikeln avser att skydda.
Skälen för regeringens förslag och bedömning
Bestämmelsen i etikprövningslagen har sin grund i personuppgiftslagen
Det finns en bestämmelse i etikprövningslagen som reglerar utlämnande
av personuppgifter. I den anges att personuppgifter får lämnas ut för att
användas i forskning, om inte något annat följer av regler om sekretess och
tystnadsplikt (12 §). Enligt förarbetena till bestämmelsen ska den läsas mot
bakgrund av 24 § i den numera upphävda PUL. Av den paragrafens första
stycke framgick att om personuppgifter hade samlats in från någon annan
källa än den registrerade, skulle den personuppgiftsansvarige självmant
lämna den registrerade information om behandlingen av uppgifterna när
de registrerades. Om uppgifterna var avsedda att lämnas ut till tredje man,
behövde informationen dock inte ges förrän uppgifterna lämnades ut för	107

Prop. 2017/18:298 första gången. Enligt andra stycket behövde emellertid sådan information inte lämnas, om det fanns bestämmelser om registrerandet eller utläm- nandet av personuppgifterna i en lag eller någon annan författning.

Bestämmelsen i 24 § andra stycket PUL baserades på artikel 11.2 i data- skyddsdirektivet. Av första punkten i artikel 11 framgick i huvudsak att om uppgifterna inte hade samlats in från den registrerade skulle med- lemsstaterna föreskriva att den registeransvarige vid tiden för registre- randet eller senast när uppgifterna först lämnades ut skulle ge den registrerade information om bland annat den registeransvariges identitet, ändamålet med behandlingen, mottagare av uppgifterna och den registrerades rättigheter. I artikel 11.2 angavs att bestämmelserna i punkt 1 inte skulle gälla när det, särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål, visade sig omöjligt eller innebar en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrevs i författning. I sådana fall skulle medlemsstaterna föreskriva lämpliga skyddsåtgärder.

Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt ge- nom 24 § PUL. För att en personuppgiftsansvarig inte skulle behöva be- akta kravet på information till den registrerade enligt 24 § första stycket krävdes alltså att det fanns bestämmelser om registrering eller utlämnande av personuppgifter i en lag eller någon annan författning. Ursprungligen fanns det i 19 § tredje stycket PUL en bestämmelse om utlämnande av uppgifter för forsknings- och statistikändamål som syftade till att uppfylla kravet i 24 § andra stycket PUL. I samband med att etikprövningslagen infördes överfördes den del av bestämmelsen som avsåg utlämnande av personuppgifter för forskning till etikprövningslagen.

Det finns möjligheter till nationell reglering i dataskyddsförordningen

I artikel 14 i dataskyddsförordningen regleras information som ska tillhan- dahållas om personuppgifterna inte har erhållits från den registrerade.

Av artikel 14.1 framgår bl.a. vilken slags information som den person- uppgiftsansvarige ska förse den registrerade med samt att den registrerade ska informeras om ändamålen med behandlingen, vilken rättslig grund be- handlingen har och vilka mottagare som eventuellt ska ta del av uppgif- terna. Av artikel 14.2 framgår bland annat vilken information, utöver den som avses i artikel 14.1, som den personuppgiftsansvarige ska lämna till den registrerade för att säkerställa en rättvis och transparent behandling. Artikel 14.3 anger vissa tidsangivelser för när informationen enligt de föregående punkterna ska lämnas och artikel 14.4 rör information vid ytterligare behandling av personuppgifterna för ett annat syfte än det för vilket uppgifterna samlades in.

Artikel 14.5 anger slutligen under vilka förutsättningar artikel 14.1–4 inte behöver tillämpas. Enligt artikel 14.5 c gäller detta om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades be- rättigade intressen.

108

Det behöver tydliggöras hur undantaget från informationsskyldigheten blir tillämpligt

Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över rege- ringens lagförslag. När det gäller den bestämmelse som sedan blev 12 § etikprövningslagen var Lagrådets uppfattning att det var svårt att se att bestämmelsen hade den innebörden att den forskare som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut per- sonuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering, som enligt 24 § andra stycket PUL medförde att information enligt 24 § första stycket PUL inte behövde lämnas ut, borde bestämmelsen utformas så att detta klart fram- gick. Lagrådets förslag var att en sådan bestämmelse placerades som inle- dande paragraf under rubriken ”Information och samtycke” enligt följande lydelse: ”Vid forskning som avses i 3 § behöver 24 § PUL (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade.” Regeringen följde dock inte Lagrå- dets förslag med motiveringen att det enligt EG-direktivet krävdes att utlämnande föreskrevs uttryckligen i författning, varför regeringen före- slog en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt regeringens uppfattning fick risken för miss- förstånd bedömas som liten. Lagrådets föreslagna alternativa skrivning ansåg regeringen vara mindre väl förenlig med EG-direktivet, eftersom något utlämnande då inte skulle föreskrivas i författning utan det bara skulle vara fråga om ett undantag från informationsskyldigheten (prop. 2002/03:50 s.175 f.).

Forskningsdatautredningen har föreslagit att bestämmelsen om utläm- nande av personuppgifter i 12 § etikprövningslagen överförs till den före- slagna forskningsdatalagen och omformuleras, så att det framgår att per- sonuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade. Datainspektionen anser att den föreslagna bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen. Datainspektionen anser bl.a. att bestäm- melsen inte innehåller något uttryckligt förordnande och inte uppfyller kraven på tydlighet, precisering och förutsägbarhet samt proportionalitet. Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen och Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken enligt etikprövningsnämnden går längre än artikel

14.5b och inte räddas av de föreslagna 8–10 §§ forskningsdatalagen eller en hänvisning till etikprövningen. Regeringen delar i huvudsak dessa upp- fattningar av följande skäl.

Prop. 2017/18:298

109

Prop. 2017/18:298

110

Kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter innebär antingen en rätt att få uppgifter eller en uppgifts- skyldighet

Enligt artikel 14.5 c ska artikel 14.1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Forskning är i dataskyddsförordningen ett priviligierat ändamål för be- handling av personuppgifter. Det framgår av artikel 5.1 b att personupp- gifter ska samlas in för särskilda, uttryckligt angivna och berättigade än- damål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta är en grundläggande princip i såväl dataskyddsdirektivet som dataskyddsförordningen (finalitetsprincipen). Trots detta görs det ett generellt undantag från denna princip bl.a. för forskning. I artikel 5.1 b andra meningen anges nämligen att ytterligare behandling för bl.a. veten- skapliga eller historiska forskningsändamål i enlighet med artikel 89.1 inte ska anses vara oförenligt med de ursprungliga ändamålen. Den möjlighet att göra undantag från bestämmelserna i artikel 14.1–4 som föreskrivs i artikel 14.5 c är en generell möjlighet till undantag, så till vida att den gäller oavsett ändamål. Det behöver således inte vara fråga om ett sådant priviligierat ändamål som forskning.

Att dataskyddsförordningen blir direkt tillämplig som lag i svensk rätt och därmed inte ska implementeras utgör en avgörande skillnad mot data- skyddsdirektivet. Enligt regeringens mening kan kravet i artikel 14.5 på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter i nationell rätt inte tolkas på annat sätt än som ett krav på föreskrifter om en rätt att få uppgifter eller föreskrifter om en uppgiftsskyldighet. Att, som utredningen föreslagit, föreskriva att personuppgifter får lämnas ut för att behandlas för forskningsändamål är snarare att anse som en upplysning om finalitetsprincipen och undantaget för forskningsändamål, enligt vad som beskrivits ovan. Det krävs således, enligt regeringens uppfattning, en tydligare uppgiftsskyldighet för att undantaget från informationsskyldig- heten i artikel 14.5 c ska bli tillämpligt. Utredningens förslag uppfyller därmed enligt regeringens uppfattning inte kraven enligt dataskydds- förordningen.

För myndigheter finns uttryckliga föreskrifter om rätt att ta del av all- männa handlingar och om skyldighet att lämna ut uppgifter

Arbetsgivarverket ställer sig tveksamt till utformningen av den bestäm- melse som utredningen har föreslagit med anledning av att offentlighets- och sekretesslagen (2009:400, OSL) på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i OSL, men att bestämmelsen i övrigt behålls oförändrad. Regionala etik- prövningsnämnden i Umeå anser att det borde finnas en hänvisning till OSL i den forskningsdatalag som nämnden förordar införs.

Av OSL framgår att en myndighet dels på begäran av en enskild ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av

en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetets behöriga gång.

Den förstnämnda bestämmelsen kompletterar bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. 1 § tryckfrihetsförordningen (TF). Sistnämnda rätt gäller i den utsträckning uppgifter i de allmänna hand- lingarna inte är sekretessbelagda (2 kap. 2 § TF och 1 kap. 1 § och 3 kap. 1 § OSL). Av TF framgår dessutom ett skyndsamhetskrav, som innebär att myndigheten ska behandla en begäran att få ut uppgifter skyndsamt, samt en möjlighet att överklaga ett beslut om avslag på begäran om utlämnande (2 kap. 12 och 15 §§ TF). Rätten att ta del av uppgifter ur allmänna hand- lingar enligt 6 kap. 4 § OSL är inte lika långtgående som rätten att ta del av allmänna handlingar enligt TF då den, förutom att den i likhet med rät- ten att ta del av allmänna handlingar inte omfattar sekretessbelagda upp- gifter, dels är begränsad av ett villkor om att ett utlämnande inte behöver ske i den utsträckning det stör arbetets behöriga gång, dels inte är förenad med en överklagandemöjlighet. När det gäller den gemensamma begräns- ningen att såväl rätten att ta del av allmänna handlingar som bestämmelsen om myndigheters uppgiftsskyldighet i 6 kap. 4 § OSL inte gäller sekre- tessbelagda uppgifter kan konstateras att OSL är en ca 100 sidor lång lag som innehåller väl genomtänkta sekretessbestämmelser. Kap. 21–40 OSL innehåller bestämmelser om sekretess till skydd för enskildas personliga eller ekonomiska förhållanden som gäller i olika delar av den offentliga sektorn. Såväl föreskrifterna om rätt att ta del av allmänna handlingar och myndigheternas skyldighet att lämna ut uppgifter ur allmänna handlingar får anses uppfylla kravet på uttryckliga föreskrifter om erhållande eller ut- lämnande av uppgifter som avses i artikel 14.5 c dataskyddsförordningen. Som regeringen återkommer till nedan får de föreskrivna begränsningarna som innebär att uppgifter inte får lämnas ut om de är sekretessbelagda an- ses vara sådana föreskrifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Offentlighetsprincipens centrala betydelse framgår även uttryckligen i dataskyddsförordningen. Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka sam- man allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

Som nämnts ovan är myndigheter enligt 6 kap. 5 § OSL även skyldiga att på begäran av en annan myndighet lämna uppgifter som den förfogar över under vissa förutsättningar. Uppgiftsskyldigheten mellan myndig- heter kan ses som en precisering av den allmänna samverkansskyldighet som gäller enligt 8 § förvaltningslagen (2017:900). Skyldigheten är mer vidsträckt än skyldigheten gentemot allmänheten då den omfattar varje uppgift som myndigheten förfogar över, inte bara uppgifter ur allmänna handlingar. Skyldigheten är dock inte undantagslös då den inte omfattar sekretessbelagda uppgifter och inte heller gäller i den utsträckning hinder föreligger på grund av arbetets behöriga gång. Även denna bestämmelse får anses uppfylla kravet i artikel 14.5 c dataskyddsförordningen på en

Prop. 2017/18:298

111

Prop. 2017/18:298 uttrycklig föreskrift om utlämnande av uppgifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Vad som har sagts ovan gäller också för de enskilda organ som enligt

2 kap. 2–5 §§ OSL jämställs med myndigheter dels vid tillämpning av TF:s bestämmelser om rätt att ta del av allmänna handlingar, dels vid til- lämpning av bestämmelserna i OSL. Det är bl.a. fråga om aktiebolag, han- delsbolag, ekonomiska föreningar och stiftelser där kommuner eller lands- ting utövar ett rättsligt bestämmande inflytande samt sådana enskilda or- gan som anges i bilagan till OSL, när det gäller handlingar i den verksam- het som anges i bilagan. Ett skäl till att ett enskilt organ blir infört i bilagan i fråga om hela eller delar av organets verksamhet är att organet med stöd i lag har fått i uppgift att fullgöra en förvaltningsuppgift som innefattar myndighetsutövning, t.ex. fördelning av statsbidrag, eller att det enskilda organets verksamhet finansieras med allmänna medel. Som exempel på enskilda organ som har förts in i bilagan till OSL kan nämnas Chalmers tekniska högskola aktiebolag och Hälsohögskolan i Jönköping AB (all verksamhet), Familjemedicinska institutet i Sverige, ideell förening (all verksamhet), och Stiftelsen för kunskaps- och kompetensutveckling (all verksamhet). I samband med att ett enskilt organ förs in i bilagan görs en bedömning av om sekretessregleringen behöver justeras med anledning av detta.

Som framgått ovan är det regeringens uppfattning att bestämmelserna om rätten att ta del av allmänna handlingar och uppgiftsskyldigheterna i 6 kap. 4 och 5 §§ OSL utgör sådana nationella föreskrifter om erhållande eller utlämnande av uppgifter som uppfyller de krav som uppställs i artikel

14.5c i dataskyddsförordningen. Ett utlämnande enligt dessa föreskrifter innebär därmed att informationsskyldigheten enligt artikel 14.1–4 inte blir aktuell. Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål. Någon särskild reglering av utlämnande av uppgifter för forskningsändamål behövs därför inte när det gäller uppgifter hos myndigheter och enskilda som jämställs med myndigheter. Regeringen instämmer således i Arbetsgivarverkets in- vändning med den skillnaden att regeringen anser att det inte heller behö- ver införas någon hänvisning till OSL i nationell rätt. Regeringen anser inte heller att det i nationell rätt behöver anges att artikel 14.1–4 i data- skyddsförordningen inte blir tillämplig i nu aktuella fall då det följer direkt av artikel 14.5 c.

För andra än utlämnande myndigheter och enskilda som jämställs med myndigheter finns vissa möjligheter till undantag enligt artikel 14.5 b

När ett utlämnande av uppgifter för forskningsändamål ska göras av något annat organ än en myndighet finns det andra bestämmelser än artikel 14.5 c som kan bli tillämpliga i enskilda fall. I artikel 14.5 b finns bestämmelser som anger att bestämmelserna om informationsskyldigheten i artikel 14.1– 4 inte ska tillämpas under vissa förutsättningar. Detta gäller i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål, eller i den mån den skyldighet som avses i artikel 14.1 sannolikt kommer att göra det omöjligt eller avsevärt försvårar upp-

112

fyllandet av målen med den behandlingen. I sådana fall ska den person- uppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra upp- gifterna tillgängliga för allmänheten. Som nämns nedan kan bl.a. bestäm- melser om tystnadsplikt utgöra sådana lämpliga skyddsåtgärder.

Närmare om sekretess och tystnadsplikt som skyddsåtgärder

Som nämnts ovan gör regeringen, i likhet med utredningen, bedömningen att bestämmelser om sekretess och tystnadsplikt utgör lämpliga skyddsåt- gärder. Bestämmelser om sekretess finns i OSL och bestämmelser om tyst- nadsplikt för enskilda finns i en mängd lagar, t.ex. i patientsäkerhetslagen (2010:659), socialtjänstlagen (2001:453), skollagen (2010:800) och lagen (2003:389) om elektronisk kommunikation.

OSL är som nämnts tidigare ett omfattande regelverk. Lagen innehåller 44 kapitel och 20 av dessa innehåller bestämmelser till skydd för enskildas personliga eller ekonomiska förhållanden. Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess in- nebär således både handlingssekretess och tystnadsplikt.

Forskare begär ofta ut uppgifter som omfattas av den s.k. statistiksekre- tessen enligt 24 kap. 8 § OSL. Detta är en av få bestämmelser som stadgar absolut sekretess. Sekretess gäller enligt bestämmelsen för sådan särskild verksamhet hos en myndighet som avser framställning av statistik för upp- gift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Dessutom gäller motsvarande sekretess i annan jämförbar undersökning i en mängd andra statliga aktörers verk- samhet (24 kap. 8 § andra stycket OSL och 7 § offentlighets- och sekre- tessförordningen [2009:641], OSF). Enligt dessa bestämmelser får dock uppgifter som behövs för forsknings- eller statistikändamål lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider skada eller men. För att detta rekvisit ska vara upp- fyllt lämnas personuppgifter ofta ut för forskningsändamål i pseudonymi- serad form, vilket i sig utgör ett starkt integritetsskydd.

Av 11 kap. 3 § OSL framgår vidare att om en myndighet i sin forsk- ningsverksamhet får en sekretessreglerad uppgift från en annan myndig- het, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mot- tagande myndigheten.

Om en enskild forskare begär ut uppgifter kan uppgifter ofta lämnas ut med stöd av ett särskilt förbehåll enligt 14 kap. 3 § OSL. I den paragrafen anges att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myn- digheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Den tystnadsplikt som uppkommer genom ett sådant förbehåll inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen (13 kap. 5 § andra stycket OSL).

I 14 kap. 2 § OSL upplyses om att det i brottsbalken finns bestämmelser om ansvar för den som bryter mot förbud enligt OSL att röja eller utnyttja

Prop. 2017/18:298

113

Prop. 2017/18:298 uppgift och för den som bryter mot förbehåll som har gjorts med stöd av lagen vid utlämnande av uppgift. I 20 kap. 3 § brottsbalken anges att om någon röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller utnyttjar han olov- ligen sådan hemlighet, döms han eller hon, om inte gärningen är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Den som av oaktsamhet begår sådan gärning döms till böter. I ringa fall skall dock ej dömas till ansvar. Detta straffstadgande gäller även vid brott mot tystnadsplikt i enskild verksamhet enligt andra författningar än OSL.

Regeringen anser således, till skillnad från Datainspektionen och Luleå kommun, att regler om sekretess och tystnadsplikt innefattar ett starkt in- tegritetsskydd och därmed är en sådan lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c. Regeringen delar vidare inte Stockholms universi- tets uppfattning att rätten till tillgång till allmänna handlingar i varje si- tuation måste täcka in den rätt till information som den enskilde har rätt till enligt 14.1-4 för att undantaget i artikel 14.5 ska vara tillämpligt.

Vid godkännande enligt etikprövningslagen är det möjligt att ställa upp villkor om information till den registrerade

Att personuppgifter kan lämnas ut för att behandlas för forskningsändamål utan att artikel 14.1–4 i dataskyddsförordningen behöver tillämpas är ett undantag från informationsskyldigheten som tar sikte på den behandling som sker i samband med själva utlämnandet av personuppgifterna. Utred- ningen har föreslagit att det ska framgå av lagtexten att detta undantag inte ska hindra etikprövningsnämnderna från att i samband med ett godkän- nande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbe- handling för forskningsändamål. Ett sådant villkor syftar således på den personuppgiftsansvariges skyldigheter i samband med den behandling som ska ske efter ett etikgodkännande. De två föreslagna bestämmelserna riktar sig alltså till två olika mottagare, dels den som ska lämna ut uppgif- terna, dels etikprövningsnämnderna. Om etikprövningsnämnderna upp- ställer ett sådant villkor är det utredningens bedömning att det är fråga om en skyddsåtgärd för den registrerade.

114

Pensionsmyndigheten, som ställer sig tveksam till den tolkning som gjorts av undantagsbestämmelsen i artikel 14.5 c ovan, noterar att infor- mationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet. Det är korrekt att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in per- sonuppgifter. Undantaget i artikel 14.5 c tar dock uttryckligen sikte på så- väl föreskrifter om erhållande som utlämnande av uppgifter. Även den ut- lämnande myndigheten kan ha fått uppgifterna från annat håll än den re- gistrerade. Vidare har forskningsutföraren rätt att ta del av allmänna hand- lingar respektive uppgifter i allmänna handlingar enligt TF och OSL, dvs. det är fråga om föreskrifter om erhållande av uppgifter. Enligt artikel 14.5 c ”ska” punkterna 1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en

medlemsstats nationella rätt som den registrerade omfattas av och som Prop. 2017/18:298 fastställer lämpliga åtgärder för att skydda den registrerades berättigade

intressen. Frågan är då om det är möjligt för etikprövningsnämnderna att uppställa villkor om information till den registrerade i samband med ett godkännande enligt 6 § etikprövningslagen eller om artikel 14.5 c utgör ett hinder för uppställandet av ett sådant villkor? Regeringen, som delar utredningens uppfattning att ett sådant villkor utgör en skyddsåtgärd för den registrerade, anser att det är möjligt för etikprövningsnämnderna att uppställa ett sådant villkor om de bedömer att det är en lämplig skyddsåt- gärd enligt artikel 89.1. Regeringen anser därför att något förtydligande om att etikprövningsnämnderna är oförhindrad att i att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den infor- mation som ska lämnas till den registrerade i samband med personupp- giftsbehandling för forskningsändamålet inte bör införas i svensk rätt.

Sammanfattande bedömning

Det är sammanfattningsvis regeringens uppfattning att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmel- ser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Re- geringen gör vidare bedömningen att en etikprövningsnämnd har möjlig- het att i samband med ett etikgodkännande uppställa villkor om lämnande av information till den registrerade om nämnden bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1.

13.3Bör det föreskrivas undantag från rätten till till- gång?

13.3.1Om innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör denne håller på att behandlas och i så fall få tillgång till personuppgifterna samt information om ändamålen med behandlingen, de kategorier av per- sonuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en ”rätt till tillgång”. Motsvarande rättighet i data- skyddsdirektivet och PUL har benämnts som en rätt till registerutdrag.

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska bekräfta om personuppgifter behandlas och i så fall förse denne med en kopia av uppgifterna, samt viss angiven information om be- handlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat och detta inte inverkar menligt på andras rättigheter och fri- heter. Rättigheten bör kunna utövas av den registrerade med rimliga inter- vall.

115

Prop. 2017/18:298 Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess upprepade art, får den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska kunna visa att begäran är uppenbart ogrundad eller orimlig (arti- kel 12.5).

En motsvarande rättighet reglerades i artikel 12 i dataskyddsdirektivet och genomfördes genom 26 § PUL. Dataskyddsförordningens reglering innebär, i jämförelse med dessa bestämmelser, en utökad rätt till information om följande: lagringstid, rätten till rättelse, radering, be- gränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya i förhållande till nu- varande reglering.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på be- gäran, utan onödigt dröjsmål och under alla omständigheter senast en må- nad efter att ha mottagit begäran tillhandahålla den registrerade informa- tion om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3).

Någon motsvarande angiven tidsgräns fanns inte angiven i dataskydds- direktivet, som endast angav att informationen skulle ges utan större tids- utdräkt. När bestämmelsen genomfördes i 26 § PUL angavs att informa- tion skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

13.3.2Det bör inte föreskrivas undantag från rätten till tillgång

Regeringens bedömning: Något undantag från den registrerades rätt till tillgång enligt EU:s dataskyddsförordning vid behandling av per- sonuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning.

Vetenskapsrådet delar inte utredningens uppfattning att den registrera- des rätt till tillgång alltid bör respekteras när forskaren inte har uppgift om forskningspersonens identitet men kan identifiera denne med hjälp av kompletterande information som forskningspersonen själv lämnar. I många forskningsprojekt, särskilt i de som bygger på registerbaserad in- formation, saknar den som utför forskningen uppgift om vilka forsknings- personerna är. Vetenskapsrådet anser att detta är en del av det integritets- skydd som finns för forskningspersonerna och är av betydelse för att forsk-

116

ningen ska kunna utföras på ett objektivt och opartiskt sätt. Vetenskapsrå- det saknar en analys av vad möjligheten till registerutdrag i dessa situa- tioner får för konsekvenser för forskningsutföraren, för den forskningsper- son som vill få tillgång till uppgifterna och för de övriga forskningsperso- ner som kan komma att behöva identifieras för att ge den som efterfrågar det tillgång. Vetenskapsrådet saknar en djupare analys av varför utred- ningen föreslår att möjligheten till undantag från rätten till tillgång inte ska utnyttjas.

Göteborgs universitet har anfört att utredningens tolkning, att den per- sonuppgiftsansvarige skulle kunna neka den registrerade tillgång i de fall som uppgifterna är pseudonymiserade, strider mot den gängse tolkningen där uppgifter fortsatt utgör personuppgifter så länge som det är möjligt att koppla en person till en uppgift. Göteborgs universitet konstaterar att pseudonymisering innebär att det de facto med hjälp av en kodnyckel är möjligt att koppla ihop individ till uppgift. Kodnyckeln kan förvaras såväl hos den personuppgiftsansvarige som hos någon annan. Oavsett detta för- ändras inte statusen avseende uppgifterna och uppgifterna utgör fortsatt personuppgifter. Forskningsaktören kan alltid, i de fall som kodnyckeln är förvarad hos annan offentlig forskningsaktör, begära tillgång till specifik kodnyckel med hänvisning till offentlighetsprincipen. Om det efter sekre- tessprövning skulle visa sig att det saknas stöd för ett nekande i utlämnan- defrågan ska kodnyckeln skyndsamt lämnas ut i enlighet med gängse reg- ler. Det finns således långtgående rättsliga möjligheter för forskningsaktö- ren att ges tillgång till kodnyckeln. Detta lämnar utrymme för frågor i vad mån den registrerade vid en förfrågan om rätt till tillgång (registerutdrag) kan ställa krav på att forskningsaktören ska vidta de beskrivna åtgärderna för att tillmötesgå den registrerade i fråga om rätt till tillgång. I de fall som kodnyckeln är förvarad av forskningsaktören själv, finner universitetet, att det i realiteten inte finns något hinder för identifiering av den registrerade i fråga om rätt till tillgång.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Statistiska centralbyrån re- kommenderar att de resonemang som förs kring rätten till tillgång avse- ende pseudonymiserade uppgifter i de fall kodnyckel finns bevarad hos den personuppgiftsansvarige förtydligas då avsnittet är svårtolkat.

Läkemedelsindustriföreningen (LIF) håller med om att det kan tänkas inverka negativt på klinisk forskning eller den registrerade, om den re- gistrerade kan få tillgång till de uppgifter som behandlas. LIF anser dock att lagstiftaren borde tydliggöra att all utlämning av information till den registrerade bör vara undantagen från informationsrätten vid klinisk forsk- ning eftersom sådan utlämning alltid riskerar integriteten i studien (och därmed dess vetenskapliga värde). En personuppgiftsansvarig kan visser- ligen motsätta sig utlämning med hänvisning till att denne inte känner till vilka personuppgifter som härrör till den registrerade eftersom uppgifterna i en klinisk läkemedelsprövning alltid är kodade (se artikel 11.2 i GDPR), men vad händer om den registrerade först vänder sig till behandlande lä- kare och begär att få ut kodnyckeln och sedan till läkemedelsföretaget med tillhandahållande av kodnyckeln och begär att få ut sina uppgifter, undrar LIF.

Prop. 2017/18:298

117

Prop. 2017/18:298	Skälen för regeringens bedömning: Rätten till tillgång gäller inte om
	den personuppgiftsansvarige kan visa att denne inte kan identifiera den
	registrerade, vilket torde vara vanligt när personuppgiftsbehandling sker
	med pseudonymiserade, eller på annat sätt kodade, uppgifter. Pseudony-
	misering är, som framgår av avsnitt 9, en central skyddsåtgärd vid person-
	uppgiftsbehandling för forskningsändamål. I många fall när den person-
	uppgiftsansvarige behandlar personuppgifter för forskningsändamål och
	inte kan identifiera den registrerade för att kunna lämna ett registerutdrag
	kommer denne således inte heller att vara skyldig att göra det, i enlighet
	med den direkt tillämpliga artikel 11. Vetenskapsrådet och Göteborgs uni-
	versitet har som skäl för ett undantag från rätten till tillgång anfört att den
	personuppgiftsansvarige har långtgående möjligheter att identifiera den
	registrerade även om uppgifterna är pseudonymiserade eftersom kod-
	nyckeln finns kvar. Kodnyckeln kan förvaras såväl hos forskningshuvud-
	mannen som hos annan aktör, t.ex. en registerhållande myndighet. I båda
	fallen krävs dock att kodnyckeln förvaras separerat från de pseudonymi-
	serade personuppgifterna.
	Av artikel 11 i förordningen framgår att om de personuppgifter som be-
	handlas av den personuppgiftsansvarige inte gör det möjligt för denne att
	identifiera en fysisk person, bör den personuppgiftsansvarige inte vara
	tvungen att skaffa ytterligare information för att kunna identifiera den re-
	gistrerade om ändamålet endast är att följa någon av bestämmelserna i
	denna förordning. Den personuppgiftsansvarige ska därmed inte vara skyl-
	dig att inhämta ytterligare uppgifter för att identifiera den registrerade
	utöver de pseudonymiserade uppgifter som behandlas. I de fall kodnyckeln
	finns hos den personuppgiftsansvarige blir det dock inte fråga om ett be-
	hov av att inhämta ytterligare information, även om uppgifterna hålls se-
	parerade. I ett sådant fall har den personuppgiftsansvarige den information
	som behövs för att kunna identifiera den registrerade och kan tillgodose
	den registrerades rätt till tillgång. Det är regeringens uppfattning att det i
	dessa fall inte finns något behov av att göra undantag från rätten till till-
	gång.
	I andra situationer, där den personuppgiftsansvarige kan identifiera den
	enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske
	med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i
	samband med att denne utövar sin rättighet, gör regeringen, till skillnad
	från Vetenskapsrådet, bedömningen att denna rättighet kan och bör respek-
	teras. Ett utövande av rättigheten kan i dessa situationer inte anses göra det
	omöjligt eller mycket svårare att uppfylla forskningsändamålet och där-
	med motivera ett undantag enligt kraven i artikel 89.2. Det är också rege-
	ringens uppfattning att rätten till tillgång är en viktig central rättighet som
	ger den registrerade kontroll över sina uppgifter och att den därför bör
	respekteras.
	I samband med t.ex. klinisk forskning kan det dock tänkas att det kan
	inverka negativt på antingen forskningen eller den registrerade om denne
	kan få tillgång till de uppgifter som behandlas, vilket också framhålls av
	Läkemedelsindustriföreningen. Så kan exempelvis vara fallet i samband
	med etablerade eller misstänkta medicinska diagnoser eller värden på pro-
	ver som den registrerade är omedveten om med anledning av pågående
	behandling eller den registrerades allmänna välbefinnande. Sådana upp-
118	gifter omfattas som regel av sekretess med stöd av 25 kap. OSL. Den

enskilde har t.ex. i motsvarande situation i samband med sjukvård inte all- Prop. 2017/18:298 tid en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med

hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL). Får en myndighet i sin forskningsverksamhet en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos forskningsutföraren (11 kap. 3 § OSL). Att det enligt 18 kap. 9 § OSL kan gälla sekretess för t.ex. en kodnyckel om den används för att pseudonymi- sera sekretessbelagda uppgifter har vidare redovisats i avsnitt 9.4.

I dataskyddslagen finns ett undantag från rätten till tillgång enligt arti- kel 15 som är tillämpligt i dessa fall. Enligt 5 kap. 1 § dataskyddslagen ska artiklarna 13–15 inte gälla sådana uppgifter som den personupp- giftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.

Dataskyddslagens bestämmelser är tillämpliga även vid personuppgifts- behandling för forskningsändamål om inget annat framgår av annan för- fattning. Detta innebär att i de fall sekretess gäller kommer undan- tagsbestämmelsen enligt dataskyddslagen att vara tillämplig även vid be- handling för forskningsändamål och skyldigheten att ge den registrerade tillgång till information begränsas därmed. Något särskilt undantag för personuppgiftsbehandling för forskningsändamål behövs därför inte i detta sammanhang. Till skillnad från Läkemedelsindustriföreningen anser rege- ringen att detta gäller även vid klinisk forskning.

Regeringen anser sammanfattningsvis att något undantag från rätten till tillgång vid personuppgiftsbehandling för forskningsändamål inte ska in- föras i svensk rätt utan att det generella undantag som finns i 5 kap. 1 § dataskyddslagen är tillräckligt.

13.4Bör det föreskrivas undantag från rätten till rättelse?

13.4.1Om innehållet i rättigheten

Vid all behandling av personuppgifter ska uppgifterna vara riktiga och, om nödvändigt, uppdaterade (artikel 5.1 d i dataskyddsförordningen). Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter som rör denne rättade utan onödigt dröjsmål samt att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande utlåtande (rätten till rättelse).

Även enligt dataskyddsdirektivet (artikel 6.1 d) och PUL (9 § g) krävdes att de personuppgifter som behandlades var riktiga och, om det var nöd- vändigt, aktuella. Det fanns även en rätt till rättelse i artikel 12 b i data- skyddsdirektivet, vilken genomfördes i PUL. Enligt denna reglering var den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte be- handlats i enlighet med PUL eller föreskrifter som utfärdats med stöd av

119

Prop. 2017/18:298 PUL (28 §). Den nämnda rätten enligt dataskyddsförordningen för den re- gistrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är således ny i förhållande till tidigare reglering.

Den tidigare rätten i 28 § PUL att utplåna uppgifter motsvaras i data- skyddsförordningen av rätten till radering av uppgifter (rätten att bli bort- glömd) i artikel 17 dataskyddsförordningen. Den tidigare rätten i 28 § PUL att blockera uppgifter motsvaras i dataskyddsförordningen av rätten till begränsning av behandling i artikel 18 dataskyddsförordningen. Frågan om sistnämnda rätt ska begränsas behandlas i avsnitt 13.5.

13.4.2Det bör inte föreskrivas undantag från rätten till rättelse

Regeringens bedömning: Något undantag från den registrerades rätt till rättelse enligt EU:s dataskyddsförordning vid behandling av person- uppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen har föreslagit att den registrerades rätt till rättelse inte ska gälla för sådana personuppgifter som behandlats för forskningsända- mål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Bland dessa åter- finns Vinnova, Kungl. Vetenskapsakademien och Sveriges Kommuner och Landsting.

Riksarkivet ser positivt på förslaget om undantag från rätten till rättelse för personuppgifter som behandlats för forskningsändamål när personupp- gifterna endast bevaras i syfte att dokumentera utförd forskning. För att tydliggöra skillnaden mellan regleringen i dataskyddsförordningen och den arkivrättsliga regleringen föreslår Riksarkivet att termen bevaras i förslaget till forskningsdatalag ersätts med behandlas.

Stockholms universitet instämmer i utredningens förslag, men noterar samtidigt att det kommer att kräva en infrastruktur för lagring av data som möjliggör verifiering vid olika tidpunkter som flertalet lärosäten inte äger i dagsläget. Universitetet anser att kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag. Stockholms universitet noterar vidare att motsvarande diskussion av rätten att bli raderad saknas i betänkandet. Det framstår dock som uppenbart att även rätten att bli raderad måste sättas i relation till be- hovet av att kunna verifiera forskningsresultat och att bevara material i syfte att uppnå nya, framtida forskningsresultat. Universitetet föreslår där- för att sådana behov tydligt ska framhållas av lagstiftaren i förarbetena till och innehållet i den nationella lagstiftningen.

Pensionsmyndigheten har inte funnit anledning att avstyrka utred- ningens förslag men anser att följande kan beaktas under den fortsatta be- redningen. När det gäller rätten till rättelse noterar Pensionsmyndigheten att det följer redan av artikel 5 i förordningen att den personuppgiftsansva- rige ska se till att personuppgifter som behandlas är korrekta och, om nöd-

120

vändigt, uppdaterade. Förordningen lämnar inte något utrymme för nat- ionella undantag från principen om korrekthet, varför ett undantag från artikel 16 inte fråntar den personuppgiftsansvarige ansvaret för att vidta åtgärder för att se till att felaktiga uppgifter rättas eller raderas. Pensions- myndigheten anser således att det föreslagna undantaget i praktiken kan antas få liten eller ingen betydelse för de personuppgiftsansvariga.

Göteborgs universitet konstaterar att den aktuella lagstiftningen är sub- sidiär till arkivlagstiftningen vilket innebär att en sådan regel måste anses vara överflödig. Kungl. Tekniska högskolan (KTH) anser att formuleringen ”… dokumentera utförd forskning” är något missvisande. Även om inten- tionen är att inte göra någon åtskillnad mellan privat- och offentlig sektor, bör ett förtydligande göras att detta inte gäller för myndigheter. De typfall som utredningen beskriver avser när ett forskningsprojekt är avslutad. För en forskningsaktör inom den offentliga sektorn kan handlingarna bli arki- verade.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till för- slaget om att den registrerades rätt till rättelse av personuppgifter begrän- sas i den föreslagna forskningsdatalagen. Den registrerades intressen i nämnda avseenden bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Datainspektionen avstyrker de förslag som rör undantag från de registrerades rättigheter. Ut- redningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registre- rade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Karolinska institutet noterar att effekten av regeringens bedömning att det inte bör föreskrivas något undantag från den registrerades rätt till rättelse vid behandling av person- uppgifter för forskningsändamål är att det kommer att krävas att forsk- ningsutföraren inför en rutin som säkerställer arkivering av data så snart en forskningsstudie används som underlag för en publikation. Karolinska institutet noterar vidare, i likhet med Stockholms universitet, att det kom- mer att behövas en infrastruktur för arkivering av data som möjliggör ver- sionskontrollhantering och spårning av ändringar. Detta är något som fler- talet lärosäten inte äger i dagsläget. Regeringen bör överväga om ett upp- drag ska ges till någon myndighet i syfte att underlätta övergång till data- hantering i en sådan infrastruktur, t.ex. genom instruktioner till de myn- digheter som berörs.

Stockholms universitet framhåller att i förslaget saknas regler som fast- ställer undantag från artikel 16 om registrerades rätt till rättelse. En sådan regel är obehövlig enligt regeringen, eftersom de registrerade ändå inte har rätt till rättelse vad gäller arkiverade forskningsdata, till följd av undanta- get för arkiv (s. 107). Möjligheten till undantag från artikel 16 i förord- ningen är dock vidare än så och omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan inverka menligt på

Prop. 2017/18:298

121

Prop. 2017/18:298 förutsättningarna att bedriva forskning och forskarnas möjlighet att för- foga över sitt material. Frågan aktualiseras såväl vid kvantitativ forskning med stora datamängder som vid kvalitativ forskning, där förändringar i enskilda uppgifter kan spela stor roll. I synnerhet gäller detta om begäran om rättelse inkommer i ett skede då delar av analysen redan utförts. Stock- holms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

Skälen för regeringens bedömning: Om personuppgifter behandlas för forskningsändamål får det, som framgått, enligt artikel 89.2 i dataskydds- förordningen föreskrivas undantag från rätten till rättelse. Detta får emel- lertid bara göras i den utsträckning som en sådan rättighet sannolikt kom- mer att göra det omöjligt eller mycket svårare att uppfylla forskningsän- damålet och sådana undantag krävs för att uppnå forskningsändamålet.

Utredningens argument för det föreslagna undantaget är att uppgifter som har behandlats för forskningsändamål och endast bevaras i syfte att dokumentera utförd forskning ska undantas från rätten till rättelse för att möjliggöra verifiering av forskningsresultat i arkiverat forskningsmaterial. Personuppgifter som löpande lagras och behandlas för forskningsändamål ska enligt utredningen inte omfattas av undantaget. Det är regeringens uppfattning att granskning av utförd forskning och bevarande av arkiverat forskningsmaterial inte innefattas i personuppgiftsbehandling för forsk- ningsändamål så som avsetts i dataskyddsförordningen. Regeringen anser, i likhet med Göteborgs universitet och KTH, att den behandling av person- uppgifter som åsyftas i utredningens förslag snarare är för arkivändamål. Behandling av personuppgifter för arkivändamål av allmänt intresse och de krav som finns i svensk rätt på bevarande för att tillgodose bl.a. forsk- ningens behov, samt regeringens bedömningar och förslag i detta samman- hang, behandlas närmare i propositionen Ny dataskyddslag (prop. 2017/18:105).

När det gäller Stockholms universitets synpunkt att motsvarande diskus- sion kring begränsning av rätten att bli raderad saknas i betänkandet kan regeringen konstatera att det följer av artikel 89.2 att det inte föreligger någon möjlighet att begränsa den registrerades rätt att blir raderad vid be- handling av personuppgifter för forskningsändamål i nationell rätt, utöver vad som redan framgår av det direkt tillämpliga undantaget i artikel 17.3 d, dvs. rätten att bli raderad ska inte gälla i den utsträckning som behand- lingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöj- liggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

När det gäller den bedömning som har gjorts i det remitterade utkastet till lagrådsremiss påpekar Stockholms universitet att rätten till rättelse om- fattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan enligt Stockholms universitet inverka menligt på förutsättningarna att bedriva forskning och forskarnas möjlighet att för- foga över sitt material. Stockholms universitet anser inte att rätten till rät- telse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

122

Som Pensionsmyndigheten påpekar gäller enligt artikel 5 i dataskydds- Prop. 2017/18:298 förordningen som en grundläggande princip för behandling av personupp-

gifter att uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Den personuppgiftsansvarige har ett ansvar enligt artikeln att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhål- lande till de ändamål för vilka de behandlas raderas eller rättas utan dröjs- mål. Denna princip måste följas även av forskningsutförare och under på- gående forskning. Den gäller alltså uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas. Det ligger i forskningens intresse att den baseras på uppgifter som är riktiga för att de resultat som den re- sulterar i ska bli rättvisande och rätt slutsatser kunna dras. I vissa fall är t.ex. avsikten med en behandling att registrera uppgifter som kommit in. De behandlade uppgifterna kan då anses riktiga, i dataskyddsförord- ningens mening, om de stämmer överens med de inkomna uppgifterna oavsett hur dessa lämnade uppgifter förhåller sig till verkliga förhållanden. Det är i sådana situationer positivt även för forskningen att den registre- rade kan begära rättelse av uppgifter som har förvanskats under den be- handling som utförts inom ramen för forskningsprojektet. Rätten till rät- telse enligt artikel 16 gäller uppgifter som är felaktiga. Som Forsknings- datautredningen konstaterar kan det föreligga olika uppfattningar mellan den personuppgiftsansvarige och den registrerade om vad som är en riktig uppgift. Om den personuppgiftsansvarige är en myndighet kan ett beslut där myndigheten tagit ställning till en begäran om rättelse överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen). Är det en privat forskningsutförare kan den registrerade ge in ett klagomål till tillsynsmyndigheten som bl.a. har befogenheten att förelägga om rättelse (artikel 58.2 g dataskyddsförordningen). Att den registrerade har en rätt till rättelse och utnyttjar den kan påverka bedrivandet av forskning. Förutsättningen för att ett undantag från rättigheten ska kunna föreskrivas i nationell rätt är dock enligt artikel 89.2 i dataskyddsförordningen att rät- tigheten sannolikt skulle göra det omöjligt eller mycket svårare att uppfylla ändamålen med behandlingen av personuppgifter, dvs. forskningsändamå- let, och undantag krävs för att uppnå ändamålet. Även om rättigheten som Stockholms universitet påpekar kan påverka bedrivandet av forskning är det regeringens bedömning att forskningen inte påverkas i sådan grad att förutsättningarna för att införa ett undantag är uppfyllda. Regeringen an- ser vidare att rätten till rättelse är av vikt för att den registrerade ska kunna ta till vara sina intressen. Regeringen anser därför att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

13.5Bör det föreskrivas undantag från rätten till begränsning av behandling?

13.5.1Om innehållet i rättigheten

Den registrerade har enligt artikel 18.1 rätt att av den personuppgiftsansva- rige kräva att behandlingen begränsas om en av följande fyra förutsätt-

123

Prop. 2017/18:298 ningar är uppfyllda: a) den registrerade bestrider personuppgifternas rik- tighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, c) den personuppgiftsansva- rige behöver inte längre personuppgifterna för ändamålen med behand- lingen men den registrerade behöver dem för att kunna fastställa, göra gäl- lande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huru- vida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Med begränsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

Rätten till begränsning av behandling syftar till att skydda den registre- rades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Punkterna a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken krä- ver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Punkterna b och c i samma artikel ger i stället den registrerade vissa möjligheter att hindra den personuppgifts- ansvarige från att radera uppgifterna.

Av artikel 18.2 framgår att om behandlingen har begränsats enligt arti- kel 18.1 får sådana personuppgifter, med undantag för lagring, endast be- handlas med den registrerades samtycke eller för att fastställa, göra gäl- lande eller försvara rättsliga anspråk eller för att skydda någon annan fy- sisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt all- mänintresse för unionen eller för en medlemsstat.

Rätten enligt artikel 18 till begränsning av behandling har ersatt den åt- gärd som enligt artikel 12 b i dataskyddsdirektivet benämndes som blockering och som genomfördes genom 28 § PUL (samt definierades i 3 § samma lag). I förhållande till dataskyddsdirektivet innebär artikel 18 en utvidgad rättighet för den registrerade.

	13.5.2	Det bör inte föreskrivas undantag från rätten till
		begränsning av behandling

	Regeringens bedömning: Något undantag från den registrerades rätt
	till begränsning av behandling enligt EU:s dataskyddsförordning vid
	behandling av personuppgifter för forskningsändamål bör inte föreskri-
	vas i svensk rätt.
	Utredningens förslag överensstämmer inte med regeringens bedöm-
	ning. Utredningen har föreslagit att när personuppgifter behandlas för
	forskningsändamål ska den registrerade inte ha rätt till begränsning av be-
	handling när denne bestrider uppgifternas korrekthet under den utred-
	ningstid som krävs för att kontrollera om personuppgifterna är korrekta.
124	Den registrerade ska inte heller ha rätt till begränsning av behandling när

denne invänder mot behandlingen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrera- des berättigade skäl. Dessa begränsningar ska enbart gälla under förutsätt- ning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Vinnova ser posi- tivt på det föreslagna undantaget från rätten till begränsning av behandling. Dock är Vinnova angelägen om att det föreslagna undantaget inte är ett generellt undantag utan ska prövas av personuppgiftsansvarig i varje en- skilt fall för att säkerställa att kraven för nyttjande av undantaget är upp- fyllda enligt utredningens intention.

Pensionsmyndigheten har inte funnit anledning att avstyrka utred- ningens förslag men anser att följande kan beaktas under den fortsatta be- redningen. Rätten till begränsning av behandling bör för den personupp- giftsansvarige i praktiken innebära ett incitament att se till att den person- uppgiftsbehandling som utförs lever upp till förordningens krav. Pensions- myndigheten anser att rätten till begränsning fyller en viktig funktion i skyddet av enskildas rättigheter och friheter vid behandling av personupp- gifter, samtidigt som rättigheten har en väldigt liten påverkan på sådan be- handling av personuppgifter som utförs i enlighet med förordningens krav.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till för- slaget. Den registrerades intressen i nämnda avseende bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Sveriges Kommuner och Landsting (SKL) anser att det kan finnas vissa tolkningssvårigheter beträffande vad som ska förstås med att forskningen försenas eller försvåras när det gäller inskränkningar i den re- gistrerades rätt under själva behandlingen och kontroll av personuppgifter i forskningen. Förbundet anser därför att denna fråga bör klarläggas ytter- ligare.

Malmö högskola anser att det föreslås en begränsning av den registrera- des rätt med hänvisning till artikel 89.2 i förordningen men utan att ta hän- syn till kraven i artikel 89.1. Datainspektionen avstyrker förslagen i forsk- ningsdatalagen som rör undantag från de registrerades rättigheter. Utred- ningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registre- rade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen av de remissinstanser som yttrat sig har kommenterat bedömningen specifikt.

Skälen för regeringens bedömning

Det saknas rättsliga förutsättningar för att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 b och c

Enligt artikel 18 b har den registrerade rätt att kräva av den personupp- giftsansvarige att behandlingen begränsas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället

Prop. 2017/18:298

125

Prop. 2017/18:298 begär en begränsning av deras användning. Enligt punkt c i samma artikel har den registrerade rätt att kräva att behandlingen begränsas om den per- sonuppgiftsansvarige inte längre behöver personuppgifterna för ändamå- len med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Att hindra den per- sonuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen, vilket utgör en förutsättning för att få göra undantag från rättigheten (artikel 89.2). Regeringen bedömer därför att det saknas rättsliga förutsättningar för att införa ett undantag från rätten till begränsning av behandling i fall som avses i artikel 18.1 b och c.

Det finns inget behov av att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 a och d

Enligt artikel 18.1 a har den registrerade rätt att kräva av den personupp- giftsansvarige att behandlingen begränsas om den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgifts- ansvarige möjligheten att kontrollera om personuppgifterna är riktiga. Den registrerades rätt till rättelse är mycket långtgående enligt dataskydds- förordningen och innebär bland annat en grundläggande skyldighet att utan dröjsmål rätta felaktiga uppgifter, varför den period som den person- uppgiftsansvarige behöver för att kontrollera om uppgifterna är riktiga torde vara högst begränsad. Ett utövande av rättigheten kommer därför sannolikt inte att omöjliggöra eller kraftigt försvåra ett uppfyllande av forskningsändamålet som sådant. Något behov av att föreskriva ett undan- tag från rätten att begränsa behandling för forskningsändamål enligt artikel 18.1 a finns därmed inte.

Enligt artikel 18.1 d har den registrerade rätt att kräva att behandlingen begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Enligt sistnämnda artikel har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grun- dar sig på artikel 6.1 e (uppgift av allmänt intresse eller led i myndighets- utövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Av artikel 21.6 framgår dock att om personuppgifterna behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av all- mänt intresse.

Som regeringen närmare utvecklar i avsnitt 13.6.2 bedömer regeringen att det inte finns något behov av att begränsa den registrerades rätt att in-

126

vända mot behandling enligt artikel 21.1 då det redan av artikel 21.6 fram- Prop. 2017/18:298 går att den registrerades rätt att invända mot behandling för forskningsän-

damål inte gäller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som framgår av avsnitt 7.2.2 är forskning som utförs av statliga universitet och högskolor och andra myndigheter normalt reglerad på ett sådant sätt att det är fråga om en uppgift av allmänt intresse i den mening som avses i artikel 6.1 e. Vidare görs i det avsnittet bedöm- ningen att forskning som utförs med stöd av ett godkännande enligt etik- prövningslagen och/eller tillstånd som krävs enligt annan lag också är att anse som en uppgift av allmänt intresse enligt artikel 6.1 e. Forskning som inte anses utgöra uppgift av allmänt intresse enligt nämnda artikel och som inte avser känsliga personuppgifter eller uppgifter om lagöverträdelser, och som därmed inte kräver tillstånd enligt lag, kan även utföras med sam- tycke som rättslig grund (artikel 6.1 a). Enligt regeringens bedömning är det därför ett begränsat antal personuppgiftsbehandlingar som kommer att komma ifråga för en sådan avvägning mellan den personuppgiftsansvari- ges tvingande berättigade skäl för behandlingen och den registrerades intressen enligt artikel 21.1. Den personuppgiftsansvariges kontroll av om dennes tvingande berättigade intressen väger tyngre än den registrerades bör kunna utföras relativt omgående. Mot denna bakgrund är det rege- ringens uppfattning att det är osannolikt att ett utövande av rätten att begränsa behandling under tiden den personuppgiftsansvarige kontrollerar om den dennes tvingande berättigade skäl väger tyngre än den registrera- des intressen, rättigheter och friheter enligt artikel 21.1 kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet. Det är i stället intresseavvägningen som kommer att avgöra om behandlingen ska få fortsätta i syfte att uppfylla forskningsändamålet.

Av artikel 18.2 framgår vidare att om en behandling har begränsats en- ligt punkt 1 i samma artikel får personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt all- mänintresse för unionen eller för en medlemsstat. Det åligger den person- uppgiftsansvarige att kunna påvisa att skäl som rör ett viktigt allmän- intresse föreligger.

Regeringen anser således sammanfattningsvis att något undantag från den registrerades rätt att begränsa behandling för forskningsändamål inte ska införas i svensk rätt.

13.6Bör det föreskrivas undantag från rätten att göra invändningar?

13.6.1Om innehållet i rättigheten

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. En motsva- rande rättighet föreskrevs även i dataskyddsdirektivet, men genomfördes i

127

Prop. 2017/18:298 PUL endast beträffande direkt marknadsföring (11 § PUL). Dataskydds- förordningen innebär därmed att rätten att göra invändningar utvidgas jäm- fört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförord- ningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa avgö- rande berättigade skäl för behandlingen som väger tyngre än den registre- rades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

När personuppgifter behandlas för bl.a. forskningsändamål ska enligt ar- tikel 21.6 den registrerade ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Det är inte uppenbart hur artikel 21.6 förhåller sig till artikel 21.1. Enligt artikel 21.1 ska den registrerade ha rätt att invända mot behandling som grundar sig på artikel 6.1 e eller f. Av artikel 21.6 framgår istället att om behandling sker för forskningsändamål ska den registrerade ha rätt att in- vända mot behandling om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Regeringen bedömer att artikel 21.6 innebär att om den registrerade in- vänder mot behandling för forskningsändamål så måste den personupp- giftsansvarige göra en prövning av om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om resultatet av denna bedömning blir att behandlingen inte är nödvändig så har den registrerade en rätt att invända mot behandlingen. Om så är fallet ska invändningen i nästa steg prövas enligt artikel 21.1 och den personuppgiftsansvarige måste visa av- görande berättigade skäl för att få fortsätta behandlingen. Om behand- lingen däremot bedöms nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända och någon prövning enligt artikel 21.1 kommer inte ifråga. Vad som avses med begreppet ”nödvän- dig” har behandlats i avsnitt 7.1.2.

13.6.2 Det bör inte föreskrivas undantag från rätten att göra invändningar

Regeringens bedömning: Något undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

	Utredningens bedömning överensstämmer med regeringens bedöm-
	ning.
	Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker
	eller har inga invändningar mot utredningens bedömning.
	Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
	ringens bedömning.
	Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig
128	delar bedömningen eller har inget att invända. Umeå universitet framhåller
128

att om en behandling av personuppgifter baseras på allmänt intresse som rättslig grund kan den registrerade inte invända mot behandlingen och forskningen kan därmed genomföras på ett förutsägbart sätt. Om behand- lingen grundar sig på intresseavvägning har emellertid den registrerade en möjlighet att invända mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I enlighet med nuvarande synsätt kan en personuppgiftsansvarigs intresse endast i undantagsfall an- ses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad (se Datainspektionens informationsskrift om intresse- avvägning). I utkastet till lagrådsremiss (s. 113) gör regeringen bedöm- ningen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning om erforderliga säkerhets- åtgärder vidtas. Om denna bedömning från regeringen innebär en ändring i hur intresseavvägningen ska göras har Umeå universitet svårt att uttala sig om men universitetet vill likaväl understryka att intresseavvägning som rättslig grund kan innebära att förutsättningarna för forskningssamarbeten inte blir lika förutsägbara.

Skälen för regeringens bedömning: Enligt artikel 89.2 är det, som framgått, möjligt att i nationell rätt fastställa undantag från den registrera- des rätt att invända mot personuppgiftsbehandling för forskningsändamål i den utsträckning som rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådant undantag krävs för att uppnå forskningsändamålet.

Som redovisats ovan finns det en begränsning av den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål som föl- jer direkt av artikel 21.6. Om sådan behandling är nödvändig för att utföra forskning av allmänt intresse har den registrerade inte rätt att invända mot behandling.

För sådan personuppgiftsbehandling som inte är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade en rätt att invända. Den personuppgiftsansvarige måste då, enligt artikel 21.1, kunna påvisa avgö- rande berättigade skäl för behandlingen som väger tyngre än den registre- rades intressen, rättigheter och friheter. I annat fall får den personuppgifts- ansvarige inte längre behandla personuppgifterna.

Som framgår av avsnitt 7.2.2 är det regeringens bedömning att offentliga forskningsutförare som huvudregel kan använda sig av den rättsliga grun- den allmänt intresse vid personuppgiftsbehandling för forskningsändamål. I sådana fall har den registrerade inte rätt att invända mot sådan behandling enligt 21.6 och någon avvägning enligt artikel 21.1 blir inte aktuell. För privaträttsliga forskningsutförare som har fått de tillstånd som krävs för ett forskningsprojekt, enligt t.ex. etikprövningslagen för behandling för forsk- ningsändamål av känsliga personuppgifter eller personuppgifter om lag- överträdelser, anser regeringen att grunden för behandlingen är fastställd i enlighet med svensk rätt på ett sådant sätt att de kan tillämpa den rättsliga grunden allmänt intresse. Detta innebär att den registrerade inte heller då har en rätt att invända mot behandling enligt artikel 21.6. Något behov av undantag från artikel 21 finns därmed inte för dessa situationer.

Prop. 2017/18:298

129

Prop. 2017/18:298 Vad som återstår är då de behandlingar av personuppgifter som avser andra slags uppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser och som utförs av privata forskningsutförare med stöd av den rättsliga grunden intresseavvägning. Den registrerade kan i ett sådant fall invända mot behandling av personuppgifter för forskningsändamål ef- tersom denna situation inte omfattas av artikel 21.6, och då ska en avväg- ning enligt artikel 21.1 göras. Forskningsutföraren ska då kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Som framgår av avsnitt

7.2.3är det regeringens uppfattning att presumtionen är att forskning är en uppgift av allmänt intresse och att det därmed är fråga om ett berättigat intresse. Det finns därmed stora möjligheter att behandla personuppgifter efter en intresseavvägning under förutsättning att erforderliga säkerhetsåt- gärder vidtas. Forskningsutföraren har enligt artikel 21.1 att bedöma om det berättigade intresset som denne grundar sin behandling på från början är avgörande och väger tyngre i det enskilda fallet. I de fall det inte väger tyngre än den registrerades intressen, rättigheter och friheter ska forsk- ningen inte få utföras.

Umeå universitet ifrågasätter om bedömningen i utkastet till lagrådsre- miss, avseende möjligheterna att i detta sammanhang behandla personupp- gifter efter en intresseavvägning, innebär en ändring i hur intresseavväg- ningen ska göras och hänvisar till Datainspektionens informationsskrift om intresseavvägning där det framgår att en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad. Datainspektionens informationsskrift rör intresseavvägning generellt och behandlar inte spe- cifikt forskningsändamål. Som framgår av avsnitt 7.1.3 har Artikel 29- gruppen uttalat beträffande intresseavvägning att vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra ve- tenskaplig forskning. Bland de vanligaste sammanhang där frågan om be- rättigat intresse kan uppstå nämner Artikel 29-gruppen behandling för bl.a. forskningsändamål.

Det är sammanfattningsvis regeringens bedömning att rätten att göra in- vändningar enligt artikel 21 inte kan anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Det är vidare regeringens bedömning att rätten att invända mot behandling är en viktig rättighet för den registrerade och därför bör finnas i de fall den är tillämplig vid be- handling av personuppgifter för forskningsändamål.

Regeringen anser således att något undantag från rätten att invända mot personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

130

14	Behöver ytterligare anpassningar göras i Prop. 2017/18:298
	etikprövningslagen?

14.1Inga ytterligare anpassningar behöver göras i etikprövningslagen

Regeringens bedömning: Resterande bestämmelser i lagen om etik- prövning av forskning som avser människor behöver inte anpassas med anledning av EU:s dataskyddsförordning.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Enligt Karl- stads universitet skulle en direkt hänvisning till dataskyddsförordningen i 6 § etikprövningslagen kunna underlätta förståelsen för att reglerna i data- skyddsförordningen alltid måste tillämpas även i de fall där ett forsknings- etiskt godkännande har inhämtats för ett forskningsprojekt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen, bland annat Regionala etikprövningsnämnden i Lund, eller har inget att invända. Stockholms universitet anför att för att etikpröv- ning enligt etikprövningslagen ska kunna fylla sin funktion, som en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behand- ling av känsliga personuppgifter och personuppgifter om lagöverträdelser för andra forskningsändamål än klinisk läkemedelsprövning enligt data- skyddsförordningen, är det viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Det måste med andra ord säkerställas att allt som räknas som forskning enligt dataskyddsförordningen också räknas som forskning enligt definitionen i etikprövningslagen. Annars kan viss per- sonuppgiftsbehandling för forskningsändamål som enligt dataskydds- förordningen måste omfattas av sådan skyddsåtgärd för att få utföras falla utanför etikprövningslagens tillämpningsområde. Detta skulle innebära att dessa behandlingar inte skulle få utföras enligt dataskyddsförordningen (såvida de inte skulle omfattas av andra skyddsåtgärder som uppfyller förordningens krav). Enligt Forskningsdatautredningen bör forsknings- begreppet (inom den kompletterande nationella dataskyddslagstiftningens tillämpningsområde) avgränsas på följande vis: ”Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå” (s. 97). För att uppnå den nivå av har- moni som krävs för att regleringen ska fungera som avsett föreslår Stock- holms universitet att etikprövningslagen anpassas efter dataskyddsförord- ningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med denna avgränsning.

131

Prop. 2017/18:298 Regionala etikprövningsnämnden i Umeå påpekar att Forsknings- begreppet inte har definierats i förordningen men att det av skäl 159 fram- går att man har tänkt sig en mycket vid tolkning som även omfattar exem- pelvis teknisk utveckling och demonstration och studier av allmänt intresse inom folkhälsoområdet. Som kontrast till detta kan man ställa etik- prövningslagens definition som är tämligen snäv och utesluter till exempel kvalitetssäkring, resultatuppföljning och studentarbeten. Om man inte gör något åt detta anser etikprövningsnämnden att det kommer att bli oklart hur man ska tillämpa bestämmelserna om ändamålsbegränsning (art. 5.1 b), rättslig grund (art. 6.1 e), behandling av känsliga personuppgifter (art. 9.2 g-j) och undantag (art. 89).

Högskolan i Borås konstaterar att i utkastet till lagrådsremiss utvecklar inte regeringen sin syn på definition av ”forskningsändamål” utan hänvisar till dataskyddsförordningens definition. Regeringen föreslår vidare etik- prövning som skyddsåtgärd vid behandling av känsliga personuppgifter. I etikprövningslagen finns en definition av ”forskning”. Högskolan önskar framföra vikten av ett sammanhållet förändringsarbete avseende lagar och förordningar med anledning av att dataskyddsförordningen träder i kraft.

Sveriges lantbruksuniversitet efterfrågar vägledning gällande gräns- dragningen för forskningsändamål kontra annan behandling och framför att det synes vara en av förändringarna i den översyn av etikprövnings- lagen som pågår parallellt med detta lagstiftningsarbete att definiera forsk- ning. Att i etikprövningslagen definiera forskning är välkommet – men den definitionen har i sig ett oklart rekvisit i det att den talar om ”[…]samt utvecklingsarbete på vetenskaplig grund,[…]” som något som ska ses som forskning. Då denna definition synes vara så nära vi kommer att komma en definition av forskningsändamål, utan att den uttryckligen gör anspråk på att vara den definitionen i förhållande till dataskyddsförordningen, är det angeläget att det blir så tydligt som möjligt vad som utgör det, för att undvika att vi tillämpar privilegierna i dataskyddsförordningen på ett fel- aktigt sätt. För SLU:s del innebär det framförallt osäkerhet i hur vi ska betrakta vårt uppdrag att bedriva fortlöpande miljöanalys enligt 1 kap. 1a

§förordning (1993:221) för Sveriges lantbruksuniversitet. Detta synes kunna rymmas under definitionen av forskning enligt den nya lydelse i etikprövningslagen som föreslås i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete, men är ändå särreglerat från forskningsuppdraget i förordningen för Sveriges lantbruksuniversitet. Den ökade tvärvetenskapligheten på området när det utvecklas infrastruktur för forskning gör att detta är relevant för SLU att få belyst, även om det är en mycket specifik fråga.

Skälen för regeringens bedömning: I avsnitt 12 har regeringen före- slagit att definitionen av behandling av personuppgifter i 2 § etikpröv- ningslagen ska ändras genom att hänvisningen till 3 § PUL ska bytas ut mot en hänvisning till artikel 4.2 i dataskyddsförordningen. I nämnda avsnitt föreslås vidare att tillämpningsområdet för etikprövningslagen en- ligt 3 § ska utökas med anledning av att dataskyddsförordningens defi- nition av särskilda kategorier av personuppgifter (känsliga person- uppgifter) är vidare än dataskyddsdirektivets och PUL:s definitioner samt att hänvisningarna till PUL i den paragrafen ska tas bort. Regeringen har i avsnitt 13.2 föreslagit att 12 § etikprövningslagen, som reglerar att person-

132

uppgifter får lämnas ut för att användas i forskning om hinder inte före- ligger på grund av regler om sekretess och tystnadsplikt, ska upphävas. Som framgår av det avsnittet anser regeringen att det redan finns be- stämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser därför i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestäm- melser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Det är regeringens bedömning att övriga bestämmelser i etikprövnings- lagen är förenliga med dataskyddsförordningen.

Karlstads universitet önskar en förtydligad koppling till dataskydds- förordningen i 6 § etikprövningslagen. Av sista meningen i 6 § framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. Detta innebär enligt förarbetena att ett god- kännande vid etikprövning inte alltid är en tillräcklig förutsättning för forskningens bedrivande. Forskning som har etikgodkänts måste ändå vara förenlig med bland annat dataskyddsförordningens bestämmelser, i de de- lar där någon tillämplig kompletterande särreglering inte förekommer. Detta förhållande torde enligt Karlstads universitet bli ännu mer betydel- sefullt när dataskyddsförordningen börjar tillämpas, eftersom dataskydds- förordningen till skillnad från PUL inte är subsidiär i förhållande till etik- prövningslagen. Regeringen instämmer i stort i det resonemang Karlstad universitet för i sitt yttrande men anser inte att en uttrycklig hänvisning till dataskyddsförordningen bör införas i den aktuella bestämmelsen. Data- skyddsförordningen är direkt tillämplig i Sverige och jämställs i den svenska rättsordningen med en lag. Att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning gäl- ler för all forskning som etikprövningslagen omfattar, inte bara person- uppgiftsbehandling för forskningsändamål, vilket innebär att det är ett stort antal författningar som kan komma ifråga utöver dataskyddsförord- ningen. Att enbart hänvisa till dataskyddsförordningen riskerar därför att bli missvisande i sammanhanget.

Stockholms universitet och Regionala etikprövningsnämnden i Umeå framhåller att det är viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av data- skyddsförordningen. Stockholms universitet föreslår därför att etikpröv- ningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2

§etikprövningslagen ändras i enlighet med den avgränsning som förts fram av Forskningsdatautredningen. I etikprövningslagen definieras forsk- ning idag som vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå. Regeringen kan konstatera att forskning inte definieras i dataskyddsförordningen, men att behandling av personuppgif- ter för vetenskapliga forskningsändamål bör ges en vid tolkning i förord- ningen (skäl 159) och att förordningen även ska omfatta historiska forsk- ningsändamål (skäl 160). Av dessa skäl kan utläsas att inom begreppet ve- tenskapliga forskningsändamål ska inordnas t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning, privatfinansierad forskning och studier som utförs av ett allmänt intresse inom folkhälsoom- rådet. När det gäller historiska forskningsändamål anges forskning för

Prop. 2017/18:298

133

Prop. 2017/18:298 historiska och genealogiska ändamål som exempel. Det är regeringens uppfattning att grundforskning, tillämpad forskning och privatfinansierad forskning samt forskning för historiska och genealogiska ändamål tydligt omfattas av etikprövningslagens definition av forskning. Beträffande tek- nisk utveckling och demonstration bör sådan verksamhet kunna inordnas inom ramen för forskningsdefinitionen genom formuleringen om utveck- lingsarbete på vetenskaplig grund, i den mån känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas i sådan forsknings- verksamhet. Vetenskapliga studier som utförs av ett allmänt intresse inom folkhälsoområdet kan enligt regeringens mening inte anses utgöra annat än sådan forskning som omfattas av etikprövningslagens definition. Det är regeringens uppfattning att det är möjligt att det skulle kunna förekomma situationer då etikprövningslagens definition av forskning inte fullt ut täcker vad som avses med forskningsändamål enligt dataskyddsförord- ningen, mot bakgrund av att dataskyddsförordningen inte har en tydlig de- finition utan enbart en riktlinje om att tolka begreppet vitt och några få exempel på vad som ska inordnas. Vilka dessa situationer skulle kunna vara har dock regeringen inte kunnat utröna, utan det får rättstillämpningen utvisa liksom behov av eventuella ytterligare lagstiftningsåtgärder.

Som framgått ovan för Forskningsdatautredningen ett resonemang kring en alternativ definition av forskning i sitt delbetänkande, vilken formule- rades som ”vetenskapligt arbete för att inhämta ny kunskap och utveck- lingsarbete på vetenskaplig grund, dock inte sådant arbete som endast ut- förs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå”. Utredningen föreslog dock ingen ändring i etikprövningslagen. Det saknas därför tillräckligt beredningsunderlag för en sådan justering i detta lagstiftningsärende. Därtill pågår redan en översyn av etikprövningslagen. Som Sveriges lantbruksuniversitet påpekar i sitt remissyttrande har bl.a. definitionen av forskning i 2 § etikprövningslagen setts över av Utred- ningen om översyn av etikprövningen, som i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104) har föreslagit en ändrad definition. Betänkandet bereds för när- varande inom Regeringskansliet. Universitetets önskan om vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling kommer att behandlas inom ramen för det lagstiftningsarbetet.

14.2Rättsligt stöd för personuppgiftsbehandling i etikprövningsnämndernas verksamhet

Även etikprövningsnämndernas personuppgiftsbehandling behöver ha rättsligt stöd i dataskyddsförordningen och tillämplig nationell rätt. Den personuppgiftsbehandling som etikprövningsnämnderna utför i sin verk- samhet utgör enligt regeringens bedömning inte behandling för forsk- ningsändamål, så som begreppet är avsett att tolkas enligt dataskydds- förordningen. Personuppgiftsbehandling i etikprövningsnämndernas verk- samhet omfattas i stället av regleringen i dataskyddsförordningen och dataskyddslagen.

134

15Vilka behov finns det av sektorslagstift- ning på forskningsområdet?

15.1Det behövs för närvarande inte någon forsk- ningsdatalag

Regeringens förslag: En bestämmelse om att personuppgifter som en- bart behandlas för forskningsändamål ska få användas för att vidta åt- gärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, ska föras in i dataskydds- lagen.

Regeringens bedömning: Utöver förslaget ovan är det för närva- rande tillräckligt att etikprövningslagen och de befintliga registerför- fattningarna på forskningsområdet anpassas till EU:s dataskyddsförord- ning. Det bör i nuläget inte införas någon ytterligare lag som komplet- terar EU:s dataskyddsförordning vid personuppgiftsbehandling för forskningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att en ny lag som kompletterar dataskyddsförordningen vid personuppgiftsbehandling för forskningsän- damål, forskningsdatalagen, ska införas.

Remissinstanserna: Majoriteten av remissinstanserna som yttrat sig i frågan tillstyrker eller ställer sig positiva till införandet av en särskild forskningsdatalag. Datainspektionen konstaterar att dataskyddsförord- ningen är direkt tillämplig men har en direktivliknande karaktär, dvs. den kräver i vissa fall kompletterande nationell lagstiftning. Om det inte säker- ställs att särskild nationell lagstiftning införs där behov finns och data- skyddsförordningen så kräver, finns det en risk för att behandling av per- sonuppgifter för forskningsändamål inte kan utföras.

Uppsala universitet påpekar att genomförandet av den direktivliknande dataskyddsförordningen leder till ett mycket komplext rättsligt system där EU-förordningen ska tillämpas parallellt med svensk lagstiftning som i sin tur är subsidiär i flera led.

Försvarsmaktens uppfattning är att svensk lagstiftning bör vara tydlig och överskådlig vilket underlättar tillämpningen. Försvarsmakten gör be- dömningen att införandet av en ny separat forskningsdatalag som komple- ment till den föreslagna dataskyddslagen riskerar att få motsatt effekt och av det skälet förordar Försvarsmakten att innehållet i föreslagen dataforsk- ningslag istället inarbetas i den föreslagna dataskyddslagen. Västerbottens läns landsting anser att de förändringar som föreslås bör gå att inrymma i den generella lagstiftningen i stället för att skapa en egen lag.

Förslaget och bedömningen i utkastet till lagrådsremiss överens- stämmer med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn- punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Ingen remissinstans invänder mot den lagtekniska bedömning som görs att en särskild forskningsdatalag endast skulle komma att innehålla ett fåtal bestämmelser, varav några skulle bli

Prop. 2017/18:298

135

Prop. 2017/18:298 av upplysningskaraktär. Bland de som ställer sig positiva till förslagen och bedömningarna finns Luleå kommun, Högskolan i Borås, Karlstads uni- versitet, Karolinska institutet och Malmö universitet. Göteborgs universi- tet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsre- miss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intres- sen av att kunna använda personuppgifter och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Stockholms läns landsting anser att rege- ringen fört fram vägande skäl för att inte gå vidare med den bakomlig- gande utredningens förslag till forskningsdatalag. Mot bakgrund av de synpunkter som redovisas i utkastet till lagrådsremiss delar Arbetsgivar- verket uppfattningen att en särskild forskningsdatalag inte bör införas i nu- läget. Bland de som inte har några synpunkter på eller erinran mot bedöm- ningen finns Justitiekanslern, Kammarrätten i Stockholm och Regionala etikprövningsnämnderna i Göteborg och Linköping samt Socialstyrelsen. Regionala etikprövningsnämnden i Lund tillstyrker bedömningen i denna del av det skäl som anges i utkastet, nämligen att en sådan lagstiftning i stort skulle innebära en onödig dubbelreglering. Nämnden konstaterar dock att avståendet från ett införande av forskningsdatalag innebär ett be- kymmer i fråga om privata forskare och vilken rättslig grund de kommer att kunna använda för sin personuppgiftsbehandling.

Flera remissinstanser, Kalmar läns landsting, Lunds universitet, Stock- holms universitet, Vinnova, Sveriges lantbruksuniversitet, Institutet för ar- betsmarknads- och utbildningspolitisk utvärdering, Läkemedelsindustri- föreningen och Sveriges Kommuner och Landsting (SKL), vidhåller sin tidigare redovisade positiva inställning till införandet av en särskild forsk- ningsdatalag och de framhåller att en särskild forskningsdatalag skulle vara pedagogisk, bidra till tydlighet och underlätta för forskarna att til- lämpa dataskyddsförordningen. SKL har dock inget att erinra mot att be- hövliga regler istället inarbetas i andra lagar om en ny forskningsdatalag bara skulle innehålla ett fåtal paragrafer, varav ett par skulle ha karaktären av upplysningsbestämmelser. Regionala etikprövningsnämnden i Umeå anser att lagstiftningen hade vunnit i klarhet om det hade funnits en forsk- ningsdatalag eller ett avgränsat kapitel med motsvarande innehåll i data- skyddslagen. Västra Götalands läns landsting avstyrker regeringens be- dömning i denna del och framhåller att det finns ett behov av att införa en

	forskningsdatalag för att undanröja oklarheter och gråzonsproblematik.
	Skälen för regeringens förslag och bedömning
	En forskningsdatalag skulle innehålla få bestämmelser
	Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att in-
	vända mot förslaget att en ny forskningsdatalag ska införas. Regeringen
	har i tidigare avsnitt analyserat i vilken mån de möjligheter till nationell
	reglering som finns enligt dataskyddsförordningen när det gäller villkoren
	för behandling av personuppgifter för forskningsändamål kan och bör ut-
	nyttjas. Regeringen har då bedömt, mot bakgrund av remissutfallet av-
	seende de enskilda bestämmelserna, att flera av de bestämmelser som ut-
136	redningen har föreslagit ska ingå i en forskningsdatalag inte bör införas.

Mot den bakgrunden kan det övervägas om det är befogat att införa en forskningsdatalag eller om den eller de bestämmelser om behandling av personuppgifter för forskningsändamål som bedöms behövas bör placeras i andra lagar, t.ex. dataskyddslagen, som Försvarsmakten och Västerbot- tens läns landsting har föreslagit.

Som framgår av avsnitt 9.3 föreslår regeringen att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åt- gärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd). En motsvarande bestämmelse fanns i PUL, men då PUL har upphävts måste bestämmelsen föras in i en annan lag.

I avsnitt 10.3 har regeringen bedömt att etikprövning enligt etikpröv- ningslagen är en sådan lämplig och särskild åtgärd som krävs för behand- ling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning. Regeringen har vi- dare bedömt att redan regleringen i etikprövningslagen, med nödvändiga anpassningar till dataskyddsförordningen, måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j i dataskyddsförordningen. Det innebär att en bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag anges att känsliga personuppgifter med stöd av artikel 9.2 j i dataskyddsförordningen får behandlas, om behand- lingen är nödvändig för andra forskningsändamål än klinisk läkemedels- prövning och om behandlingen har godkänts enligt etikprövningslagen, närmast får karaktären av en upplysningsbestämmelse.

I avsnitt 11.2 har regeringen gjort bedömningen att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsän- damål enligt dataskyddsförordningen. Även i detta fall gör regeringen bedömningen att en bestämmelse i en ny forskningsdatalag som hänvisar till etikprövningslagen skulle ha karaktären av en upplysningsbestäm- melse eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1.

Regeringen konstaterar att upplysningsbestämmelser bara bör införas om de har ett särskilt upplysningsvärde. Dataskyddsförordningen började tillämpas den 25 maj 2018 och PUL upphörde då att gälla. Regeringen konstaterar att en forskningsdatalag bara skulle innehålla dels bestäm- melsen om att personuppgifter som enbart behandlas för forskningsända- mål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intres- sen (generell skyddsåtgärd), dels ett par upplysningsbestämmelser.

Om en forskningsdatalag införs bedöms det därutöver behövas bestäm- melser som reglerar lagens förhållande till dataskyddsförordningen, data- skyddslagen och annan nationell reglering som innehåller bestämmelser om personuppgiftsbehandling för forskningsändamål samt författningens tillämpningsområde. Innan regeringen tar ställning till om det finns skäl att införa en lag som huvudsakligen kommer att innehålla upplysnings- bestämmelser bör frågan om vilket tillämpningsområde en sådan lag skulle ha, behandlas.

Prop. 2017/18:298

137

Prop. 2017/18:298

138

Frågor om det territoriella tillämpningsområdet

Vare sig Dataskyddsutredningen eller Forskningsdatautredningen har läm- nat förslag om det territoriella tillämpningsområdet för dataskyddslagen respektive forskningsdatalagen. Två promemorior remitterades därför, dels promemorian Kompletterande promemoria till betänkandet Ny data- skyddslag (SOU 2017:39), dels Kompletterande promemoria till betän- kandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). På grundval av den förstnämnda promemorian har det i dataskyddslagen införts kompletterande bestämmelser om tillämpningsområdet för den lagen. I den andra promemorian föreslås en bestämmelse som innebär att forskningsdatalagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhets- ställen i Sverige. Det innebär att etableringslandsprincipen tillämpas och att principerna i dataskyddsförordningen och dataskyddslagen följs.

Majoriteten av de remissinstanser som yttrat sig tillstyrker, ställer sig positiva till eller har inte något att invända mot förslaget. Flera remiss- instanser, som Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Karlstads universitet, Lunds universitet, Mittuniversitet, Stockholms uni- versitet, Centrala etikprövningsnämnden och Regionala etikprövnings- nämnden i Umeå, har emellertid påpekat att det i promemorian föreslagna tillämpningsområdet innebär att det kommer att finnas en diskrepans i för- hållande till etikprövningslagens tillämpningsområde. Det föreslagna til- lämpningsområdet för forskningsdatalagen, som innebär att principerna i dataskyddsförordningen och dataskyddslagen ska följas, innebär att lagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behandlingen utförs inom ramen för verksam- het som bedrivs vid verksamhetsställen här i landet, oavsett var behand- lingen av personuppgifter äger rum. Etikprövningslagen tillämpas i stället på forskning som ska utföras i Sverige (5 § etikprövningslagen). Skillna- den innebär således att forskningsdatalagen skulle bygga på var den per- sonuppgiftsansvarige är etablerad och att behandling av personuppgifter som sker inom ramen för den verksamhet som den personuppgiftsansva- rige bedriver skulle omfattas av lagen oberoende av var personuppgiftsbe- handlingen faktiskt äger rum, medan regleringen i etikprövningslagen bygger på var forskningen som innefattar personuppgiftsbehandling fak- tiskt utförs.

I de allra flesta fall skulle den föreslagna bestämmelsen om forsknings- datalagens tillämpningsområde innebära att regleringen i den lagen och etikprövningslagen är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som sker inom ramen för forsk- ningsverksamhet som bedrivs av en forskningsutförare som har verksam- hetsställe i Sverige rent faktiskt äger rum utanför Sverige. Etikprövnings- lagen är då inte tillämplig. Även den motsatta situationen tas upp av re- missinstanserna, dvs. att forskning som innefattar behandling av person- uppgifter till någon del sker i Sverige men inte inom ramen för ett verk- samhetsställe här. Då krävs ett etikgodkännande enligt etikprövningslagen men forskningsdatalagen är inte tillämplig. Det kan alltså förekomma

situationer då regleringen i lagarna inte är helt förenliga. För att åstad- komma att regleringen i lagarna är förenliga med varandra krävs en över- syn av tillämpningsområdet för etikprövningslagen. Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvud- mannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterli- gare övervägande behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle ske av forskning som ska ut- föras i Sverige. Ett beredningsunderlag för en anpassning av etikpröv- ningslagen till principerna som gäller för tillämpningsområdet för dataskyddsförordningen och som föreslagits för den föreslagna forsk- ningsdatalagen saknas i nuläget. En forskningsdatalag skulle således kom- ma att ha ett tillämpningsområde som inte helt överensstämmer med tillämpningsområdet för etikprövningslagen, som lagen skulle hänvisa till.

I en situation där personuppgiftsbehandlingen i forskningsverksamhet som bedrivs vid ett verksamhetsställe i Sverige utförs utanför Sverige och forskningsutföraren inte kan få ett etikgodkännande för en behandling av känsliga personuppgifter eller ett tillstånd från Läkemedelsverket behöver den personuppgiftsansvarige förlita sig på samtycke från de registrerade enligt artikel 6.1 a i dataskyddsförordningen. Som framgår av avsnitt 7.2 bör dataskyddsförordningen normalt inte innebära något hinder för forsk- ningsaktörer att använda samtycke som rättslig grund för sin personupp- giftsbehandling. Det måste dock beaktas om det föreligger en sådan ojäm- lik situation att det inte kan sägas att inhämtade samtycken lämnas frivil- ligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forsk- ningsutförare.

Det bör i nuläget inte införas en forskningsdatalag

En särskild forskningsdatalag skulle visserligen, som ett antal remiss- instanser påtalar, kunna skapa klarhet kring rättsläget nu när dataskydds- förordningen har börjat tillämpas och PUL har upphävts. En forsknings- datalag skulle emellertid som angivits endast komma att innehålla ett fåtal paragrafer, varav två bestämmelser har karaktären av upplysningsbestäm- melser. Endast den bestämmelse om användningsbegränsning som har funnits i PUL behövs i sak (bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen). Det upplysningsvärde som upplysningsbestämmelserna skulle kunna ha uppväger dock enligt rege- ringen inte den förvirring som skulle kunna uppstå om den lag som inne- håller upplysningsbestämmelserna inte har helt samma tillämpningsom- råde som de lagar som den hänvisar till. Den bestämmelse om använd- ningsbegränsning som har funnits i PUL kan vidare med fördel placeras i dataskyddslagen, då den lagen har ett motsvarande tillämpningsområde som föreslogs i promemorian för forskningsdatalagen. I 4 kap. dataskydds- lagen finns det bestämmelser om användningsbegränsningar vid behand- ling av personuppgifter för statistik- och arkivändamål. Det framstår som logiskt att det kapitlet kompletteras med en bestämmelse om användnings- begränsning vid behandling av personuppgifter för forskningsändamål.

Prop. 2017/18:298

139

Prop. 2017/18:298 Det är därför regeringens sammantagna bedömning att en särskild forsk- ningsdatalag inte bör införas i nuläget. Flertalet remissinstanser har till- styrkt, inte haft några synpunkter på eller erinran mot denna bedömning.

Det sagda innebär att när det gäller personuppgiftsbehandling för andra forskningsändamål än kliniska läkemedelsprövningar kommer PUL och etikprövningslagen att ersättas av dataskyddsförordningen, dataskyddsla- gen och en uppdaterad etikprövningslag.

När det gäller kliniska läkemedelsprövningar kommer PUL, etikpröv- ningslagen och läkemedelslagen att ersättas av EU:s förordning om kli- niska prövningar av humanläkemedel, den föreslagna lagen med komplet- terande bestämmelser om etisk granskning till den nämnda EU-förord- ningen, en uppdaterad läkemedelslag samt dataskyddsförordningen och dataskyddslagen.

15.2Sekretess ska gälla för uppgifter som behandlas i strid med personuppgiftsregleringen

Regeringens förslag: Sekretess ska gälla för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med etikprövningslagen i fråga om känsliga personuppgifter eller upp- gifter om lagöverträdelser.

Regeringens bedömning: Den tystnadsplikt som följer av sekretess- bestämmelsen bör inte inskränka den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihets- grundlagen.

Utredningen föreslår inte någon sådan bestämmelse. Remissinstanserna: Arbetsgivarverket och Arbetsförmedlingen tar upp

behovet av att göra en ändring i 21 kap. 7 § OSL, utöver de ändringar i bestämmelsen som Dataskyddsutredningen föreslagit i sitt betänkande SOU 2017:39. Enligt 21 kap 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Dataskyddsutredningen har i betänkandet föreslagit att bestämmelsen i 21 kap 7 § OSL i stället för att hänvisa till personuppgiftslagen, bör hänvisa till dataskyddsförordningen och data- skyddslagen. Eftersom 19 och 21 §§ PUL, i de delar som anger att känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen, enligt utredningens förslag i stället föreslås flyttas över till forskningsda- talagen, framhåller Arbetsgivarverket och Arbetsförmedlingen behovet av att det i 21 kap 7 § OSL införs en hänvisning även till forskningsdatalagen. Detta i syfte att undvika att sekretessbelagda känsliga personuppgifter lämnas ut för forskningsändamål utan att detta är förenligt med vad som anges i forskningsdatalagen.

140

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag. I utkastet till lagrådsremiss fanns inte någon bedömning angiven.

Remissinstanserna: Datainspektionen är positiv till att sekretesskyddet bevaras men anser att det finns anledning att analysera vilka motsvarande

skyddsåtgärder som behövs när enskilda utförare av forskning behandlar personuppgifter. Lunds universitet anser att förslaget till ändring i offent- lighets- och sekretesslagen är nödvändigt. Svenska Tidningsutgivareföre- ningen har inget att invända mot förslaget men framhåller att lagrådsre- missen bör kompletteras med ett förtydligande att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande till medier som omfattas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Kungl. Tekniska högskolan (KTH) anser att hänvisningen till etikpröv- ningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighets- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation, en behandling för forskningsändamål som inte har godkänts enligt etikprövningslagen, som avsikten är att bestämmelsen ska reglera. KTH framhåller dessutom att det i bestämmelsen även bör hän- visas till 3 § i etikprövningslagen.

Skälen för regeringens förslag: Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL. Det får numera anses fastslaget i praxis att det som ska bedömas är huruvida mottagarens avsedda behand- ling av de personuppgifter som begärs ut uppfyller kraven enligt PUL (HFD 2014 ref. 66). Eftersom PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och data- skyddslagen har det även gjorts en följdändring i 21 kap. 7 § OSL, som innebär att sekretess gäller för personuppgift, om det kan antas att uppgif- ten efter ett utlämnande kommer att behandlas i strid med dataskyddsför- ordningen eller dataskyddslagen.

I propositionen Ny dataskyddslag konstaterade regeringen att det kom- mer att finnas andra författningar än dataskyddslagen i svensk rätt som innehåller bestämmelser om behandling av personuppgifter. Så var fallet redan tidigare, men bestämmelsen i 21 kap. 7 § OSL hänvisade i sin tidi- gare lydelse bara till PUL. Då Dataskyddsutredningen inte föreslagit att sekretessbestämmelsens tillämpningsområde ska utsträckas till att även omfatta t.ex. behandling av utlämnade uppgifter som kan antas strida mot registerförfattningar konstaterade regeringen i propositionen att konse- kvenserna av en sådan utvidgning inte var utredda och regeringen lämnade därför inte något förslag till utvidgning av bestämmelsens tillämpnings- område i propositionen.

PUL innehöll bestämmelser som särskilt reglerade möjligheten att be- handla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel el- ler administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL).

Dataskyddsförordningen anger särskilda villkor som gäller vid behand- ling av personuppgifter för forskningsändamål, som t.ex. att sådan behand- ling ska omfattas av lämpliga skyddsåtgärder och att behandling av käns- liga personuppgifter för sådant ändamål ska ske på grundval av unionsrät- ten eller medlemsstaternas nationella rätt, dvs. behandlingen måste ha stöd i nationell rätt, och den måste innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Förordningen anger däremot inte mer preciserat

Prop. 2017/18:298

141

Prop. 2017/18:298 vilka skyddsåtgärder som ska tillämpas vid behandling av personuppgifter

	för forskningsändamål.
	Den föreslagna dataskyddslagen innehåller inga bestämmelser som sär-
	skilt reglerar behandling av personuppgifter för forskningsändamål. Som
	regeringen närmare utvecklar i avsnitt 10.3 och 11.2 gör regeringen be-
	dömningen att den reglering som finns i etikprövningslagen, som anger att
	forskning som innefattar behandling av känsliga personuppgifter och upp-
	gifter om lagöverträdelser bara får utföras om den har godkänts vid en
	etikprövning (se 3 och 6 §§ etikprövningslagen) – med nödvändiga an-
	passningar till dataskyddsförordningen – ger det stöd som krävs i nationell
	rätt enligt dataskyddsförordningen för att behandling av sådana uppgifter
	ska vara tillåten. Regeringen gör därför i avsnitt 15.1 bedömningen att
	några bestämmelser som motsvarar 19 och 21 §§ PUL inte behöver över-
	föras till en ny forskningsdatalag. Om en hänvisning till etikprövningsla-
	gens bestämmelser om krav på godkännande av forskning som innefattar
	behandling av känsliga personuppgifter och uppgifter om lagöverträdelser
	inte tas in i 21 kap. 7 § OSL skulle det innebära en ändring i sak i förhål-
	lande till gällande rätt, på så vis att det sekretesskydd som gäller idag om
	det kan antas att en känslig personuppgift eller uppgifter om lagöverträ-
	delser efter ett utlämnande kommer att behandlas för forskningsändamål
	utan ett godkännande enligt etikprövningslagen, inte längre skulle gälla.
	Regeringen anser därför, i linje med Arbetsgivarverkets och Arbetsförmed-
	lingens synpunkter, att 21 kap. 7 § OSL bör ändras så att det ska gälla
	sekretess för personuppgift, om det kan antas att uppgiften efter ett utläm-
	nande kommer att behandlas i strid med dataskyddsförordningen, data-
	skyddslagen eller 6 § etikprövningslagen.
	KTH anser att hänvisningen till etikprövningslagen i den föreslagna änd-
	ringen av 21 kap. 7 § offentlighet- och sekretesslagen inte är tillräcklig
	tydlig eftersom det inte framkommer vilken typsituation som avsikten är
	att bestämmelsen ska reglera. KTH anser att det i 21 kap. 7 § OSL även
	bör hänvisas till 3 § etikprövningslagen.
	Av 6 § etikprövningslagen framgår att forskning som avses i 3–5 §§ i
	den lagen bara får utföras om den har godkänts vid etikprövning. Bestäm-
	melsen i 3 § anger att lagen ska tillämpas på forskning som innefattar be-
	handling av känsliga personuppgifter eller personuppgifter om lagöverträ-
	delser som innefattar brott, domar i brottmål, straffprocessuella tvångsme-
	del eller administrativa frihetsberövanden. Enligt 4 § ska lagen också til-
	lämpas på forskning som innebär ett fysiskt ingrepp på en forskningsper-
	son, utförs enligt en metod som syftar till att påverka forskningspersonen
	fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forsk-
	ningspersonen fysiskt eller psykiskt, avser studier på biologiskt material
	som har tagits från en levande människa och kan härledas till denna män-
	niska, innebär ett fysiskt ingrepp på en avliden människa, eller avser stu-
	dier på biologiskt material som har tagits för medicinskt ändamål från en
	avliden människa och kan härledas till denna människa. Bestämmelsen i
	5 § reglerar lagens geografiska tillämpningsområde. Mot bakgrund av att
	21 kap. 7 § OSL reglerar sekretessen för personuppgifter, att 6 § etikpröv-
	ningslagen innehåller ett krav på att forskning som avses i 3–5 §§ bara får
	utföras bara om den har godkänts vid en etikprövning och då det av dessa
	paragrafer enbart är 3 § som reglerar personuppgifter anser regeringen att
142	det är tillräckligt att i 21 kap. 7 § OSL hänvisa till 6 § etikprövningslagen.

Hänvisningen innebär i praktiken att det gäller sekretess för känsliga per- Prop. 2017/18:298 sonuppgifter eller personuppgifter om lagöverträdelser som innefattar

brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden, om det kan antas att sådana uppgifter efter ett ut- lämnande kommer att behandlas utan ett godkännande enligt 6 § etikpröv- ningslagen.

Rätten att meddela och offentliggöra uppgifter

Sekretess innebär både tystnadsplikt och handlingssekretess (3 kap. 1 § OSL). Den tystnadsplikt som följer av en sekretessbestämmelse har inte företräde framför rätten enligt 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttran- defrihetsgrundlagen (YGL) att meddela och offentliggöra uppgifter, om inte annat anges i TF, YGL eller OSL. Handlingssekretessen har dock all- tid företräde framför rätten att meddela och offentliggöra uppgifter. Det kan således vara tillåtet att muntligen t.ex. lämna en uppgift till en journa- list eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna en allmän handling som den sekretessbelagda uppgiften framgår av till t.ex. en journalist eller att t.ex. själv publicera handlingen.

Stor återhållsamhet ska iakttas när det övervägs om en inskränkning ska göras i rätten att meddela och offentliggöra uppgifter. Faktorer som bör beaktas vid sådana överväganden är bl.a. vilken styrka sekretessen har, om uppgiften har lämnats av en enskild i en förtroendesituation eller om upp- giften hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.).

Ändringen i 21 kap. 7 § OSL föreslås för att en ändring i sak inte ska uppstå i förhållande till vad som gällde fram till den 25 maj 2018 då data- skyddsförordningen började tillämpas, PUL upphävdes och följdänd- ringen i 21 kap. 7 § OSL trädde i kraft. Regeringen har inte tidigare funnit skäl för att inskränka rätten att meddela och offentliggöra uppgifter när det gäller den tystnadsplikt som följer av bestämmelsen i 21 kap. 7 § OSL. Det finns inte skäl att frångå den bedömning som tidigare har gjorts. Denna rätt bör även fortsättningsvis ha företräde framför den tystnadsplikt som följer av den föreslagna bestämmelsen. Detta innebär, som Svenska Tid- ningsutgivareföreningen påtalar, att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande av uppgifter till medier som omfattas av TF eller YGL med stöd av rätten att meddela och offentliggöra uppgifter.

143

Prop. 2017/18:298 16	Anpassningar av vissa registerförfatt-
	ningar

16.1Lagen om rättspsykiatriskt forskningsregister ska anpassas till dataskyddsförordningen

16.1.1Innehållet i lagen och Forskningsdatautredningens uppdrag

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rätts- psykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verk- samhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en sär- skild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en upp- räkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forsknings- registret. Socialstyrelsen, Kriminalvården respektive Statens institutions- styrelse ska lämna uppgifter till registret. I offentlighets- och sekretessla- gen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap.

2§).

Bakgrunden till lagen var ett behov av förbättrade möjligheter till forsk-

nings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV påtalade för regeringen under tidigt 1990-tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betänkandet Rättspsykiatriskt forsk- ningsregister (SOU 1996:72). Regeringen anpassade förslagen i utred- ningens betänkande till PUL, vilken är baserad på det upphävda data- skyddsdirektivet. Lagen om rättspsykiatriskt forskningsregister är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet.

Lagen om rättspsykiatriskt forskningsregister innehåller bl.a. bestäm- melser om för vilka ändamål registret får användas (3 §), vilka uppgifter som får finnas i registret (4–9 §§), vilka myndigheter som ska lämna upp- gifter till registret (10 §), vilken information som ska lämnas till den re- gistrerade (12 §), utlämnande av uppgifter från registret (13 §), sekretess (14 §), rättelse och skadestånd (15 §) och överklagande (16 §).

I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behand- ling av personuppgifter m.m. (Ju2013/08833/Å) redovisar RMV en över- syn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifråga- satts om lagen bör vara kvar i sin nuvarande utformning.

144

Enligt direktiven till Forskningsdatautredningen skulle utredningen Prop. 2017/18:298 undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,

föreslå behövliga anpassningar av lagen om rättspsykiatriskt forsknings- register inför att dataskyddsförordningen skulle börja tillämpas, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rätts- psykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag. Utredningen har redovisat förslaget om en anpassning av lagen till data- skyddsförordningen i sitt delbetänkande SOU 2017:50 och det förslaget behandlas nedan. Den del av uppdraget som avser att analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag har redo- visats den 5 juni 2018 i betänkandet Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Förslaget i det betänkandet be- handlas inte i detta lagstiftningsärende.

16.1.2Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om rättspsykiatriskt forskningsregis- ter är en tillåten nationell kompletterande reglering till dataskydds- förordningen.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig tillstyrker allmänt utredningens förslag eller ser allmänt positivt på försla- gen eller har ingen erinran mot eller synpunkter på dessa men kommente- rar inte förslagen eller bedömningarna beträffande lagen om rättspsykiat- riskt forskningsregister särskilt. Endast några enstaka remissinstanser framför synpunkter på utredningens förslag till anpassning av lagen. Centrala etikprövningsnämnden, Statens väg- och transportforsknings- institut, Sveriges geologiska undersökningar och Verket för innovations- system (Vinnova) tillstyrker förslagen till anpassningar av registerförfatt- ningen. Även RMV ställer sig positivt till förslaget om anpassning av bestämmelserna i lagen men framhåller med avseende på utredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan ge- nomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn- punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns lands-

145

Prop. 2017/18:298 ting, Västra Götalands läns landsting och Karlstads universitet. Ingen re- missinstans ställer sig negativ till de föreslagna ändringarna i lagen och

	bedömningarna som gjorts i utkastet till lagrådsremiss.
	Skälen för regeringens bedömning: Dataskyddsförordningen är direkt
	tillämplig i medlemsstaterna men dessa tillåts, som redogjorts för, enligt
	artikel 6.2 och 6.3 att behålla eller införa mer specifik nationell reglering
	för att närmare fastställa hur förordningens bestämmelser ska tillämpas när
	det gäller behandling som sker med stöd av de rättsliga grunderna fullgö-
	rande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller
	myndighetsutövning i artikel 6.1 c och e.
	Bedömningarna som gjordes vid införandet av lagen om rättspsykia-
	triskt forskningsregister baserades på dataskyddsdirektivet och PUL (se
	prop. 1998/99:72). Det var regeringens bedömning vid införandet av lagen
	om rättspsykiatriskt forskningsregister att den behandling av personupp-
	gifter som lagen omfattade var nödvändig för att utföra en uppgift av vik-
	tigt allmänt intresse. Artikel 8.4 i dataskyddsdirektivet gav medlemssta-
	terna rätt att nationellt lagstifta om undantag från förbudet att behandla
	känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga
	skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Beträffande
	ändamålet utvecklingsarbete anförde regeringen i propositionen som lig-
	ger till grund för lagen att det är av stor vikt att RMV har ett bra underlag
	för sitt arbete med uppföljning, utvärdering och kvalitetssäkring. Att RMV
	kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedöm-
	ningar ansågs vara viktigt både för samhället och för de enskildas rättssä-
	kerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt
	intresse att det motiverar ett undantag i enlighet med artikel 8.4 i data-
	skyddsdirektivet från förbudet mot behandling av känsliga personuppgif-
	ter. Regeringen gjorde även bedömningen att behandlingen av personupp-
	gifter i enlighet med den föreslagna lagen i alla delar är förenlig med arti-
	kel 8 i Europakonventionen. Det är således regeringens och riksdagens re-
	dan gjorda bedömning att ändamålen med lagen om rättspsykiatriskt forsk-
	ningsregister är ett viktigt allmänt intresse i enlighet med dataskyddsdirek-
	tivet.
	RMV framhåller med avseende på Forskningsdatautredningens fortsatta
	arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras
	enbart med användning av uppgifter från det rättspsykiatriska forsknings-
	registret och anser att lagen därför bör upphävas. I avvaktan på vidare
	beredning av Forskningsdatautredningens slutbetänkande, där utredningen
	redovisar sitt uppdrag att analysera det långsiktiga behovet av en särskild
	lag på området, finns det enligt regeringens uppfattning inte skäl att utifrån
	regleringen i dataskyddsförordningen nu göra någon annan bedömning än
	att ändamålen med lagen är ett viktigt allmänt intresse.
	Registerlagen reglerar en uppgift av allmänt intresse. Som regeringen
	närmare kommer att redogöra för längre fram i detta avsnitt innehåller re-
	gisterlagen huvudsakligen sådana särskilda bestämmelser som anpassar
	tillämpningen av bestämmelserna i dataskyddsförordningen och som den
	i den nationella rätten fastställda rättsliga grunden att utföra en uppgift av
	allmänt intresse får innehålla enligt artikel 6.3. Regeringens övergripande
	uppfattning är att regleringen är proportionell i förhållande till ändamålet.
	Regeringen delar därför utredningens bedömning att registerlagen utgör
146	en sådan tillåten specifik nationell reglering för att närmare fastställa hur

förordningens bestämmelser ska tillämpas när det gäller utförande av upp- Prop. 2017/18:298 gift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Regleringen av personuppgiftsbehandling i registerlagen måste uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande analyseras registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

16.1.3Lagens inledande bestämmelser bör behållas

Regeringens bedömning: De inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om rättspsykiatriskt forskningsregister anges att RMV får för de ändamål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsre- gister. I andra stycket anges att RMV är personuppgiftsansvarigt för re- gistret.

Den inledande paragrafens första stycke anger för vilken verksamhet la- gen gäller. Det är regeringens uppfattning att bestämmelser i nationell kompletterande lagstiftning till dataskyddsförordningen som anger på vil- ken verksamhet, vilka typer av behandlingar och vilka personuppgifter la- gen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Av 1 § framgår att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskydds- förordningen, vilken är direkt tillämplig. Av artikeln framgår att förord- ningen ska tillämpas på sådan behandling av personuppgifter som helt el- ler delvis företas på automatisk väg samt på annan behandling än automa- tisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i dataskyddsförordningen definieras register som en strukture- rad samling av personuppgifter som är tillgängliga enligt särskilda krite- rier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i data- skyddsförordningen framgår att om förordningen föreskriver förtydligan- den eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förord- ningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel

2.1i registerlagen. Det är därför regeringens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt.

147

Prop. 2017/18:298 I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamå- len och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed en- ligt huvudregeln göras utifrån dataskyddförordningen och med utgångs- punkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten. I 1 § andra stycket lagen om rättspsykiatriskt forskningsregister anges att det är RMV som är personuppgiftsansvarigt för registret. 1 3 § anges att registret endast får användas för behandling av personuppgifter för forskning inom rätts- psykiatrin, om forskningen och behandlingen har godkänts enligt etikpröv- ningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Genom bestämmelserna om lagens tillämpningsområde och ändamålen för regist- ret ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dess- utom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fast- ställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut den personuppgiftsansvarige direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas i sin helhet.

148

16.1.4Hänvisningar till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om rättspsykiatriskt forskningsregister ska tas bort och, där det är lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 2 § i lagen om rättspsykiatriskt forsk- ningsregister anges att PUL gäller vid behandling av personuppgifter för registret, om inget annat följer av lagen om registret. Med anledning av att PUL upphävts när dataskyddsförordningen börjat tillämpas bör hänvis- ningen till PUL tas bort.

Vissa bestämmelser i registerlagen innehåller också hänvisningar till Prop. 2017/18:298 specifika bestämmelser i PUL. Detta gäller hänvisningen till PUL avse-

ende information som ska lämnas till den registrerade (12 §), i fråga om rättelse och skadestånd (15 §) samt hänvisningen till 26 och 28 §§ PUL i bestämmelsen om överklagande (16 §). Dessa hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen, se respektive avsnitt nedan.

16.1.5Det ska tas in hänvisningar till dataskyddsförord- ningen och dataskyddslagen

Regeringens förslag: Det ska införas en upplysningsbestämmelse i la- gen om rättspsykiatriskt forskningsregister som tydliggör att lagen kompletterar dataskyddsförordningen.

Det ska också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forsk- ningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte något annat följer av lagen om rättspsykiatriskt forskningsregister.

Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens förslag till lagtext har formulerats på ett annat sätt än rege- ringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör över- vägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om rättspsykiatriskt forskningsregister införs en bestäm- melse som hänvisar till förordningen eller inte. Regeringen anser dock i likhet med utredningen att det bör införas en bestämmelse i lagen som tyd- liggör att den innehåller kompletterande bestämmelser till dataskydds- förordningen. Hänvisningen till dataskyddsförordningen bör vara dyna- misk, det vill säga avse förordningen i den vid varje tidpunkt gällande ly- delsen. En sådan bestämmelse tydliggör registerlagens förhållande till dataskyddsförordningen och det blir tydligt att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande reglering. Bestämmelsen syf- tar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.

Dataskyddslagen kompletterar dataskyddsförordningen på en generell nivå i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om

149

Prop. 2017/18:298 rättspsykiatriskt forskningsregister bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid be- handling av personuppgifter om inte avvikande bestämmelser finns i lagen om rättspsykiatriskt forskningsregister. En bestämmelse som upplyser om detta bör införas i sistnämnda lag. I dataskyddslagen finns det generella bestämmelser som utgör tillåtna specificeringar av och undantag från data- skyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Dataskyddslagens bestämmelser gäl- ler därmed i den mån inte lagen om rättspsykiatriskt forskningsregister, eller annan författning, föreskriver annat. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regel- verket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i lagen som anger att vid be- handling av personuppgifter enligt lagen om rättspsykiatriskt forsknings- register gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om rättspsykiatriskt forsk- ningsregister.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen för- slag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana upp- gifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskydds- direktivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om rättspsykiatriskt forskningsregister förhåller sig till brottsdatalagen.

150

Brottsdatalagen ska gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straff- rättsliga påföljder. Den ska också gälla för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som 1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar person- uppgifter för ett sådant syfte (1 kap. 6 §). Rättsmedicinalverket ansvarar bl.a. för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål,

m.m., rättsmedicinska obduktioner och andra rättsmedicinska undersök- Prop. 2017/18:298 ningar, verksamhet med utfärdande av sådana intyg som avses i lagen

(2005:225 ) om rättsintyg i anledning av brott, rättsmedicinsk medverkan i övrigt på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen och rättskemiska och rättsgenetiska undersökningar. Myndigheten ska också ansvara för utvecklingsarbete och stöd åt forsk- ning av betydelse för verksamheten (se 1 och 2 §§ förordningen [2007:976] med instruktion för Rättsmedicinalverket). Verksamheten bi- drar till utredningen och lagföringen av brott och ger underlag för beslut om påföljder för brott. Rättsmedicinalverket har alltså vissa arbetsuppgif- ter som gör att brottsdatalagen blir tillämplig. Av de inledande bestämmel- serna i lagen om rättspsykiatriskt forskningsregister framgår emellertid att den verksamhet lagen specifikt reglerar och som lagens tillämpningsom- råde är avgränsat till är verksamheten med förandet av det rättspsykiatriska forskningsregistret. Som nämnts får det rättspsykiatriska forskningsregist- ret endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin och Rättsmedicinalverkets utvecklingsarbete. Lagen om rättspsykiatriskt forskningsregister reglerar således inte den verksamhet hos Rättsmedicinalverket som det främst är aktuellt att brottsdatalagen kan bli tillämplig på. I brottsdatalagen anges vidare att om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla (1 kap. 5 §). Om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en författning som reglerar ett visst register gäller de i stället för bestämmelserna i brottsdatalagen. En bestämmelse som reglerar lagens förhållande till andra författningar finns således i brottsdatalagen. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om rättspsykiatriskt forskningsregister införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen.

16.1.6Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om rätts- psykiatriskt forskningsregister kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forsk- ningsregistret får enligt första punkten endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller, enligt andra

151

Prop. 2017/18:298 punkten, för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin

152

verksamhet inom rättspsykiatrin (utvecklingsarbete).

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska sam- las in för särskilda, uttryckligt angivna och berättigade ändamål (artikel

5.1b). Motsvarande gällde enligt PUL (9 §), som baserades på dataskydds- direktivet.

Formuleringen av ändamålet har vid införandet av lagen om rätts- psykiatriskt forskningsregister bedömts uppfylla kraven enligt data- skyddsdirektivet och PUL. Regeringen framhöll att ändamålen borde pre- ciseras så noga som möjligt av flera skäl, först och främst för att värna om skyddet för den personliga integriteten (prop. 1998/99:72 s. 36 f.).

När det gäller frågan hur specificerat ett ändamål behöver vara för att uppfylla kravet i artikel 5.1 b kan noteras att det i skäl 33 anges att det ofta inte är möjligt att fullt ut identifiera en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning. I den första punkten har ändamålet preciserats till behandling av personuppgifter för forskning inom rättspsykiatrin. Per- sonuppgiftsbehandling enligt lagen sker inte med stöd av samtycke men enligt regeringens uppfattning kan skäl 33 ge vägledning för hur man ska se på ändamålsbeskrivning generellt vid behandling av personuppgifter för forskningsändamål oavsett vilken grund som behandlingen baseras på. Ändamålet har angivits vara forskning inom rättspsykiatrin. Området för forskningen har således preciserats. Regeringen anser därför att ändamåls- beskrivningen i första punkten är förenlig med dataskyddsförordningen och kan behållas. Det krävs också att forskningen och behandlingen har godkänts enligt etikprövningslagen för att uppgifterna i registret ska få an- vändas. Detta är ett villkor, en skyddsåtgärd, som infördes till skydd för den registrerade mot bakgrund av att registret innehåller mycket känsliga personuppgifter.

När det gäller ändamålet användning i Rättsmedicinalverkets utveck- lingsarbete ansågs ändamålet vara ett viktigt allmänt intresse då lagen in- fördes och därmed berättigat.

Regeringen delar utredningens bedömning att kraven på tillräckligt pre- ciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kra- ven i dataskyddsdirektivet och att regeringens och riksdagens redan gjorda bedömningar därför är fortsatt giltiga och förenliga med dataskydds- förordningen. Regeringen delar också utredningens bedömning att ända- målsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett så- dant sätt som stämmer överens med dataskyddsförordningens krav och ut- gör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3 i data- skyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas.

Finalitetsprincipen har begränsats i lagen

Av propositionen med förslaget till lag om rättspsykiatriskt forskningsre- gister framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de föreslagna två ändamålen (prop. 1998/99:72 s. 33). De uppräknade ändamålen och tillåtna behandlingarna i lagen är således uttömmande. Detta innebär en begränsning av finalitetsprincipen enligt

dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in Prop. 2017/18:298 för särskilda, uttryckligt angivna och berättigade ändamål och inte senare

behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare be- handling för arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller statistiska ändamål i enlighet med artikel

89.1ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b).

Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i re- gisterlagen är nödvändiga för att utföra en uppgift av allmänt intresse en- ligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med data- skyddsförordningen och därmed kan behållas.

16.1.7Det bör även fortsättningsvis anges vilka person- uppgifter som får finnas i registret

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om vilka uppgifter om registrerade personer som får registreras kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm-
ning.
Remissinstanserna: Ingen remissinstans kommenterar bedömningen
särskilt.
Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
ringens bedömning.
Remissinstanserna: Ingen remissinstans kommenterar bedömningen
särskilt.
Skälen för regeringens bedömning: I 4 § lagen om rättspsykiatriskt
forskningsregister anges att registret endast får innehålla uppgifter om en
person för vilken ett rättspsykiatriskt utlåtande enligt lagen om rättspsyki-
atrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning
i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lag-
stiftning har utfärdats. I 4 § andra stycket anges att uppgifterna inte får
föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget
inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personupp-
gifter från det brottmålet föras in i registret. I 5–9 §§ anges därefter vilka
uppgifter för varje person som får registreras i registret. Majoriteten av de
slags uppgifter som anges i 5–9 §§ registerlagen är sådana uppgifter som
kategoriserades som känsliga personuppgifter enligt 13 § PUL (artikel 8.1
i dataskyddsdirektivet) eller personuppgifter om lagöverträdelser m.m. en-
ligt 21 § PUL. Motsvarande bestämmelser beträffande särskilda kategorier
av personuppgifter (känsliga personuppgifter) finns i artikel 9.1 i data-
skyddsförordningen och beträffande personuppgifter om lagöverträdelser
m.m. i artikel 10 i dataskyddsförordningen.
Dataskyddsförordningen förbjuder i artikel 9.1 behandling av person-
uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös	153
	153

Prop. 2017/18:298 eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en

	fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons
	sexualliv eller sexuella läggning. I artikel 9.2 räknas ett antal undantag från
	förbudet upp. Förbudet gäller bl.a. inte om behandlingen är nödvändig
	med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g) och inte heller
	om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska
	forskningsändamål (artikel 9.2 j). I båda dessa fall anges det att behand-
	lingen ska ske på grundval av unionsrätten eller medlemsstaternas natio-
	nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara för-
	enlig med det väsentliga innehållet i rätten till dataskydd och innehålla
	lämpliga och särskilda skyddsåtgärder. Av artikel 9.4 framgår att med-
	lemsstaterna får behålla eller införa ytterligare villkor, även begräns-
	ningar, för behandlingen av genetiska eller biometriska uppgifter eller
	uppgifter om hälsa. Av skäl 10 i dataskyddsförordningen framgår att för-
	ordningen ger medlemsstaterna handlingsutrymme att specificera sina be-
	stämmelser, även för behandlingen av särskilda kategorier av personupp-
	gifter, och att förordningen inte utesluter att det i medlemsstaternas
	nationella rätt fastställs närmare omständigheter för specifika situationer
	där uppgifter behandlas. I skäl 52 i dataskyddsförordningen förtydligas
	bl.a. att undantag från förbudet att behandla särskilda kategorier av per-
	sonuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlems-
	staternas nationella rätt och underkastas lämpliga skyddsåtgärder för att
	skydda personuppgifter och övriga grundläggande rättigheter. En förut-
	sättning för sådana undantag är att allmänintresset motiverar det.
	Av artikel 10 i dataskyddsförordningen framgår att behandling som rör
	fällande domar i brottmål och överträdelser eller därmed samman-
	hängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kon-
	troll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller
	medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts.
	Som redogjorts för i avsnittet om ändamålsbestämmelsen i 3 § lagen om
	rättspsykiatriskt forskningsregister har regeringen i samband med införan-
	det av lagen och då ändamålet med personuppgiftsbehandlingen enligt la-
	gen fastställdes gjort bedömningen att behandling av personuppgifter för
	forskningsändamål ur det rättspsykiatriska forskningsregistret liksom be-
	handling av personuppgifter ur registret för utvecklingsarbete inom RMV
	är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt
	intresse. Det väl avgränsade ändamålet med behandlingen samt den strikta
	bedömningen av vilka uppgifter som får registreras för varje person be-
	dömdes av regeringen utgöra ett fullgott skydd för de registrerades person-
	liga integritet. Regeringen och riksdagen fann således vid införandet av
	registerlagen att dataskyddsdirektivet inte hindrade att känsliga person-
	uppgifter får behandlas.
	När det gäller behandling av känsliga personuppgifter i registret för ut-
	vecklingsarbete inom RMV enligt 3 § andra punkten finns det ingen an-
	ledning att göra en annan bedömning än att det är ett sådant viktigt allmänt
	intresse att behandlingen är tillåten även enligt artikel 9.2 g i dataskydds-
	förordningen. Genom artikel 9.2 j finns vidare ett särskilt stöd i data-
	skyddsförordningen för behandling av känsliga personuppgifter i det rätts-
	psykiatriska forskningsregistret för forskning inom rättspsykiatrin enligt 3
154	§ första punkten. Både när det gäller forskning och utvecklingsarbete inom

RMV sker behandlingen av känsliga personuppgifter på grundval av bestämmelser i nationell rätt. Det är även nu regeringens bedömning att de aktuella bestämmelserna står i proportion till det eftersträvade syftet med behandling av personuppgifter och är förenliga med det väsentliga inne- hållet i rätten till dataskydd. Som kommer att framgå av den följande re- dogörelsen för bestämmelserna i lagen innehåller den också ett antal bestämmelser om skyddsåtgärder.

I 5 § lagen om rättspsykiatriskt forskningsregister anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § PUL angavs att uppgifter om personnummer eller samordningsnummer fick be- handlas utan samtycke bara när det var klart motiverat med hänsyn till än- damålet med behandlingen, vikten av en säker identifiering eller något an- nat beaktansvärt skäl. Bestämmelsen i 22 § PUL infördes med stöd av ar- tikel 8.7 i dataskyddsdirektivet som angav att medlemsstaterna skulle bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering fick behandlas. Bestämmelsen i 5 § lagen om rättspsykiatriskt forskningsregister är således införd efter en be- dömning utifrån kraven i PUL.

Behandling av nationella identifikationsnummer regleras i artikel 87 i dataskyddsförordningen, som anger att medlemsstaterna får närmare be- stämma på vilka särskilda villkor sådana identifikationsnummer får be- handlas. Sådan behandling får endast ske med iakttagande av lämpliga skyddsåtgärder. I dataskyddslagen har det införts en motsvarande bestäm- melse till bestämmelsen i 22 § PUL. Bestämmelsen anger att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av uppgifter om personnummer och samordningsnummer är tillåten (3 kap. 10 och 11 §§ dataskyddslagen).

Eftersom motsvarande möjligheter till undantag från förbudet mot be- handling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer som finns i dataskyddsdirek- tivet finns i dataskyddsförordningen anser regeringen, i likhet med utred- ningen, att de bedömningar som gjordes vid införandet av bestämmelserna om vilka uppgifter om registrerade personer som ska finnas i registret kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare regeringens bedömning att dataskyddsförord- ningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i re- gisterlagen genom kravet på etikprövning samt regleringarna avseende di- rektåtkomst, sekretess och restriktionerna vid utlämnande av uppgifter.

När det gäller uppgifter i registret som utgör uppgifter om lagöverträ- delser enligt artikel 10 i dataskyddsförordningen sker behandlingen under kontroll av myndighet och lagen uppfyller dessutom som nämnts enligt regeringens bedömning kravet på att nationell rätt ska innehålla lämpliga skyddsåtgärder.

Sammanfattningsvis delar därför regeringen utredningens bedömning att bestämmelserna i 4–9 §§ registerlagen är förenliga med dataskydds- förordningen och kan och bör behållas som tillåten specificerande natio- nell reglering enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Prop. 2017/18:298

155

Prop. 2017/18:298 16.1.8 Andra myndigheters uppgiftsskyldighet bör behål- las

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om att Socialstyrelsen, Kriminalvården respektive Statens Institutionsstyrelse ska lämna uppgifter till det rättspsykiatriska forskningsregistret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Av 10 § lagen om rättspsykiatriskt forskningsregister framgår att Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna vissa uppgifter (enligt 6–9 a §§ i la- gen) till det rättspsykiatriska forskningsregistret.

Ett skäl för att författningsreglera tillförande av uppgifter till registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet skulle fungera i praktiken. En sådan reglering är dock också nödvändig i många fall för att uppgifter ska kunna tillföras registret utan hinder av att sekretess gäller för uppgifterna (prop. 1998/99:72 s. 46 f.). Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400, OSL) får en uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten föl- jer av lag eller förordning. Bestämmelsen i 10 § lagen om rättspsykiatriskt forskningsregister är således en sådan sekretessbrytande författningsregle- ring som gör det möjligt för de aktuella myndigheterna att lämna även sek- retessbelagda uppgifter till registret. Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt regeringens uppfattning en sådan tillå- ten specifik nationell bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.1.9Bestämmelsen om direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

156

Remissinstanserna: Ingen remissinstans kommenterar bedömningen Prop. 2017/18:298 särskilt.

Skälen för regeringens bedömning: Enligt 11 § lagen om rättspsykiat- riskt forskningsregister får endast RMV ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, data- skyddsdirektivet eller i PUL finns det särskilda bestämmelser som direkt rör denna form av behandling.

Begränsningen i 11 § är ett villkor som gäller för behandlingen och en sådan skyddsåtgärd som krävs enligt dataskyddsförordningen vid all be- handling av personuppgifter för forskningsändamål och som särskilt krävs vid behandling av känsliga personuppgifter eller uppgifter om lagöverträ- delser. Det är regeringens uppfattning att bestämmelsen i sak är förenligt med dataskyddsförordningen och att den är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbets- uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g, då behand- lingen är nödvändig av hänsyn till ett viktigt allmänt intresse, eller undan- taget i artikel 9.2 j, då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål, ska kunna tillämpas och behandlingen en- ligt lagen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestäm- melse är en sådan bestämmelse. Bestämmelsen kan och bör därför behål- las.

16.1.10Bestämmelsen om vilken information som ska lämnas ska anpassas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om vilken information som ska lämnas till den registrerade ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av dataskyddsförordningen. Hänvisningen till personuppgiftslagen ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

157

Prop. 2017/18:298 Skälen för regeringens förslag: Av 12 § lagen om rättspsykiatriskt forskningsregister framgår vilken information om behandlingen som RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som fanns i artikel 11 i dataskyddsdirektivet. Den re- gistrerade har således rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den re- gistrerades rättigheter har stärkts i detta avseende.

Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant genomfördes genom 23–25 §§ PUL.

Viss information som ska lämnas enligt 12 § lagen om rättspsykiatriskt forskningsregister motsvaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i lagen om rättspsykiatriskt forskningsregister inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som själv- mant ska lämnas till den registrerade kan enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock, som utredningen föreslagit, bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Det innebär att punkt 1 om att RMV är personuppgiftsansvarigt, punkt 2 om ändamålen med be- handlingen, punkt 3 om vilken typ av uppgifter behandlingen avser och punkt 4 om mottagarna av uppgifterna bör utgå.

När det gäller 12 § punkt 6 i registerlagen om information som ska läm- nas efter ansökan samt om rättelse och skadestånd finns motsvarande bestämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskyddsförord- ningen. Dessa delar av punkten bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att berörda bestämmel- serna finns i PUL måste slutligen ersättas med en hänvisning till bestäm- melser i dataskyddsförordningen och dataskyddslagen.

Till skillnad från artikel 14 i dataskyddsförordningen innehåller 12 § la- gen om rättspsykiatriskt forskningsregister inget undantag från när infor- mation ska lämnas. Artikel 14.5 i dataskyddsförordningen anger undantag från kravet att lämna information. Genom att artikel 14 i dataskydds- förordningen är direkt tillämplig, då förordningen började tillämpas den 25 maj 2018, är även bestämmelserna om undantag då information inte behöver lämnas direkt tillämpliga.

158

16.1.11Bestämmelsen om utlämnande av uppgifter bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om utlämnande av uppgifter kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 13 § första stycket lagen om rättspsykiatriskt forskningsregister ska RMV till Socialstyrelsen, Kri- minalvården och Statens institutionsstyrelse, på medium för automatiserad behandling, lämna de uppgifter som är nödvändiga för att dessa myndig- heter ska kunna lämna uppgifter enligt 10 § till det rättspsykiatriska forsk- ningsregistret. Av 13 § andra stycket i paragrafen framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på me- dium för automatiserad behandling endast om uppgifterna ska användas för det ändamål som anges i 3 § punkten 1, dvs. för forskning inom rätts- psykiatrin.

Regleringen i bestämmelsens första stycke syftar till att RMV ska un- derlätta för de berörda myndigheterna att i sin tur lämna uppgifter till re- gistret enligt 10 § registerlagen, genom att RMV ska lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behandling. En sådan reglering påverkas inte av data- skyddsförordningen.

När det gäller regleringen i andra stycket om att uppgifter från registret, utöver vad som anges i första stycket, endast får lämnas ut på medium för automatiserad behandling om uppgifterna ska användas för forskning inom rättspsykiatrin, anförde regeringen i propositionen som föregick in- förandet av lagen om rättspsykiatriskt forskningsregister att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på me- dium för automatiserad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikprövning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om användning i enlig- het med registrets ändamål.

Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförordningen. En sådan skyddsåtgärd bör liksom skyddsåtgärden i 11 § enligt regeringens bedöm- ning rymmas inom den tillåtna specificeringen i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Sammantaget delar regeringen utredningens bedömning att bestämmel- sen om utlämnande av uppgifter kan och bör behållas.

Prop. 2017/18:298

159

Prop. 2017/18:298 16.1.12 Upplysningen om sekretess bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som upplyser om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret i offentlighets- och sekretesslagen kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL.

Sekretess är en skyddsåtgärd såväl enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen i 14 § lagen om rättspsykiat- riskt forskningsregister är enligt regeringens bedömning, i likhet med bestämmelserna i 11 och 13 §§, en sådan specificering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmel- sen kan och bör därför behållas.

16.1.13Bestämmelsen om rättelse och skadestånd ska upphävas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 15 § lagen om rättspsykiatriskt forsk- ningsregister hänvisas till att bestämmelserna i PUL om rättelse och ska- destånd ska gälla vid behandling av personuppgifter enligt den först- nämnda lagen.

Bestämmelserna om rättelse och skadestånd i PUL fanns i 28 § respek- tive 48 §. Bestämmelsen om rättelse i 28 § PUL gällde endast om behand- ling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen och bestämmelsen i 48 § PUL om skadestånd gällde endast om behandling skett i strid med den lagen. För att bestämmelserna om rättelse

160

och skadestånd skulle vara tillämpliga även vid behandling i strid med la- Prop. 2017/18:298 gen om rättspsykiatriskt forskningsregister krävdes det därför att det sär-

skilt angavs att bestämmelserna i PUL gäller om behandling av person- uppgifter sker i strid med lagen om rättspsykiatriskt forskningsregister. Det är skälet till att hänvisningen i 15 § har införts.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16.

Vid införandet av lagen om rättspsykiatriskt forskningsregister har be- dömningen gjorts att en rätt till rättelse ska finnas vid behandling av per- sonuppgifter enligt lagen. När dataskyddsförordningen nu börjat tillämpas gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedöm- ningen att något undantag från rätten till rättelse vid personuppgiftsbe- handling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte ska införas i svensk rätt.

Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om rätt till rättelse bör därför upphävas och motsvarande rätt till rättelse vid behand- ling av personuppgifter i strid med lagen kommer att följa direkt av data- skyddsförordningen. I dataskyddsförordningen finns skadeståndsbestäm- melsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd. Dessutom har det i dataskyddslagen införts en bestämmelse som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskydds- förordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om rättspsykiatriskt forskningsregister.

Detta innebär sammantaget att bestämmelsen i 15 § registerlagen bör upphävas i dess helhet och inte ersättas med någon hänvisning till data- skyddsförordningen.

16.1.14 Bestämmelsen om överklagande ska upphävas

Regeringens förslag: Bestämmelsen om överklagande i lagen om rättspsykiatriskt forskningsregister ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: Enligt 16 § lagen om rättspsykiatriskt forskningsregister får beslut av RMV om information som ska lämnas ef-

161

Prop. 2017/18:298 ter ansökan enligt 26 § PUL och om rättelse enligt 28 § samma lag över- klagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid över- klagande till kammarrätten.

Av propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister framgår att bestämmelsen om skadestånd ursprungligen infördes i lagen för att några bestämmelser om överklagande i de angivna situationerna inte fanns i PUL vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt be- rörde den enskilde skulle kunna överklagas. Efter att bestämmelsen i lagen om rättspsykiatriskt forskningsregister infördes kom dock en bestämmelse med motsvarande innehåll att införas i PUL genom 52 §. Någon motsva- rande reglering fanns dock inte i dataskyddsdirektivet.

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsme- del. I artikel 79.2 i dataskyddsförordningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas.

I dataskyddslagen finns bestämmelser om överklagande som i sak mot- svarar 52 § PUL (7 kap. 2 § dataskyddslagen). Då dataskyddslagen ska gälla i den mån inte annat föreskrivs i lagen om rättspsykiatriskt forsk- ningsregister är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Regeringen anser därför att bestämmel- sen om överklagande i 16 § lagen om rättspsykiatriskt forskningsregister bör upphävas.

16.2Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningen

16.2.1Innehållet i lagen

Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013. Lagens syfte är att ge ett tydligt lagstöd för register som förs med de registrerades samtycke i syfte att ge universitet och högskolor möjlighet att skapa un- derlag för olika forskningsprojekt om vad arv och miljö betyder för upp- komsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt och skydda den enskildes personliga integritet i sådan verk- samhet.

Känsliga personuppgifter samlas enligt lagen in med uttryckligt sam- tycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forskningsprojekt som har godkänts vid en etikprövning. Lagen innehåller bl.a. bestämmelser om för vilka ändamål personuppgif- terna får behandlas (5–8 §§), vilka personuppgifter som får finnas i register enligt lagen (9 §), intern elektronisk åtkomst (10 §), gallring (12 §), sam- tycke och information (14 och 15 §§), utplåning av uppgifter (16 §) och skadestånd (17 §).

162

Regeringen beslutar vilka universitet och högskolor som ska få föra re- Prop. 2017/18:298 gister i enlighet med lagen och vilka register som får föras. Föreskrifter

om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Lagen är tidsbegränsad och har förlängts vid två tillfällen, senast genom beslut av riksdagen i november 2017, till att gälla till och med den 31 de- cember 2020. Skälet till att lagen är tidsbegränsad är det utredningsarbete som påbörjades år 2013, när regeringen gav en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning (dir. 2013:08). Utredningen, som tog sig namnet Registerforskningsutredningen (U 2013:01) lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45).

Forskningsdatautredningen fick den 7 juli 2016 i uppdrag att bl.a. ana- lysera vilken svensk reglering av personuppgiftsbehandling för forsk- ningsändamål som är möjlig och kan behövas utöver den övergripande reglering som Dataskyddsutredningen skulle komma att föreslå. När det gäller lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skulle utredningsarbetet bedrivas i två steg. I ett första skede skulle utredningen analysera vilka anpassningar som behövde göras i den lagen inför att dataskyddsförordningen skulle börja tillämpas. I ett andra skede skulle utredningen utreda i vilken mån förslagen som lämnades i Registerforskningsutredningens betänkande SOU 2014:45 är förenliga med dataskyddsförordningen och kan ligga till grund för en lång- siktig reglering av forskningsdatabaser. Uppdraget i den första delen redo- visades i det delbetänkande som ligger till grund för denna proposition. Uppdraget i den andra delen redovisades i betänkandet Rätt att forska – En långsiktig reglering av forskningsdatabaser (SOU 2018:36) den 5 juni 2018. Det sistnämnda betänkandet behandlas inte i denna proposition.

16.2.2Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig är generellt positiva utredningens förslag eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland andra Justitiekanslern har inga synpunkter på förslagen och bedömningarna beträffande lagen. Centrala etikprövningsnämnden, Statens väg- och transportforsknings- institut, Sveriges geologiska undersökningar och Verket för innovations- system (Vinnova) tillstyrker förslagen till anpassningar av lagen. Skåne läns landsting, Västra Götalands läns landsting, Svenska läkaresällskapet och Sveriges Kommuner och Landsting (SKL) stöder eller välkomnar

163

Prop. 2017/18:298 utredningens bedömning att lagen är en tillåten nationell kompletterande

	reglering till dataskyddsförordningen.
	Datainspektionen ifrågasätter, med hänvisning till de invändningar
	myndigheten framförde mot det ursprungliga lagförslaget och till att myn-
	digheten anser att ändamålsbestämmelserna i lagen inte är förenliga med
	dataskyddsförordningens krav, om lagen är förenlig med dataskydds-
	förordningen.
	Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
	ringens bedömning.
	Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn-
	punkter på eller erinran mot bedömningarna som görs och förslagen som
	lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller
	bedömningarna beträffande lagen om vissa register för forskning om vad
	arv och miljö betyder för människors hälsa särskilt. Bland de som särskilt
	uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker
	ändringarna finns Stockholms läns landsting, Västra Götalands läns lands-
	ting och Karlstads universitet. Datainspektionen vidhåller sin ståndpunkt
	att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt an-
	givna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser.
	Skälen för regeringens bedömning: Dataskyddsförordningen är som
	nämnts direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel
	6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser
	för att närmare fastställa hur förordningens bestämmelser ska tillämpas när
	det gäller behandling som sker med stöd av de rättsliga grunderna fullgö-
	rande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller
	myndighetsutövning i artikel 6.1 c och e.
	Av motiven till lagen framgår explicit att det är regeringens bedömning
	att ett uppbyggande på frivillig grund av databaser hos statliga universitet
	och högskolor med basmaterial som kan lämnas ut till specifika forsk-
	ningsprojekt som har godkänts vid etikprövning är ett sådant viktigt all-
	mänt intresse som avsågs i artikel 8.4 i dataskyddsdirektivet. Artikel 8.4
	gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet
	att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av
	lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse.
	Det är således regeringens och riksdagens redan gjorda bedömning att än-
	damålen med lagen om vissa register för forskning om vad arv och miljö
	betyder för människors hälsa utgör ett viktigt allmänt intresse i enlighet
	med dataskyddsdirektivet. Regeringen delar utredningens bedömning att
	det inte torde föreligga någon skillnad i sak avseende innebörden i begrep-
	pet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen.
	Personuppgiftsbehandlingen enligt lagen om vissa register för forskning
	om vad arv och miljö betyder för människors hälsa är alltså enligt rege-
	ringens bedömning laglig enligt artikel 6.1 e då den bedömts vara nödvän-
	dig för ett utföra en uppgift av allmänt intresse. Lagen innehåller ett antal
	bestämmelser som anger bl.a. ändamålet, vilka uppgifter som får finnas i
	registret och andra villkor som gäller för behandling av uppgifter i regist-
	ret. Sådana bestämmelser är möjliga att ha i nationell rätt när grunden för
	behandlingen är att den är nödvändig för att utföra en uppgift av allmänt
	intresse enligt artikel 6.2 och 6.3. Regeringen anser också att regleringen
	är proportionell i förhållande till ändamålet. Regeringen delar därför ut-
164	redningens bedömning att lagen utgör en sådan tillåten specifik nationell

reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt ar- tikel 6.2 och 6.3 i dataskyddsförordningen.

Datainspektionen ifrågasätter med hänvisning till de invändningar myn- digheten framförde mot det ursprungliga lagförslaget och till att myndig- heten anser att ändamålsbestämmelserna i lagen inte är förenliga med data- skyddsförordningens krav, om lagen är förenlig med dataskyddsförord- ningen. Regeringen anser till skillnad från Datainspektionen att ändamåls- bestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.).

Behandling av personuppgifter ska enligt 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ändamål och är ett krav som stärker skyddet för den registrerades integritet.

Utgångspunkten för lagen har varit att det ska vara en samtyckesbaserad reglering. Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av personuppgif- ter för forskningsändamål. I sammanhanget bör även skäl 43 i dataskydds- förordningen beaktas. Av skäl 43 framgår som nämnts att samtycke inte bör vara en giltig rättslig grund för behandling av personuppgifter i ett sär- skilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskild om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har läm- nats frivilligt. Möjligheten att använda samtycke som rättslig grund har behandlats närmare i avsnitt 7.1.1 och 7.2.1. När det gäller offentliga forskningsutförare kan det, som framgår av sistnämnda avsnitt, enligt re- geringens bedömning förhålla sig så att den som lämnar samtycke inte be- finner sig i någon beroendeställning i förhållande till den personuppgifts- ansvarige. För offentliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant organ. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. De universitet och högskolor som omfattas av lagen om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa är i och för sig myndigheter men med hänsyn till hur starkt frivilligheten framhålls i lagen är det regeringens bedömning att det inte kan anses föreligga betydande ojämlikhet mellan den enskilde och den personuppgiftsansvarige i de fall lagen omfattar.

Den personuppgiftsbehandling som lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behål- las. I det följande kommer regeringen att gå igenom lagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

Prop. 2017/18:298

165

Prop. 2017/18:298 16.2.3 Bestämmelsen om lagens syfte bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens syfte kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för upp- komsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt och att skydda den enskildes personliga integritet i sådan verksamhet. Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan kan sägas ange en grund för bestämmelserna om för vilka ändamål behandling av personuppgifter enligt lagen får ske. Att i nationell lag fastställa syftet med en behandling som grundas på att den är nödvän- dig för att utföra en uppgift av allmänt intresse är tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt regeringens bedömning kan och bör därför bestämmelsen behållas.

16.2.4Bestämmelsen om lagens tillämpningsområde bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens tillämpningsområde kan och bör behållas.

Utredningens förslag överensstämmer delvis med regeringens bedöm- ning. Utredningen har föreslagit att andra stycket i bestämmelsen ska tas bort men bedömt att bestämmelsen i övrigt kan behållas.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges lagens tillämpningsområde. Lagen gäller enligt 2 § första stycket behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes

166

uttryckliga samtycke sker i sådant syfte som anges i 1 §, dvs. att ge uni- versitet och högskolor möjlighet att skapa underlag för olika forsknings- projekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet. Vidare är lagen en- ligt 2 § andra stycket tillämplig bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning el- ler sammanställning enligt särskilda kriterier. I 2 § tredje stycket anges att regeringen meddelar föreskrifter om vilka statliga universitet och högsko- lor som får behandla personuppgifter enligt lagen, och vilka register enligt lagen som får föras.

I 3 § anges att PUL gäller vid behandling av personuppgifter, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Som regeringen återkommer till i nästa av- snitt ska hänvisningarna till PUL tas bort och ersättas av en upplysning om att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kompletterar dataskyddsförordningen.

Regeringen delar utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.

Formuleringen i 2 § andra stycket motsvarar innehållsmässigt artikel

2.1i dataskyddsförordningen, vilken är direkt tillämplig. Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personupp- gifter som helt eller delvis företas på automatisk väg samt på annan be- handling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad sam- ling av personuppgifter som är tillgängliga enligt särskilda kriterier, oav- sett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskydds- förordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för sam- stämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Andra stycket i den aktuella bestämmelsen förtydligar att helt manuell behandling av person- uppgifter som inte ingår i någon samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier faller utanför lagens til- lämpningsområde. Regeringen anser till skillnad från utredningen att andra stycket i bestämmelsen bör behållas för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade.

Sammanfattningsvis är det därför regeringens bedömning att bestäm- melsen i sin helhet kan och bör behållas.

Prop. 2017/18:298

167

Prop. 2017/18:298 16.2.5 Hänvisningarna till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskydds- förordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med reger- ingens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 3 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa anges att PUL gäller vid all behandling av personuppgifter, om inte annat följer av den förstnämnda lagen. Då PUL har upphävts ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till PUL i 3 § ska tas bort. Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till 28 § PUL i fråga om rättelse (13 §), 26 § PUL om information efter ansökan (14 § andra stycket p. 7) och 48 § PUL om skadestånd (17 §). Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen (2018:218), se respektive avsnitt nedan.

	16.2.6	Det ska tas in hänvisningar till dataskyddsförord-
		ningen och dataskyddslagen

	Regeringens förslag: Det ska införas en upplysningsbestämmelse i la-
	gen om vissa register för forskning om vad arv och miljö betyder för
	människors hälsa, som tydliggör att den lagen kompletterar dataskydds-
	förordningen.
	I lagen om vissa register för forskning om vad arv och miljö betyder
	för människors hälsa ska det också införas en upplysningsbestämmelse
	som anger att vid behandling av personuppgifter enligt lagen gäller
	dataskyddslagen och föreskrifter som har meddelats med stöd av den
	lagen, om inte annat följer av lagen om vissa register för forskning om
	vad arv och miljö betyder för människors hälsa eller föreskrifter som
168	har meddelats i anslutning till lagen.

Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens förslag till lagtext har formulerats på ett annat sätt än rege- ringens förslag.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock, i likhet med utredningen, att det bör in- föras en bestämmelse i lagen som tydliggör att den innehåller komplette- rande bestämmelser till dataskyddsförordningen. Hänvisningen till data- skyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör lagens förhållande till dataskyddsförordningen och det blir tydligt att lagen inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tilläm- par lagen och de registrerade.

Genom dataskyddslagen har det som tidigare nämnts införts en lag som på generell nivå kompletterar dataskyddsförordningen i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa bör bestämmel- serna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till den lagen. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförord- ningen finns det i dataskyddslagen generella bestämmelser som utgör til- låtna specificeringar och undantag till dataskyddsförordningen. I 1 kap. 6

§dataskyddslagen anges det att om en annan lag eller en förordning inne- håller någon bestämmelse som avviker från den lagen, tillämpas den be- stämmelsen. Det krävs således i och för sig inte någon hänvisningsbestäm- melse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser där- för att det ska införas en upplysningsbestämmelse i den lagen som anger att vid behandling av personuppgifter enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller data- skyddslagen och föreskrifter som har meddelats med stöd av den lagen,

Prop. 2017/18:298

169

Prop. 2017/18:298 om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har medde- lats i anslutning till lagen.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana upp- gifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskydds- direktivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förhåller sig till brottsdatalagen.

Brottsdatalagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av per- sonuppgifter som en behörig myndighet utför i syfte att upprätthålla all- män ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som

1.en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar person- uppgifter för ett sådant syfte (1 kap. 6 §). Lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen i syfte att skapa underlag för olika forsk- ningsprojekt om vad arv och miljö betyder för uppkomsten och utveck- lingen av olika sjukdomar och människors hälsa i övrigt och för att lämna ut uppgifter för sådan forskning. Statliga universitet och högskolor kan inte sägas ha någon sådan brottsbekämpande eller brottsutredande uppgift som anges i brottsdatalagen och är därmed inte någon sådan behörig myn- dighet på vars verksamhet brottsdatalagen är tillämplig. Mot denna bak- grund anser regeringen inte att det finns ett behov av att i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införa någon bestämmelse som reglerar lagens förhållande till brottsdata- lagen.

170

16.2.7 Bestämmelsen om vilka som är personuppgifts-	Prop. 2017/18:298
ansvariga bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka som är personuppgiftsansvariga kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att de universitet och högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamå- len och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed en- ligt huvudregeln göras utifrån dataskyddförordningen och med utgångs- punkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i data- skyddsförordningen att ange vem som är personuppgiftsansvarig i den nationella rätten. I 5–8 §§ lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges för vilka ändamål person- uppgifter får behandlas enligt lagen. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka som är person- uppgiftsansvariga. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av per- sonuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behand- lingen i registerlagen, vilket gör det tillåtet att ange vem som är person- uppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, kor- rekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig di- rekt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas.

171

Prop. 2017/18:298 16.2.8 Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Ingen annan remissinstans kommenterar bedöm- ningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Datainspektionen vidhåller sin ståndpunkt att än- damålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser. Ingen annan remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gäller enligt PUL (9 §), som baseras på dataskyddsdirek- tivet.

De primära ändamål som personuppgifter får behandlas för enligt lagen om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa, anges i 5 §. De är att skapa underlag för olika forskningspro- jekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndighet och att forskningen och personuppgiftsbehandlingen är god- kända enligt etikprövningslagen. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men de får vara för- sedda med en beteckning som hos den personuppgiftsansvarige kan kopp- las till den registrerades personnummer eller motsvarande identitetsbe- teckning. Regeringen anser att dessa ändamålsbestämmelser är tillräckligt preciserade för att uppfylla kraven i dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör därför behållas.

172

skyddsförordningens krav, om lagen är förenlig med dataskyddsförord- ningen. Som regeringen redan har anfört i avsnitt 16.2.2 anser regeringen till skillnad från Datainspektionen att ändamålsbestämmelserna är fören- liga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.). Det har sedan dess inte tillkommit någon praxis från EU-domstolen som ger anledning till någon annan bedömning än tidigare. Mot denna bakgrund delar inte regeringen Datainspektionens uppfattning.

Sekundära ändamål och finalitetsprincipen

Termen sekundära ändamål avser myndigheters utlämnande av person- uppgifter för att tillgodose andras behov. Ett sekundärt ändamål enligt la- gen om vissa register för forskning om vad arv och miljö betyder för män- niskors hälsa är enligt 7 § första stycket utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Personuppgifter som registre- rats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är regeringens bedömning att bestäm- melsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad.

Personuppgifter som behandlas för det primära ändamålet att ingå i ett register enligt lagen eller för att lämnas ut för sådan forskning som lagen avser får enligt 8 § första stycket i registerlagen, utöver vad som anges i 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse har förts in i lagen för att undvika konflikt med andra lagar som innebär en uppgiftsskyldighet. Det kan bl.a. finnas en skyldighet att lämna uppgifter till tillsynsmyndigheten, dvs. Datainspektionen. Bestämmelsen är enligt regeringens uppfattning en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 som kan kvarstå oförändrad.

De uppräknade ändamålen och tillåtna behandlingarna i lagen är enligt

8 § andra stycket uttömmande. Det innebär en begränsning av finalitets- principen enligt dataskyddsförordningen. Den principen innebär att upp- gifter ska samlas in för särskilda, uttryckligt angivna och berättigade än- damål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, ve- tenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b). Mot bakgrund av att ändamålen med behandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamåls- begränsningar. Det är regeringens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas.

Prop. 2017/18:298

173

Prop. 2017/18:298 16.2.9 Det bör även fortsättningsvis anges vilka person- uppgifter som får finnas i registret

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka personuppgifter som får finnas i registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka uppgifter som får finnas i ett register som förs med stöd av lagen. Uppräk- ningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräk- ning råder det enligt regeringens uppfattning inget tvivel om att uppgif- terna som samlas in med stöd av lagen utgörs av huvudsakligen känsliga personuppgifter, enligt definitionen i 13 § PUL där bland annat person- uppgifter om hälsa ingick. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet regeringen bestämmer medde- lar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (särskilda kategorier av uppgifter). Gene- tiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier uppgifter som omfattas av det principiella förbudet mot behandling, jämfört med motsvarande reglering i dataskyddsdirektivet och PUL. I 3 kap. 1 § dataskyddslagen anges att med känsliga uppgifter avses i den lagen sådana uppgifter som avses i artikel 9.1.

I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga un- dantag från förbudet i artikel 9.1, till exempel om den registrerade har läm- nat sitt samtycke (artikel 9.2 a) eller om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forsk- ningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i ar- tikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Av skäl 10 i dataskyddsförordningen framgår att förordningen ger med- lemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att

174

förordningen inte utesluter att det i medlemsstaternas nationella rätt fast- Prop. 2017/18:298 ställs närmare omständigheter för specifika situationer där uppgifter be-

handlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämp- liga skyddsåtgärder för att skydda personuppgifter och övriga grundläg- gande rättigheter. En förutsättning för sådana undantag är att allmänintres- set motiverar det.

Motsvarande förbud mot behandling av känsliga personuppgifter fanns i dataskyddsdirektivets artikel 8.1, vilken införlivades i svensk rätt genom 13 § PUL. Undantag från förbudet var bland annat möjligt om den registrerade lämnat sitt uttryckliga samtycke (artikel 8.2 a i data- skyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirekti- vet).

I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerla- gen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirek- tivet. De bestämmelser som finns i registerlagen bl.a. ifråga om informa- tion, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får be- handlas enligt registerlagen.

Eftersom motsvarande möjligheter till undantag finns i dataskydds- förordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter enligt registerlagen finns således i artikel 9.2 a i dataskyddsförordningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende gene- tiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskyddsförordningen.

16.2.10Begränsningen av intern elektronisk åtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om begränsning av intern elektronisk åtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm-
ning.
Remissinstanserna: Ingen remissinstans kommenterar bedömningen
särskilt.
Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
ringens bedömning.
Remissinstanserna: Ingen remissinstans kommenterar bedömningen
särskilt.	175
	175

Prop. 2017/18:298 Skälen för regeringens bedömning: I 10 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Denna bestäm- melse är en skyddsåtgärd enligt dataskyddsförordningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestäm- melse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att reglera i nationell rätt för att närmare fastställa villkoren för den per- sonuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsupp- gift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i data- skyddsförordningen. För att undantaget i artikel 9.2 g när en behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i arti- kel 9.2 j när en behandling är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämp- liga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas.

16.2.11 Förbudet mot direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om förbud mot utlämnande genom direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

176

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 11 § i registerlagen får ut- lämnande genom direktåtkomst till personuppgifter i registret inte före- komma. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförord- ningens terminologi.

nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i arti- Prop. 2017/18:298 kel 9.2 j då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen enligt lagen

vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmel- ser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är en sådan bestämmelse. Mot den angivna bakgrunden kan och bör bestämmelsen be- hållas.

I ett beslut i ett tillsynsärende gällande personuppgiftsbehandlingen i det s.k. LifeGene-registret har Datainspektionen konstaterat att Karolinska institutet, som är personuppgiftsansvarigt, medger deltagare i projektet att via en personlig hemsida på egen hand söka efter uppgifter om sig själva som finns i registret. Enligt Datainspektionen är det fråga om att institutet ger deltagarna direktåtkomst till uppgifter i registret utan lagligt stöd (beslut av Datainspektionen 6 februari 2015, dnr 708-2014). Frågan om förbudet mot direktåtkomst enligt bestämmelsen även fortsättningsvis bör gälla mot den enskilde själv övervägdes av Forskningsdatautredningen i samband med utredningens slutbetänkande (SOU 2018:36).

16.2.12 Bestämmelsen om gallring ska anpassas

Regeringens förslag: Terminologin i bestämmelsen om gallring i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningens termino- logi.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: Enligt 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska person- uppgifter gallras när de inte längre behövs för de ändamål som avses i 5 § 1 och 2, dvs. att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdo- mar och för människors hälsa i övrigt, och att lämna ut uppgifter för sådan forskning i den utsträckning och på det sätt som anges i 6 §. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får be- varas för historiska, statistiska eller vetenskapliga ändamål.

Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i data- skyddsförordningen får personuppgifter inte förvaras i en form som möj- liggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Person- uppgifter får lagras under längre perioder i den mån personuppgifterna en- bart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller

177

Prop. 2017/18:298 historiska forskningsändamål eller statistiska ändamål i enlighet med arti- kel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Motsvarande bestämmelse finns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskyddsförordningen. Rege- ringen anser att bestämmelserna i 12 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa, dvs. att person- uppgifter ska gallras så snart de inte längre behövs, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, utgör en sådan nationell bestäm- melse om lagringstid som är tillåten enligt artikel 6.2 och 6.3 i dataskydds- förordningen när behandlingen grundas på en uppgift av allmänt intresse. Tidigare bedömningar och avvägningar mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offent- lighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallringsbestämmelsen i registerlagen, är fortfarande re- levanta och balanserade. Det är därför regeringens bedömning att bestäm- melsen om gallring inte behöver ändras i sak.

I dataskyddsförordningen används formuleringen ”arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller stat- istiska ändamål”, vilket i viss mån skiljer sig från dataskyddsdirektivet, där formuleringen ”historiska, statistiska eller vetenskapliga ändamål” an- vänds. Formuleringen i 12 § registerlagen bör anpassas till dataskydds- förordningen.

16.2.13 Bestämmelsen om rättelse ska upphävas

Regeringens förslag: Bestämmelsen om rättelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 13 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa anges att bestäm- melserna om rättelse i 28 § PUL ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den förstnämnda lagen.

Bestämmelsen i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen. För att bestämmelserna om rättelse skulle vara tillämpliga även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö be- tyder för människors hälsa krävdes det därför att det i den lagen särskilt

178

angavs att bestämmelserna i 28 § PUL gäller om behandling av person- Prop. 2017/18:298 uppgifter sker i strid med lagen om vissa register för forskning om vad arv

och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16. Till skillnad från vad som gäller enligt PUL är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det finns därför inte skäl att införa motsvarande hänvisning till dataskydds- förordningen.

Vid införandet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. Enligt dataskyddsförordningen gäller en rätt till rättelse direkt till följd av förord- ningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsför- ordningen inte heller ska införas i svensk rätt.

Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om rätt till rättelse ska därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen.

16.2.14 Bestämmelsen om samtycke och information ska anpassas

Regeringens förslag: Bestämmelsen om samtycke och information i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Den hänvisning till personuppgiftslagen som finns ska tas bort.

Utredningens förslag överensstämmer med regeringens förslag
förutom att utredningen föreslagit att hänvisningen till 26 § PUL i andra
stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i
dataskyddsförordningen.
Remissinstanserna: Ingen remissinstans kommenterar förslagen sär-
skilt.
Förslaget i utkastet till lagrådsremiss överensstämmer med rege-
ringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att
hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en
hänvisning till artikel 15 i dataskyddsförordningen.
Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-
skilt.
Skälen för regeringens förslag: I 14 § första stycket lagen om vissa
register för forskning om vad arv och miljö betyder för människors hälsa	179
	179

Prop. 2017/18:298 anges att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt lagen utan att den som uppgifterna avser

	uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen.
	Av andra stycket i paragrafen framgår vilken information som ska lämnas
	till en person innan han eller hon lämnar sitt samtycke. I uppräkningen av
	vilken information som ska lämnas till den enskilde finns en hänvisning
	till bl.a. 26 § PUL. I den paragrafen fanns bestämmelser om vilken infor-
	mation som ska lämnas till den registrerade efter ansökan.
	Det följer av 9 § lagen om vissa register för forskning om vad arv och
	miljö betyder för människors hälsa att kravet på samtycke till behandling
	i 14 § gäller såväl personuppgifter som inhämtas från den registrerade som
	personuppgifter som inhämtas från annan än den registrerade.
	Det är regeringens bedömning att bestämmelsen i 14 § första stycket om
	att samtycke krävs för behandling av personuppgifter enligt lagen är en
	sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3
	i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare
	fastställa villkoren för den personuppgiftsansvariges behandling som
	grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e
	i dataskyddsförordningen.
	I artikel 13 i dataskyddsförordningen anges vilken information som den
	personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter
	samlas in från den registrerade. Dataskyddsförordningens bestämmelse
	om information är mer utförlig än motsvarande bestämmelse som fanns i
	artikel 10 i dataskyddsdirektivet. Artikel 14 i dataskyddsförordningen
	reglerar den information som ska tillhandahållas om personuppgifterna har
	samlats in från någon annan än den registrerade. Dataskyddsförordningens
	bestämmelse om information i en sådan situation är mer utförlig än mot-
	svarande som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade
	har således i båda fallen rätt att få mer information än vad som gällde enligt
	dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i
	dataskyddsförordningen om i vilken form informationen ska lämnas, som
	helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den
	registrerades rättigheter har stärkts i detta avseende.
	Uppräkningen av vilken information som ska lämnas enligt 14 § lagen
	om vissa register för forskning om vad arv och miljö betyder för männi-
	skors hälsa skiljer sig i viss mån åt från den uppräkning som finns i artik-
	larna 13 och 14 i dataskyddsförordningen. Viss information som ska läm-
	nas enligt 14 § registerlagen motsvaras av information enligt de direkt til-
	lämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen
	medan vissa punkter i lagen om vissa register för forskning om vad arv
	och miljö betyder för människors hälsa inte har någon motsvarighet i data-
	skyddsförordningen.
	Bestämmelser i nationell rätt som anger vilken information som själv-
	mant ska lämnas till den registrerade får enligt regeringens bedömning be-
	hållas med stöd av artikel 6.2 och 6.3 dataskyddsförordningen, om den
	ursprungliga behandlingen grundas på att den är nödvändig för att utföra
	en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock
	bestämmelsen anpassas så att de punkter som har sin motsvarighet i data-
	skyddsförordningen tas bort och det i bestämmelsen anges vilken infor-
	mation som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i
180	dataskyddsförordningen. Enligt regeringens bedömning innebär detta att

14 § andra stycket punkt 2 om för vilka ändamål behandling kan ske och Prop. 2017/18:298 vilka uppgifter som får registreras och punkt 7 om rätten till information

bör anpassas till dataskyddsförordningen genom att den del i punkt 2 som avser för vilka ändamål behandling kan ske stryks och att hänvisningen till

26 § PUL i punkt 7 stryks. Vidare bör punkt 4 om vem som är person- uppgiftsansvarig, punkt 5 om hur länge uppgifterna sparas, punkt 6 om rätten till rättelse och punkt 10 om rätten att få uppgifter utplånade utgå.

Vidare skiljer sig bestämmelsen i 14 § i registerlagen från artiklarna 13 och 14 i dataskyddsförordningen på så sätt att den anger att informationen ska ha lämnats innan den registrerade ger sitt samtycke till behandlingen av personuppgifter. I artikel 13 i dataskyddsförordningen anges det att in- formationen ska lämnas när personuppgifterna erhålls när det är fråga om uppgifter som samlas in från den registrerade och i artikel 14 anges det att informationen ska lämnas inom en rimlig period, dock senast inom en må- nad, när uppgifterna inte har samlats in från den registrerade. Bestämmel- sen i registerlagen begränsar inte den registrerades rätt till information. Liksom att samtycke är en förutsättning för att personuppgifter ska få be- handlas enligt lagen är ett krav som stärker den registrerades integritet är även kravet på att informationen lämnas innan den registrerade lämnar sitt samtycke ett krav som stärker den registrerades rättigheter. Denna del av bestämmelsen är därmed enligt regeringens uppfattning en tillåten preci- sering för att anpassa tillämpningen i nationell rätt enligt artikel 6.2 och

6.3och den kan och bör behållas.

16.2.15Bestämmelsen om information om utlämnande till forskning bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om att den registrerade ska få information om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm-
ning.
Remissinstanserna: Ingen remissinstans kommenterar bedömningen
särskilt.
Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
ringens bedömning.
Remissinstanserna: Ingen remissinstans kommenterar bedömningen
särskilt.
Skälen för regeringens bedömning: Den registrerade har enligt 15 §
lagen om vissa register för forskning om vad arv och miljö betyder för
människors hälsa rätt att på begäran få information om till vilka forsk-
ningsprojekt uppgifter om honom eller henne har lämnats ut.
Bestämmelsen kan sägas vara en specificering av den rättighet som
anges i artikel 15.1 c i dataskyddsförordningen, dvs. att den registrerade
ska ha rätt att få information om de mottagare eller kategorier av mottagare
till vilka personuppgifterna har lämnats eller ska lämnas ut. Bakgrunden
till bestämmelsen i registerlagen är bedömningen att den registrerade kan
behöva få tillgång till information om till vilka forskningsprojekt uppgifter	181
	181

Prop. 2017/18:298 om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter. Bestämmelsen är, enligt regeringens bedömning, en sådan nationell specificering som är tillåten enligt skäl 8 samt artikel

6.2och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.2.16 Bestämmelsen om utplåning ska upphävas

Regeringens förslag: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om den registrerades rätt till utplåning av uppgifter ska upphävas.

Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen har föreslagit att bestämmelsen om den registrerades rätt till utplåning av uppgifter ska ändras på så sätt att första meningen i paragra- fen ersätts med en inledande upplysning om artikeln i dataskyddsförord- ningen som reglerar rätten till radering men att bestämmelsen i övrigt be- hålls och att begreppet utplåna genomgående ersättas med begreppet ra- dera i enlighet med terminologin i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: Av 16 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa framgår att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen ställs vidare vissa for- mella krav på hur en begäran om utplåning ska vara utformad. Det ställs också krav på att den personuppgiftsansvarige utplånar uppgifterna i en- lighet med begäran om inom två månader från det att begäran gjordes och sänder en bekräftelse till den registrerade på att utplåning har skett. Dess- utom ställs det vissa krav på innehållet i bekräftelsen som ska sändas till den registrerade.

Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i data- skyddsförordningen såtillvida att den registrerade har en ovillkorlig rätt att få sina uppgifter utplånade. Enligt artikel 17 i dataskyddsförordningen har den registrerade rätt att få sina personuppgifter raderade om någon av ett antal uppräknade situationer föreligger. Rätten till radering gäller inte hel- ler enligt artikel 17.3 i den utsträckning som behandlingen är nödvändig för något av ett antal uppräknade skäl, bl.a. om den är nödvändig för ve- tenskapliga eller historiska forskningsändamål i den utsträckning som rät- ten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

182

Den registrerades rätt till utplåning enligt registerlagen avviker alltså från vad som anges i den direkt tillämpliga artikel 17 i dataskyddsförord- ningen. Denna del av paragrafen är därför enligt regeringens bedömning inte förenlig med dataskyddsförordningen. Resterande del av paragrafen

innehåller bestämmelser som närmare reglerar förfarandet vid en begäran Prop. 2017/18:298 om utplåning. Det ställs krav på den registrerade som går utöver vad som

framgår av dataskyddsförordningen genom kraven på att begäran ska gö- ras skriftligen och vara undertecknad av den registrerade. I artikel 17 i dataskyddsförordningen anges dessutom att den registrerade har rätt att få sina personuppgifter raderade utan onödigt dröjsmål när någon av de upp- räknade situationerna föreligger medan det i bestämmelsen i registerlagen anges att ett utplånande ska ske inom två månader från det att begäran gjordes. Enligt regeringens bedömning finns det inte någon grund i data- skyddsförordningen för att i nationell rätt ställa sådana ytterligare krav på den registrerade eller begränsa rättigheten på sådant sätt. Bestämmelsen kan därför inte behållas utan ska upphävas. Den motsvarande rätten till radering kommer därmed att följa direkt av dataskyddsförordningen.

16.2.17 Bestämmelsen om skadestånd ska upphävas

Regeringens förslag: Bestämmelsen om skadestånd i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 17 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa anges att bestäm- melserna i 48 § PUL om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med lagen om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa.

Bestämmelsen i 48 § PUL gällde endast om behandling skett i strid med den lagen. För att bestämmelsen om skadestånd skulle vara tillämplig även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det sär- skilt angavs att bestämmelserna i PUL gäller om behandling av person- uppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar nu när PUL har upphävts.

I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skade- stånd.

Dessutom har det i dataskyddslagen införts en bestämmelse i data- skyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i data- skyddsförordningen gäller även vid överträdelser av bestämmelser i data-

183

Prop. 2017/18:298 skyddslagen och andra författningar som kompletterar dataskyddsförord- ningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelsen om skadestånd i 17 § i registerlagen bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.

	17	Ikraftträdande- och övergångsbestäm-
		melser
	17.1	Lagändringarna ska träda i kraft den 1 januari
		2019

	Regeringens förslag: Ändringarna i lagen om rättspsykiatriskt forsk-
	ningsregister, etikprövningslagen, offentlighets- och sekretesslagen, la-
	gen om vissa register för forskning om vad arv och miljö betyder för
	människors hälsa samt i lagen med kompletterande bestämmelser till
	EU:s dataskyddsförordning ska träda i kraft den 1 januari 2019.

	Utredningens förslag överensstämmer inte med regeringens förslag.
	Utredningen föreslår att forskningsdatalagen och lagändringarna ska träda
	i kraft den 25 maj 2018.
	Remissinstanserna: Remissinstanserna har inte några synpunkter på ut-
	redningens förslag.
	Förslaget i utkastet till lagrådsremiss överensstämmer med rege-
	ringens förslag.
	Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig
	instämmer i förslaget eller har inget att invända. Lunds universitet framför
	att det har implikationer för forskningen att förändringarna i etikpröv-
	ningslagen (liksom de övriga förslagen) föreslås träda i kraft 1 januari
	2019, eftersom Sverige därmed kommer att sakna kompletterande bestäm-
	melser till dataskyddsförordningen från det att dataskyddsförordningens
	bestämmelser börjar tillämpas den 25 maj till årets slut. Detta är proble-
	matiskt på flera sätt. Ett av problemen är att etikprövningslagen inte kom-
	mer att ha anpassats till förordningens utökade lista på ”känsliga
	personuppgifter”. En än mer grundläggande fråga är enligt universitetet
	om det alls är möjligt att erhålla etiskt tillstånd så länge etikprövningslagen
	hänvisar till den upphävda personuppgiftslagen. Universitet anser att man
	bör undersöka om det finns möjlighet att låta förändringarna träda i kraft
	tidigare än vad som nu föreslagits. Skulle detta inte vara möjligt behöver
	svenska universitet och högskolor vägledning för den period då förslagen
	inte hunnit träda i kraft. Även Stockholms universitet, Regionala
	etikprövningsnämnden i Uppsala och Läkemedelsindustriföreningen
	påpekar att det senare ikraftträdandet av ändringarna i etikprövningslagen
	innebär att nationell rätt inte kommer att innehålla någon reglerad
	skyddsåtgärd för behandling av de kategorier av känsliga personuppgifter
184	enligt artikel 9.1 i dataskyddsförordningen som inte omfattas av 13 § PUL.

Även dessa remissinstanserna efterlyser vägledning för dem som har att tillämpa regleringen under denna övergångsperiod. Regionala etikpröv- ningsnämnden i Umeå konstaterar att fram till dess att lagändringarna träder i kraft är en etikgranskning enligt 3 § etikprövningslagen på sin höjd är möjlig till den del projektet behandlar känsliga personuppgifter enligt PUL-uppräkningen. Om ett projekt även innefattar behandling av t.ex. genetiska uppgifter kommer den delen att bli föremål för etikpröv- ningsnämndens prövning endast som en del i den allmänna avvägningen av risk mot värde i 9 § etikprövningslagen. Nämnden anför att det får bli den personuppgiftsansvariges eget ansvar att se till att det finns rättslig grund och erforderligt samtycke m.m.

Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförord- ningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvis- ningar till det upphävda direktivet ska anses som hänvisningar till förord- ningen. I samband med att dataskyddslagen trädde i kraft den 25 maj 2018 upphävdes PUL. Av p 5 i övergångsbestämmelserna framgår dock att PUL fortsatt ska gälla efter den 25 maj 2018 i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvis- ningar till PUL. Som framgått av avsnitt 12 och 16 finns sådana hänvis- ningar i etikprövningslagen, lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Detta innebär att etikprövning enligt etikprövningslagen ska hanteras i enlighet med dessa lagars nuvarande lydelse till dess försla- gen om ändrade lydelser i dessa lagar träder i kraft.

Förslagen bör träda i kraft så snart som möjligt. Med hänsyn till den tid som lagstiftningsprocessen tar föreslås att ändringarna ska träda i kraft den 1 januari 2019. Det är regeringens bedömning att det inte är möjligt med ett tidigare ikraftträdande. Som några remissinstanser har påpekat innefat- tar uppräkningen i artikel 9.1 i dataskyddsförordningen några fler katego- rier uppgifter än 13 § PUL, nämligen behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning. Fram till dess att änd- ringen i etikprövningslagen träder i kraft kommer nationell rätt inte att in- nehålla någon reglerad skyddsåtgärd i form av etikprövning för behandling av de kategorier av känsliga personuppgifter som anges i artikel 9.1 men som inte omfattas av 13 § PUL. Det är dock regeringens uppfattning att tilläggen i artikel 9.1 jämfört med 13 § PUL inte innebär några stora skill- nader i praktiken. Personuppgifter om sexuell läggning har i svensk rätt ansetts ingå i kategorin sexualliv (prop. 2017/18:115 s. 19). Genetiska uppgifter avslöjar ofta uppgifter om hälsa och/eller etniskt ursprung och utgör i dessa fall känsliga uppgifter inom även PUL:s tillämpningsområde. Biometriska uppgifter för att entydigt identifiera en fysisk person är en ny kategori i sammanhanget och definieras i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel

Prop. 2017/18:298

185

Prop. 2017/18:298 4.14). Regeringen har ingen uppfattning om i vilken utsträckning sådana personuppgifter behandlas för forskningsändamål. Det kan dock inte uteslutas att det kan förekomma behandling av känsliga personuppgifter för forskningsändamål som faller utanför etikprövningslagens nuvarande tillämpningsområde. I sådana situationer måste den personuppgifts- ansvarige bedöma om övriga befintliga skyddsåtgärder, t.ex. sekretess- reglering, kan anses tillräckliga i sammanhanget. Som Regionala etikpröv- ningsnämnden i Umeå påpekar är det ett ansvar för varje forskningsutfö- rare som är personuppgiftsansvarig att se till att behandlingen sker i enlig- het med dataskyddsförordningen. Om den personuppgiftsansvarige vid en bedömning av den enskilda situationen kommer fram till att befintliga skyddsåtgärder inte kan anses tillräckliga för att kunna grunda behand- lingen på artikel 9.2 j, så kan den personuppgiftsansvarige behöva inhämta den registrerades samtycke för att behandlingen ska vara tillåten enligt dataskyddsförordningen.

När det gäller den generella skyddsåtgärden att uppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen kommer regleringen i PUL av denna skydds- åtgärd att gälla vid behandling som omfattas av lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa genom hänvisningen till PUL i dessa lagar. Vid behandling av personuppgifter för forskningsändamål i övriga fall blir konsekvensen att under den aktuella perioden fram till att ändringen i dataskyddslagen träder i kraft kommer någon bestämmelse med en sådan skyddsåtgärd inte att gälla. Det kan i detta sammanhang på- minnas om det generella kravet i artikel 89.1 i dataskyddsförordningen på att behandling av personuppgifter för forskningsändamål ska omfattas av skyddsåtgärder.

	17.2	Övergångsbestämmelser behövs inte

	Regeringens bedömning: Övergångsbestämmelser behövs inte.

	Utredningens bedömning överensstämmer delvis med regeringens be-
	dömning. Utredningen har angivit att dataskyddsförordningen inte ger ut-
	rymme för några övergångsbestämmelser.
	Remissinstanserna: Remissinstanserna har inte några synpunkter på ut-
	redningens bedömning.
	Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-
	ringens bedömning.
	Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig
	instämmer i bedömningen eller har inget att invända.
	Skälen för regeringens bedömning: Av dataskyddsförordningen fram-
	går att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar
	till dataskyddsförordningen i samband med att denna börjar tillämpas och
	direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår
	vidare att nationella anpassningar i medlemsstaterna bör finnas på plats
	när förordningen börjar tillämpas. Dataskyddsförordningen ger därmed
186	mycket begränsat utrymme för övergångsbestämmelser

Det är regeringens bedömning att några övergångsbestämmelser inte Prop. 2017/18:298 behövs i de lagar som föreslås anpassas till dataskyddsförordningen.

18 Konsekvenser

18.1Övergripande konsekvenser

Inledningsvis kan regeringen konstatera att dataskyddsförordningen i sig kommer att leda till stora konsekvenser för både det allmänna och en- skilda. Dessa behandlas dock inte i detta lagstiftningsärende.

Dataskyddsförordningen är direkt tillämplig men lämnar vissa möjlig- heter till nationella kompletterande och specificerande bestämmelser. När det gäller personuppgiftsbehandling för just forskningsändamål ger data- skyddsförordningen i flera fall utrymme för kompletterande nationell lag- stiftning. Om dessa möjligheter inte tas till vara kommer förutsättningarna för att behandla personuppgifter för forskningsändamål att kraftigt försäm- ras jämfört med idag. Det är därför inte är ett rimligt alternativ att någon nationell reglering inte kommer till stånd. De förslag till ändringar i etik- prövningslagen, offentlighets- och sekretesslagen och dataskyddslagen som regeringen lämnar i denna proposition utgör de nödvändiga komp- letterande nationella bestämmelser som krävs för att den samlade data- skyddsregleringen ska möjliggöra en ändamålsenlig behandling av person- uppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri och rättigheter. Regeringen föreslår även vissa anpassningar av regis- terförfattningar till dataskyddsförordningen. Majoriteten av bestämmel- serna i registerförfattningarna kvarstår oförändrade. Förslagen i övrigt är nödvändiga följder av eller anpassningar till dataskyddsförordningen och till att PUL upphävts. Någon ändring i sak i förhållande till vad som gäller idag är inte avsedd.

En allmän utgångspunkt för regeringen har varit att bibehålla de rättig- heter och skyldigheter i samband med personuppgiftsbehandling för forsk- ningsändamål som finns i dag, inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. Varken möjligheterna till sådan personuppgiftsbehandling, eller den enskildes integritetsskydd ska försämras jämfört med dagens situation. De ändringar som regeringen föreslår i de aktuella författningarna motsvarar därför i stort sett de tidigare bestämmelserna i PUL och de andra aktuella författningarna.

Mot bakgrund av detta är det regeringens bedömning att förslagen i propositionen inte får några övergripande konsekvenser varken för det allmänna eller för enskilda forskningsutförare.

Som framgått i avsnitt 17 har lagändringarna inte kunnat träda i kraft den 25 maj 2018 då dataskyddsförordningen började tillämpas utan lagändringarna föreslås träda i kraft den 1 januari 2019. Konsekvenserna av detta har behandlats i avsnitt 17.1.

187

Författningskommentar

Prop. 2017/18:298

19.1Förslaget till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fri- stående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid be- handling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande be- stämmelser för behandling av personuppgifter i det rättspsykiatriska forsk- ningsregistret.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen behandlas i avsnitt 16.1.5.

2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

I paragrafen, som är ny, anges att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen, om inte annat följer av denna lag.

Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter i det rättspsykiatriska forskningsregistret. Dataskyddslagen är subsidiär i förhållande till lagen om rättspsykiatriskt forskningsregister. Det innebär att om lagen om rättspsykiatriskt forsk- ningsregister innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskydds- lagen.

189

Prop. 2017/18:298 Bestämmelsen behandlas i avsnitt 16.1.5.

12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade.

Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informa- tionen innehålla upplysningar om

1.de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

2.bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrera- des rätt till skadestånd, och

3.de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Paragrafen reglerar vilken information som ska lämnas till den registre- rade.

Bestämmelsen anpassas till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen, vilken är direkt tillämplig. Hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.1.10.

19.2Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser män- niskor

2 § I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i

vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Euro- paparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

I paragrafen definieras vissa grundläggande begrepp som används i lagen. Paragrafen ändras på sätt att i definitionen av behandling av personupp- gifter ersätts hänvisningen till definitionen i den upphävda person- uppgiftslagen (1998:204), förkortad PUL, med en hänvisning till den definition av begreppet som finns i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv

190

95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförord- Prop. 2017/18:298 ningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser

förordningen i dess gällande lydelse vid varje tidpunkt. Bestämmelsen behandlas i avsnitt 14.1.1.

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1.personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller

2.personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

I denna paragraf och i 4 och 5 §§ anges lagens tillämpningsområde. Första punkten, som hänvisar till känsliga personuppgifter enligt 13 §

PUL, ändras så att en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) görs. Detta innebär att all behandling för forsknings- ändamål av sådana personuppgifter som anges i artikel 9.1 i dataskydds- förordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskyddsförordningen.

Andra punkten, som hänvisar till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL ändras på så sätt att hänvisningen till den paragrafen tas bort. Detta innebär att kravet på etik- prövning enligt etikprövningslagen omfattar all personuppgiftsbehandling för forskningsändamål av de angivna kategorierna av personuppgifter, både sådan personuppgiftsbehandling som utförs av myndigheter och sådan som utförs av enskilda forskningsutförare. I artikel 10 i dataskydds- förordningen anges något färre kategorier av personuppgifter om lag- överträdelser än i 21 § PUL. Någon ändring i sak när det gäller de kate- gorier av personuppgifter om lagöverträdelser som ska vara föremål för etikprövning görs inte i förevarande paragraf. Kravet på etikprövning kommer således även fortsättningsvis att gälla samma kategorier av personuppgifter om lagöverträdelser som hittills. Detta innebär att tillämpningsområdet är mer omfattande än vad som framgår av artikel 10 i dataskyddsförordningen och även omfattar friande domar i brottmål och administrativa frihetsberövanden.

Bestämmelsen behandlas i avsnitt 12.

19.3Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

21 kap.

7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett ut- lämnande kommer att behandlas i strid med

1.Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp- gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen,

2.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-

förordning, eller

191

Prop. 2017/18:298 3. 6 § lagen (2003:460) om etikprövning av forskning som avser människor.

Paragrafen reglerar sekretess i fall där det kan antas att utlämnade uppgif- ter kommer att behandlas i strid med dataskyddsregleringen.

Efter förslag i propositionen Ny dataskyddslag (prop. 2017/18:105) har en ändring gjorts i paragrafen som innebär dels ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till den numera upphävda person- uppgiftslagen (1998:204), förkortad PUL, ersatts med en hänvisning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, och lagen (2018:218) med kompletterande be- stämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen. Den nu aktuella ändringen innebär att en hänvisning även görs till kravet på godkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor, benämnd etikprövningslagen, när det är fråga om forskning som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. (se 6 § etikprövningslagen och hänvisningen i det lagrummet till 3 § samma lag).

PUL innehöll bestämmelser som särskilt reglerade möjligheten att be- handla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel el- ler administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om be- handlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL). Genom hänvisningen till PUL i förevarande paragraf gällde sekre- tess för uppgifter om det kunde antas att uppgiften efter utlämnandet skulle komma att behandlas i strid med kravet på godkännande i etikprövnings- lagen. PUL har upphävts i samband med att dataskyddsförordningen bör- jade tillämpas. Det förs därför in en hänvisning till 6 § etikprövningslagen i förevarande paragraf, vilket innebär att sekretess även framöver kommer att gälla för uppgifter om det kan antas att känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ef- ter ett utlämnande kommer att behandlas i strid med kravet på etikpröv- ning.

Bestämmelsen behandlas i avsnitt 15.2.

19.4Förslaget till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

192

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskydds- Prop. 2017/18:298 förordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd data- skyddsförordningen, har börjat tillämpas ändras paragrafen så att den an- ger att lagen innehåller kompletterande bestämmelser till dataskyddsför- ordningen. Detta innebär att lagen inte kan tillämpas fristående, utan en- dast tillsammans med dataskyddsförordningen.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.6.

3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, anger hur lagen förhåller sig till dataskyddslagen. Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter enligt förevarande lag. Dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att om denna lag eller föreskrifter som har meddelats i anslutning till lagen innehåller be- stämmelser som avviker från vad som anges i dataskyddslagen ska de

bestämmelserna ha företräde framför dataskyddslagen. Bestämmelsen behandlas i avsnitt 16.2.6.

12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsän- damål eller statistiska ändamål.

Paragrafen innehåller bestämmelser om gallring.

193

Prop. 2017/18:298 Terminologin i paragrafen anpassas till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” byts ut mot ”arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forskningsän- damål eller statistiska ändamål”.

Bestämmelsen behandlas i avsnitt 16.2.12.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryck- ligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1.att det är frivilligt att lämna uppgifter, medverka till upptagningar eller ge- nomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2.vilka uppgifter som får registreras enligt 9 §,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. rätten till information enligt 15 § denna lag,

5. vilken myndighet som har tillsyn över att denna lag följs, och

6. rätten till skadestånd.

Av bestämmelsens första stycke framgår att personuppgifter inte får sam- las in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att per- sonuppgifter behandlas enligt lagen. I andra stycket regleras vilken in- formation som ska ha lämnats till en person innan denne lämnar sitt sam- tycke.

Bestämmelsens andra stycke anpassas så att de punkter som har sin mot- svarighet i dataskyddsförordningen tas bort och att det i bestämmelsen en- bart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.14.

19.5Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

4 kap.

3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Paragrafen, som är ny, fastställer begränsningar för hur personuppgifter som behandlas för forskningsändamål får användas. Paragrafen motsvarar delvis 9 § fjärde stycket i den upphävda personuppgiftslagen (1998:204), förkortad PUL.

Bestämmelsen, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av

194

personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, förhindrar som huvudregel att personuppgifter som behandlas av den personuppgiftsansvarige enbart för forsknings- ändamål används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får bara vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av person- uppgifter och inte bara känsliga sådana. Med vitala intressen avses intres- sen som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständig- heter som utgör synnerliga skäl. För att det ska vara tillåtet att använda uppgifterna för att vidta åtgärder i fråga om den registrerade krävs också att användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (se artikel 5.1 b i dataskyddsförordningen). Undantaget från användningsbegränsningen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten enligt dataskydds- förordningen.

I förhållande till den motsvarande bestämmelsen som fanns i PUL har bestämmelsen utformats så att det tydligare framgår att användnings- begränsningen gäller personuppgifter som enbart behandlas för forsk- ningsändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas en- ligt förarbetena (se prop. 1997/98:44 s. 120). Vidare har undantaget att åtgärder i fråga om den registrerade får vidtas om den registrerade lämnat sitt samtycke tagits bort. Om samtycke inhämtas för att en uppgift ska an- vändas för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt och undantaget är därför överflödigt.

Till skillnad från vad som tidigare gällde enligt PUL (se 8 § andra stycket PUL) innebär bestämmelsen en begränsning även av myndigheters möjligheter att använda personuppgifter i allmänna handlingar för att vidta åtgärder i fråga om den registrerade.

I övrigt bör bestämmelsen tolkas och tillämpas på ett likartat sätt som bestämmelsen i 9 § fjärde stycket PUL. Praxis kring tillämpningen av den bestämmelsen bör således vara vägledande.

Bestämmelsen behandlas i avsnitt 9.3.

Prop. 2017/18:298

195

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/1

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679

av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(2)Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3)Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna.

(1) EUT C 229, 31.7.2012, s. 90.

(2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

196

Prop. 2017/18:298

Bilaga 1

L 119/2	SV	Europeiska unionens officiella tidning	4.5.2016

(4)Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.

(5)Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6)Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över. Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för personuppgifter.

(7)Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

(9)Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(10)För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

197

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/3

(11)Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

(12)I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för personuppgifter.

(13)För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG (1).

(14)Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15)För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(16)Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)Europaparlamentets och rådets förordning (EG) nr 45/2001 (2) är tillämplig på den behandling av personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen. För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda förordningarna kan tillämpas samtidigt.

(18)Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

198

Prop. 2017/18:298

Bilaga 1

L 119/4	SV	Europeiska unionens officiella tidning	4.5.2016

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls verksamhet.

(19)Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt, nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20)Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.

(21)Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations samhällets tjänster mellan medlemsstaterna.

(22)All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

199

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/5

(23)För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att erbjuda varor eller tjänster till registrerade inom unionen.

(24)Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade, bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25)Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(26)Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(27)Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28)Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.

(29)För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp giftsansvarigs verksamhet.

200

Prop. 2017/18:298

Bilaga 1

L 119/6	SV	Europeiska unionens officiella tidning	4.5.2016

(30)Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.

(31)Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga på behandlingens ändamål.

(32)Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33)Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34)Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.

(35)Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36)Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

201

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/7

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den utförs fastställs av ett annat företag.

(37)En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en koncern.

(38)Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39)Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.

(40)För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

202

Prop. 2017/18:298

Bilaga 1

L 119/8	SV	Europeiska unionens officiella tidning	4.5.2016

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41)När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42)När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43)För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

(44)Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal.

(45)Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

(46)Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

203

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/9

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47)En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48)Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49)Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings attacker och skador på datasystem och elektroniska kommunikationssystem.

(50)Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

204

Prop. 2017/18:298

Bilaga 1

L 119/10	SV	Europeiska unionens officiella tidning	4.5.2016

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller annan bindande tystnadsplikt.

(51)Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52)Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.

(53)Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

205

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/11

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54)På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55)Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56)Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder fastställs.

(57)Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58)Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

(59)Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana önskemål.

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

206

Prop. 2017/18:298

Bilaga 1

L 119/12	SV	Europeiska unionens officiella tidning	4.5.2016

(60)Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61)Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges.

(62)Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63)Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en framställan avser, innan informationen lämnas ut.

(64)Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65)Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

207

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/13

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(66)För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67)Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.

(68)För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

(69)När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(70)Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling, inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

208

Prop. 2017/18:298

Bilaga 1

L 119/14	SV	Europeiska unionens officiella tidning	4.5.2016

(71)Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör endast tillåtas på särskilda villkor.

(72)Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73)Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74)Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

209

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/15

(75)Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(76)Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77)Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan risk.

(78)Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter, tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen, säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

(79)Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(80)När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

210

Prop. 2017/18:298

Bilaga 1

L 119/16	SV	Europeiska unionens officiella tidning	4.5.2016

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet, vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81)För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82)För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

(83)För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84)I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar. Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85)En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

211

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/17

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86)Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87)Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning.

(88)När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en personuppgiftsincident.

(89)Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90)I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91)Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur, där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

212

Prop. 2017/18:298

Bilaga 1

L 119/18	SV	Europeiska unionens officiella tidning	4.5.2016

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning, särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92)Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad horisontell verksamhet.

(93)Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(94)Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(95)Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.

(96)Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.

(97)När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling

213

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/19

som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

(98)Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers rättigheter och friheter.

(99)Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som mottas och de åsikter som framförs som svar på samråden.

(100)För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters dataskydd.

(101)Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(102)Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå av skydd för de registrerades grundläggande rättigheter.

(103)Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att ett sådant beslut ska återkallas.

(104)I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en

214

Prop. 2017/18:298

Bilaga 1

L 119/20	SV	Europeiska unionens officiella tidning	4.5.2016

tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ och rättslig prövning.

(105)Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas. Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella organisationer.

(106)Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor

iett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras

isamråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar lamentet och rådet.

(107)Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet eller organisationen för att avhjälpa situationen.

(108)Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(109)Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe

stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

215

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/21

standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(110)En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.

(111)Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(112)Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.

(113)Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera tillsynsmyndigheten och den registrerade om överföringen.

(114)Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem.

216

Prop. 2017/18:298

Bilaga 1

L 119/22	SV	Europeiska unionens officiella tidning	4.5.2016

(115)Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.

Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

(116)När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av ömsesidighet och i överensstämmelse med denna förordning.

(117)Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(118)Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller övervakningsmekanismer eller bli föremål för domstolsprövning.

(119)Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och kommissionen.

(120)Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

(121)De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd tillsynsmyndighetens ledamot eller ledamöter.

(122)Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling

217

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/23

inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av personuppgifter.

(123)Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.

(124)Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning, framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.

(125)Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som klagomålet har lämnats in till.

(126)Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i unionen.

(127)Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall, om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den

218

Prop. 2017/18:298

Bilaga 1

L 119/24	SV	Europeiska unionens officiella tidning	4.5.2016

ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.

(128)Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.

(129)För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter, korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel. Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den tillsynsmyndighet som antog beslutet hör.

(130)Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens territorium i samverkan med den behöriga tillsynsmyndigheten.

(131)Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas nationella rätt.

(132)Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.

219

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/25

(133)Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom en månad från det att begäran mottogs av den andra tillsynsmyndigheten.

(134)Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(135)För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen.

(136)Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande, om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter. För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.

(137)Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium med en viss giltighetsperiod, som inte bör överskrida tre månader.

(138)Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(139)I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare. Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina uppgifter.

(140)Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och rapportera till denne.

(141)Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,

220

Prop. 2017/18:298

Bilaga 1

L 119/26	SV	Europeiska unionens officiella tidning	4.5.2016

om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

(142)Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den registrerades mandat.

(143)Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263 i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten. Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt. Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga frågor som rör den tvist som anhängiggjorts vid dem.

Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet, i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den frist som anges i artikel 263 i EUF-fördraget.

(144)Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra

221

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/27

domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden. Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika rättegångar.

(145)När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(146)Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.

(147)Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 1215/2012 (1), påverka tillämpningen av sådana särskilda bestämmelser.

(148)För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer. Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett effektivt rättsligt skydd och korrekt rättsligt förfarande.

(149)Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem enligt domstolens tolkning.

(150)För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör

samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna

(1) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).

222

Prop. 2017/18:298

Bilaga 1

L 119/28	SV	Europeiska unionens officiella tidning	4.5.2016

förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift. Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna förordning.

(151)Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning. Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella och avskräckande.

(152)Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör fastställas i medlemsstaternas nationella rätt.

(153)Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet, vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet, som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter, personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i denna frihet, som till exempel journalistik.

(154)Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör

kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets och rådets direktiv 2003/98/EG (1) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende

(1) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (EUT L 345, 31.12.2003, s. 90).

223

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/29

på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter, tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.

(155)En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

(156)Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter). Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd, rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet. Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning, exempelvis om kliniska prövningar.

(157)Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

(158)Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

224

Prop. 2017/18:298

Bilaga 1

L 119/30	SV	Europeiska unionens officiella tidning	4.5.2016

(159)Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i denna förordning tillämpas på dessa åtgärder.

(160)Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att denna förordning inte bör gälla för avlidna personer.

(161)När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (1) tillämpas.

(162)Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling. Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysiskperson.

(163)De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar lamentets och rådets förordning (EG) nr 223/2009 (2) innehåller ytterligare preciseringar om statistisk konfiden tialitet för europeisk statistik.

(164)Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning, genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt, där detta krävs enligt unionsrätten.

(165)Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med artikel 17 i EUF-fördraget.

(166)I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter

och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av

(1) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om

upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).

(2) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

225

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/31

personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

(167)För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

(168)Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation, standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser, ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen.

(169)Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.

(170)Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(171)Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.

(172)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett yttrande den 7 mars 2012 (1).

(173)Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål som anges i Europaparlamentets och rådets direktiv 2002/58/EG (2), däribland den personuppgiftsansvariges skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv 2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över, framför allt för att säkerställa konsekvens med denna förordning.

(1) EUT C 192, 30.6.2012, s. 7.

(2) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

226

Prop. 2017/18:298

Bilaga 1

L 119/32	SV	Europeiska unionens officiella tidning	4.5.2016

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte

1.I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Artikel 2

Materiellt tillämpningsområde

1.Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.Denna förordning ska inte tillämpas på behandling av personuppgifter som

a)utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c)en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

d)behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

3.Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med artikel 98.

4.Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Artikel 3

Territoriellt tillämpningsområde

1.Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.

227

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/33

2.Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till

a)utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte, eller

b)övervakning av deras beteende så länge beteendet sker inom unionen.

3.Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

Artikel 4

Definitioner

I denna förordning avses med

1.personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

3.begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden,

4.profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,

5.pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,

6.register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7.personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

8.personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

9.mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta

228

Prop. 2017/18:298

Bilaga 1

L 119/34	SV	Europeiska unionens officiella tidning	4.5.2016

personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

10.tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

11.samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

12.personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

13.genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga,

14.biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,

15.uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

16.huvudsakligt verksamhetsställe:

a)när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,

b)när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,

17.företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes skyldigheter enligt denna förordning,

18.företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,

19.koncern: ett kontrollerande företag och dess kontrollerade företag,

20.bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,

21.tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,

229

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/35

22.berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att

a)den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats territorium,

b)registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i väsentlig grad kommer att påverkas av behandlingen, eller

c)ett klagomål har lämnats in till denna tillsynsmyndighet,

23.gränsöverskridande behandling:

a)behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller

b)behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,

24.relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt i tillämpliga fall det fria flödet av personuppgifter inom unionen,

25.informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (1),

26.internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.

KAPITEL II

Principer

Artikel 5

Principer för behandling av personuppgifter

1.Vid behandling av personuppgifter ska följande gälla:

a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts minimering).

d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

(1) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

230

Prop. 2017/18:298

Bilaga 1

L 119/36	SV	Europeiska unionens officiella tidning	4.5.2016

e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artikel 6

Laglig behandling av personuppgifter

1.Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan svariges myndighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)unionsrätten, eller

b)en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda

231

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/37

situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4.Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp gifterna ursprungligen samlades in bland annat beakta följande:

a)Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b)Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d)Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7

Villkor för samtycke

1.Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2.Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3.De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1.Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

232

Prop. 2017/18:298

Bilaga 1

L 119/38	SV	Europeiska unionens officiella tidning	4.5.2016

2.Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a)Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b)Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c)Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e)Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g)Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h)Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i)Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

233

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/39

j)Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3.Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4.Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 11

Behandling som inte kräver identifiering

1.Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.

2.Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

KAPITEL III

Den registrerades rättigheter

Avsnitt 1

Insyn och villkor

Artikel 12

Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av

den registrerades rättigheter

1.Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

234

Prop. 2017/18:298

Bilaga 1

L 119/40	SV	Europeiska unionens officiella tidning	4.5.2016

2.Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte är i stånd att identifiera den registrerade.

3.Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

4.Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

5.Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a)ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b)vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

6.Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.

Avsnitt 2

Information och tillgång till personuppgif ter

Artikel 13

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

1.Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

235

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/41

d)Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f)I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent behandling:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

c)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d)Rätten att inge klagomål till en tillsynsmyndighet.

e)Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

f)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

Artikel 14

Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

1.Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)De kategorier av personuppgifter som behandlingen gäller.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

236

Prop. 2017/18:298

Bilaga 1

L 119/42	SV	Europeiska unionens officiella tidning	4.5.2016

f)I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

c)Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet.

d)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

e)Rätten att inge klagomål till en tillsynsmyndighet.

f)Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.

g)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a)inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,

b)om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller

c)om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a)den registrerade redan förfogar över informationen,

b)tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,

c)erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller

d)personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

237

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/43

Artikel 15

Den registrerades rätt till tillgång

1.Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a)Ändamålen med behandlingen.

b)De kategorier av personuppgifter som behandlingen gäller.

c)De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e)Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f)Rätten att inge klagomål till en tillsynsmyndighet.

g)Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

h)Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

2.Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Avsnitt 3

R ättelse och rader ing

Artikel 16

Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17

Rätt till radering (”rätten att bli bortglömd”)

1.Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

238

Prop. 2017/18:298

Bilaga 1

L 119/44	SV	Europeiska unionens officiella tidning	4.5.2016

b)Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

c)Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d)Personuppgifterna har behandlats på olagligt sätt.

e)Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f)Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

2.Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

3.Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a)För att utöva rätten till yttrande- och informationsfrihet.

b)För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c)För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d)För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e)För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 18

Rätt till begränsning av behandling

1.Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

a)Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.

b)Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c)Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2.Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

239

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/45

3.En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift sansvarige innan begränsningen av behandlingen upphör.

Artikel 19

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av

behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.

Artikel 20

Rätt till dataportabilitet

1.Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om

a)behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och

b)behandlingen sker automatiserat.

2Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.

3.Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

Avsnitt 4

Rätt att göra invändningar och automatiserat individuellt beslutsfattande

Artikel 21

Rätt att göra invändningar

1.Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

2.Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring.

3.Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.

240

Prop. 2017/18:298

Bilaga 1

L 119/46	SV	Europeiska unionens officiella tidning	4.5.2016

4.Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

5.När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

6.Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Artikel 22

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

2.Punkt 1 ska inte tillämpas om beslutet

a)är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,

b)tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller

c)grundar sig på den registrerades uttryckliga samtycke.

3.I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.

Avsnitt 5

Beg ränsningar

Artikel 23

Begränsningar

1.Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

a)den nationella säkerheten,

b)försvaret,

c)den allmänna säkerheten,

241

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/47

d)förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e)andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

f)skydd av rättsväsendets oberoende och rättsliga åtgärder,

g)förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

h)en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,

i)skydd av den registrerade eller andras rättigheter och friheter,

j)verkställighet av civilrättsliga krav.

2.Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a)ändamålen med behandlingen eller kategorierna av behandling,

b)kategorierna av personuppgifter,

c)omfattningen av de införda begränsningarna,

d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g)riskerna för de registrerades rättigheter och friheter, och

h)de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

KAPITEL IV

Personuppgiftsansvarig och personuppgiftsbiträde

Avsnitt 1

Allmänna skyldigheter

Artikel 24

Den personuppgiftsansvariges ansvar

1.Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan svariges genomförande av lämpliga strategier för dataskydd.

3.Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

242

Prop. 2017/18:298

Bilaga 1

L 119/48	SV	Europeiska unionens officiella tidning	4.5.2016

Artikel 25

Inbyggt dataskydd och dataskydd som standard

1.Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

2.Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

Artikel 26

Gemensamt personuppgiftsansvariga

1.Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.

Artikel 27

Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i

unionen

1.Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en företrädare i unionen.

2.Skyldigheten enligt punkt 1 i denna artikel ska inte gälla

a)tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller

b)en offentlig myndighet eller ett offentligt organ.

243

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/49

3.Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.

4.Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna förordning.

5.Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.

Artikel 28

Personuppgiftsbiträden

1.Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.

2.Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a)endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

b)säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

c)ska vidta alla åtgärder som krävs enligt artikel 32,

d)ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

e)med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f)ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

g)beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

h)ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

244

Prop. 2017/18:298

Bilaga 1

L 119/50	SV	Europeiska unionens officiella tidning	4.5.2016

Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

4.I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses punkterna 1 och 4 i den här artikeln.

6.Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.

7.Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln, i enlighet med det granskningsförfarande som avses i artikel 93.2.

8.En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.

9.Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett elektroniskt format.

10.Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att det påverkar tillämpningen av artiklarna 82, 83 och 84.

Artikel 29

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 30

1.Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a)Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.

b)Ändamålen med behandlingen.

c)En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

245

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/51

d)De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

e)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

f)Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

2.Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a)Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.

b)De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

d)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

3.De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

5.De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.

Artikel 31

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Avsnitt 2

Säkerhet för personuppgif ter

Artikel 32

Säkerhet i samband med behandlingen

1.Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

246

Prop. 2017/18:298

Bilaga 1

L 119/52	SV	Europeiska unionens officiella tidning	4.5.2016

b)förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings systemen och -tjänsterna,

c)förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

d)ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2.Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

4.Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Artikel 33

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1.Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2.Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3.Den anmälan som avses i punkt 1 ska åtminstone

a)beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b)förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d)beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4.Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34

Information till den registrerade om en personuppgiftsincident

1.Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

247

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/53

2.Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d.

3.Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a)Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b)Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4.Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

Avsnitt 3

Konsekvensbedömning avseende dataskydd samt föregående samråd

Artikel 35

Konsekvensbedömning avseende dataskydd

1.Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

2.Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en konsekvensbedömning avseende dataskydd.

3.En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a)En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b)Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c)Systematisk övervakning av en allmän plats i stor omfattning.

4.Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska översända dessa förteckningar till den styrelse som avses i artikel 68.

5.Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa förteckningar till styrelsen.

6.Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen.

248

Prop. 2017/18:298

Bilaga 1

L 119/54	SV	Europeiska unionens officiella tidning	4.5.2016

7.Bedömningen ska innehålla åtminstone

a)en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b)en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c)en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d)de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

8.De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens bedömning avseende dataskydd.

9.Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

10.Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

11.Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Artikel 36

Förhandssamråd

1.Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift sansvarige vidtar åtgärder för att minska risken.

2.Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information som den har begärt med tanke på samrådet.

3.Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten lämna

a)i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b)ändamålen med och medlen för den avsedda behandlingen,

c)de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning,

d)i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

249

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/55

e)konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f)all annan information som begärs av tillsynsmyndigheten.

4.Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör behandling.

5.Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

Avsnitt 4

Dataskyddsombud

Artikel 37

Utnämning av dataskyddsombudet

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om

a)behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,

b)den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller

c)den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

2.En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett dataskyddsombud.

3.Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.

4.I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden.

5.Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

6.Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.

7.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten.

Artikel 38

Dataskyddsombudets ställning

1.Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

250

Prop. 2017/18:298

Bilaga 1

L 119/56	SV	Europeiska unionens officiella tidning	4.5.2016

2.Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

3.Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

4.Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

6.Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Artikel 39

Dataskyddsombudets uppgifter

1.Dataskyddsombudet ska ha minst följande uppgifter:

a)Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds bestämmelser.

b)Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.

c)Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35.

d)Att samarbeta med tillsynsmyndigheten.

e)Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor.

2.Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Avsnitt 5

Uppförandekod och cer tif iering

Artikel 40

Uppförandekoder

1.Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

2.Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel när det gäller

a) rättvis och öppen behandling,

251

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/57

b)personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,

c)insamling av personuppgifter,

d)pseudonymisering av personuppgifter,

e)information till allmänheten och de registrerade,

f)utövande av registrerades rättigheter,

g)information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar för barn,

h)åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32,

i)anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till registrerade,

j)överföring av personuppgifter till tredjeländer eller internationella organisationer,

k)utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77 och 79.

3.Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.

4.Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.

6.Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra uppförandekoden.

7.Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.

8.Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt yttrande till kommissionen.

9.Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

252

Prop. 2017/18:298

Bilaga 1

L 119/58	SV	Europeiska unionens officiella tidning	4.5.2016

10.Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt punkt 9 offentliggörs på lämpligt sätt.

11.Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem på lämpligt sätt.

Artikel 41

Övervakning av godkända uppförandekoder

1.Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.

2.Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ

har

a)visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns myndigheten finner tillfredsställande,

b)upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över hur den fungerar,

c)upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

d)på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte leder till en intressekonflikt.

3.Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.

4.Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för att de vidtagits.

5.Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.

6.Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.

Artikel 42

Certifiering

1.Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå, införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda behoven hos mikroföretag samt små och medelstora företag ska beaktas.

253

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/59

2.Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.

3.Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.

4.En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3 eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering, det europeiska sigillet för dataskydd.

6.Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier ingsförfarandet.

7.Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år

och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om kraven för certifieringen inte eller inte längre uppfylls.

8.Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och offentliggöra dem på lämpligt sätt.

Artikel 43

Certifieringsorgan

1.Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering. Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:

a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,

b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (1) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56.

2.Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har

a)visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande,

(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

254

Prop. 2017/18:298

Bilaga 1

L 119/60	SV	Europeiska unionens officiella tidning	4.5.2016

b)förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,

c)upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för dataskydd,

d)upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

e)på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte leder till en intressekonflikt.

3.Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.

4.De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.

5.De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till beviljandet eller återkallelsen av den begärda certifieringen.

6.De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på lämpligt sätt.

7.Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna förordning.

8.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.

9.Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

KAPITEL V

Överföring av personuppgifter till tredjeländer eller internationella organisationer

Artikel 44

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

255

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/61

Artikel 45

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a)rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning, dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,

b)huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

c)vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln. Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings förfarande som avses i artikel 93.2.

4.Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i direktiv 95/46/EG fungerar.

5.Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.

6.Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som lett till beslutet enligt punkt 5.

7.Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga enligt artiklarna 46–49.

8.Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.

256

Prop. 2017/18:298

Bilaga 1

L 119/62	SV	Europeiska unionens officiella tidning	4.5.2016

9.De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.

Artikel 46

Överföring som omfattas av lämpliga skyddsåtgärder

1.I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta formen av

a)ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b)bindande företagsbestämmelser i enlighet med artikel 47,

c)standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

d)standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2,

e)en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter, eller

f)en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller de registrerades rättigheter.

3.Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

a)avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller

b)bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

4.Tillsynsmyndigheten ska tillämpa den mekanism för enhetlighet som avses i artikel 63 i de fall som avses i punkt 3 i den här artikeln.

5.Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltigt tills det, vid behov, ändrats, ersatts eller upphävts av den tillsynsmyndigheten. De beslut som fattas av kommissionen på grundval av artikel 26.4 i direktiv 95/46/EG ska förbli i kraft tills de, vid behov, ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 2 i den här artikeln.

Artikel 47

Bindande företagsbestämmelser

1.Den behöriga tillsynsmyndigheten ska godkänna bindande företagsbestämmelser i enlighet med den mekanism för enhetlighet som föreskrivs i artikel 63 under förutsättning att de

a)är rättslig bindande, tillämpas på, och verkställs av alla delar som berörs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, inklusive deras anställda,

257

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/63

b)innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter när det gäller behandlingen av deras personuppgifter, och

c)uppfyller villkoren i punkt 2.

2.De bindande företagsbestämmelser som avses i punkt 1 ska närmare ange åtminstone följande:

a)struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet och för var och en av dess medlemmar,

b)vilka överföringar eller uppsättningar av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

c)bestämmelsernas rättsligt bindande natur, såväl internt som externt,

d)tillämpningen av allmänna principer för dataskydd, särskilt avgränsning av syften, uppgiftsminimering, begränsade lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rättslig grund för behandling, behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerhet och villkoren när det gäller vidare överföring av uppgifter till organ som inte är bundna av bindande företagsbestämmelser,

e)de registrerades rättigheter avseende behandling och medlen för att utöva dessa rättigheter, inklusive rätten att inte bli föremål för beslut grundade enbart på automatisk behandling, inklusive profilering, enligt artikel 22, rätten att inge klagomål till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbe stämmelserna,

f)att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad inom en medlemsstats territorium tar på sig ansvaret om en berörd enhet som inte är etablerad inom unionen bryter mot de bindande företagsbestäm melserna; den personuppgiftsansvarige eller personuppgiftsbiträdet får helt eller delvis undantas från denna skyldighet endast på villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som har uppkommit,

g)hur de registrerade ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,

h)uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet med ansvar för kontrollen av att de bindande företagsbestämmelserna följs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, samt i fråga om utbildning och hantering av klagomål,

i)förfaranden för klagomål,

j)rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera att de bindande företagsreglerna följs; sådana rutiner ska inbegripa dataskyddstillsyn och metoder för att säkerställa korrigerande åtgärder för att skydda de registrerades rättigheter; resultaten av sådana kontroller bör meddelas den person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet, och bör på begäran vara tillgänglig för den behöriga tillsynsmyndig heten,

k)rutinerna för att rapportera och dokumentera ändringar i bestämmelserna, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

l)rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, särskilt genom att meddela tillsynsmyndig heten resultaten av kontroller av de åtgärder som avses i led j,

m)rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet är underkastad i ett tredjeland och som sannolikt kommer att ha en avsevärd negativ inverkan på de garantier som ges genom de bindande företagsbestämmelserna, och

n)lämplig utbildning om dataskydd för personal som har ständig eller regelbunden tillgång till personuppgifter.

258

Prop. 2017/18:298

Bilaga 1

L 119/64	SV	Europeiska unionens officiella tidning	4.5.2016

3.Kommissionen får närmare ange vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas, personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser i den mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 48

Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten

Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personupp giftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt detta kapitel.

Artikel 49

Undantag i särskilda situationer

1.Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

a)Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d)Överföringen är nödvändig av viktiga skäl som rör allmänintresset.

e)Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

f)Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast omöverföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgift sansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhanda hållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de tvingande berättigade intressen som eftersträvas.

2.En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

259

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/65

3.Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning.

4.Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

5.Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

6.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.

Artikel 50

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta lämpliga åtgärder för att

a)utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

b)på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende behörighetskonflikter med tredjeländer.

KAPITEL VI

Oberoende tillsynsmyndigheter

Avsnitt 1

Oberoende st ällning

Artikel 51

Tillsynsmyndighet

1.Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).

2.Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

3.Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 63.

4.Varje medlemsstat ska senast den 25 maj 2018 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.

260

Prop. 2017/18:298

Bilaga 1

L 119/66	SV	Europeiska unionens officiella tidning	4.5.2016

Artikel 52

Oberoende

1.Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.

2.Varje tillsynsmyndighets ledamot eller ledamöter ska i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon.

3.Tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

4.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens verksamhet.

5.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.

6.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

Artikel 53

Allmänna villkor för tillsynsmyndighetens ledamöter

1.Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom ett öppet förfarande med insyn av

—deras parlament,

—deras regering,

—deras statschef, eller

—ett oberoende organ som genom medlemsstatens nationella rätt anförtrotts utnämningen.

2.Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.

3.En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i enlighet med den berörda medlemsstatens nationella rätt.

4.En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor som krävs för att utföra uppdraget.

Artikel 54

Regler för inrättandet av en tillsynsmyndighet

1.Varje medlemsstat ska fastställa följande i lag: a) Varje tillsynsmyndighets inrättande.

261

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/67

b)De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet.

c)Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.

d)Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid tillsättandet av de första ledamöterna efter den 24 maj 2016, då ett stegvis tillsättningsförfarande med kortare perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.

e)Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder.

f)Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande.

2.Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska denna tystnadsplikt i synnerhet gälla rapportering från fysiska personer om överträdelser av denna förordning.

Avsnitt 2

Behör ighet, uppgif ter och befogenheter

Artikel 55

Behörighet

1.Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.

2.Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.

3.Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.

Artikel 56

Den ansvariga tillsynsmyndighetens behörighet

1.Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig

tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.

2.Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.

3.I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndighe ten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.

262

Prop. 2017/18:298

Bilaga 1

L 119/68	SV	Europeiska unionens officiella tidning	4.5.2016

4.Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3.

5.Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.

6.Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda motpart när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behandling.

Artikel 57

Uppgifter

1.Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

a)Övervaka och verkställa tillämpningen av denna förordning.

b)Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

c)I enlighet med medlemsstatens nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling.

d)Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna förordning.

e)På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

f)Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

g)Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till att denna förordning tillämpas och verkställs på ett enhetligt sätt.

h)Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan myndighet.

i)Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika tionsteknik och affärspraxis.

j)Anta sådana standardavtalsklausuler som avses i artiklarna 28.8 och 46.2 d.

k)Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4.

l)Ge råd om behandling av personuppgifter enligt artikel 36.2.

m)Främja framtagande av uppförandekoder enligt artikel 40.1 samt yttra sig över och godkänna sådana uppförandekoder som tillhandahåller tillräckliga garantier, i enlighet med artikel 40.5.

n)Uppmuntra till inrättandet av certifieringsmekanismer för dataskydd och av sigill och märkningar för dataskydd i enlighet med artikel 42.1 samt godkänna certifieringskriterierna i enlighet med artikel 42.5.

o)I tillämpliga fall genomföra en periodisk översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

263

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/69

p)Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.

q)Ackreditera ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.

r)Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 46.3.

s)Godkänna sådana bindande företagsbestämmelser som avses i artikel 47.

t)Bidra till styrelsens verksamhet.

u)Hålla arkiv över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.

v)Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.

2.Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för dataskyddsombudet.

4.Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyn digheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.

Artikel 58

Befogenheter

1.Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

a)Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter.

b)Genomföra undersökningar i form av dataskyddstillsyn.

c)Genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

d)Meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.

e)Från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

f)Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.

2.Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

a)Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning.

b)Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot bestämmelserna i denna förordning.

c)Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning.

264

Prop. 2017/18:298

Bilaga 1

L 119/70	SV	Europeiska unionens officiella tidning	4.5.2016

d)Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period,

e)Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.

f)Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

g)Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17 och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2 och 19.

h)Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42 eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre uppfylls.

i)Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall.

j)Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.

3.Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:

a)Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för förhandssamråd som avses i artikel 36.

b)På eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör skydd av personuppgifter.

c)Ge tillstånd till behandling enligt artikel 36.5 om medlemsstatens rätt kräver ett sådant förhandstillstånd.

d)Avge ett yttrande om och godkänna utkast till uppförandekoder enligt artikel 40.5.

e)Ackreditera certifieringsorgan i enlighet med artikel 43.

f)Utfärda certifieringar och godkänna kriterier för certifiering i enlighet med artikel 42.5.

g)Anta standardiserade dataskyddsbestämmelser enligt artiklarna 28.8 och 46.2 d.

h)Godkänna avtalsklausuler enligt artikel 46.3 a.

i)Godkänna administrativa överenskommelser enligt artikel 46.3 b.

j)Godkänna bindande företagsbestämmelser enligt artikel 47.

4.Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.

5.Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning.

6.Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av kapitel VII.

Artikel 59

Verksamhetsrapporter

Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska göras tillgängliga för allmänheten, kommissionen och styrelsen.

265

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/71

KAPITEL VII

Samarbete och enhetlighet

Avsnitt 1

Samarbete

Artikel 60

Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna

1.Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheter na ska utbyta all relevant information med varandra.

2.Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personupp giftsbiträde som är etablerad i en annan medlemsstat.

3.Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsyns myndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att

invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63.

5.Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsyns myndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det.

7.Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet.

8.Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.

9.Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och en av dessa delar av frågan. Den ansvariga tillsynsmyndigheten ska anta beslutet om den del som gäller åtgärder som avser den personuppgiftsansvarige och meddela det till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe på medlemsstatens territorium och underrätta den enskilde om detta, medan den enskildes tillsynsmyndighet ska anta beslutet för den del som gäller avvisande av eller avslag på klagomålet och meddela det till den enskilde och underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om detta.

10.Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna.

266

Prop. 2017/18:298

Bilaga 1

L 119/72	SV	Europeiska unionens officiella tidning	4.5.2016

11.Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.

12.Den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna ska förse varandra med den information som krävs enligt denna artikel på elektronisk väg med användning av ett standardiserat format.

Artikel 61

Ömsesidigt bistånd

1.Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.

2.Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.

3.En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med begäran och skälen till denna. Information som utbytts får endast användas för det syfte för vilket den har begärts.

4.Den tillsynsmyndighet som tar emot en begäran får endast vägra att tillmötesgå begäran om

a)den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra, eller

b)det skulle stå i strid med denna förordning eller unionsrätten eller den nationella rätt i en medlemsstat som tillsyns myndigheten omfattas av att tillmötesgå begäran.

5.Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med punkt 4.

6.Den tillsynsmyndighet som tar emot en begäran ska som regel tillhandahålla den information som begärts av andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.

7.Tillsynsmyndigheter som tar emot en begäran får inte ta ut någon avgift för åtgärder som vidtagits av dem till följd av en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyn digheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.

8.Om en tillsynsmyndighet inte tillhandahåller den information som avses i punkt 5 i denna artikel inom en månad efter det att den erhållit begäran från en annan tillsynsmyndighet får den begärande myndigheten anta en provisorisk åtgärd på sin medlemsstats territorium i enlighet med artikel 55.1. I detta fall ska det brådskande behov av att agera enligt artikel 66.1 anses vara uppfyllt och kräva ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

9.Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och styrelsen, i synnerhet det standardiserade format som avses i punkt 6 i den här artikeln. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 62

Tillsynsmyndigheters gemensamma insatser

1.Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

267

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/73

2.Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. Den tillsynsmyndighet som är behörig enligt artikel 56.1 eller 56.4 ska bjuda in tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta.

3.En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprung slandets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlemsstat som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet.

4.Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat i enlighet med punkt 1 ska värdtillsynsmyndighetens medlemsstat ansvara för deras handlingar, vilket inbegriper ansvar för skador som personalen vållar i samband med insatserna, i enlighet med rätten i den medlemsstat på vars territorium personalen verkar.

5.Den medlemsstat på vars territorium skadorna förorsakades ska ersätta sådana skador enligt de villkor som gäller för skador som förorsakas av dess egen personal. Den medlemsstat vars tillsynsmyndighets tjänstemän har orsakat en person skada på någon annan medlemsstats territorium ska fullt ut ersätta den andra medlemsstaten för det belopp som denna har betalat ut till den personens rättsinnehavare.

6.Utan att det påverkar rättigheterna gentemot tredje man och tillämpningen av punkt 5, ska varje medlemsstat i de fall som nämns i punkt 1 avstå från att kräva ersättning från en annan medlemsstat för skador som avses i punkt 4.

7.Om en gemensam insats planeras och en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt punkt 2 i den här artikeln, andra meningen får övriga tillsynsmyndigheter anta provisoriska åtgärder på sina respektive medlemsstaters territorium i enlighet med artikel 55. I detta fall ska det brådskande behov av att agera enligt artikel 66.1 anses vara uppfyllt och kräva ett yttrande eller ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

Avsnitt 2

Enhetlighet

Artikel 63

Mekanism för enhetlighet

För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.

Artikel 64

Yttrande från Styrelsen

1.Styrelsen ska avge ett yttrande när en behörig tillsynsmyndighet avser att anta någon av åtgärderna nedan. I detta syfte ska den behöriga tillsynsmyndigheten skicka utkastet till beslut till styrelsen när det

a)syftar till att anta en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4,

b)rör ett ärende i enlighet med artikel 40.7 om huruvida ett utkast till uppförandekoder eller en ändring eller förlängning av en uppförandekod är förenlig med denna förordning,

268

Prop. 2017/18:298

Bilaga 1

L 119/74	SV	Europeiska unionens officiella tidning	4.5.2016

c)syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt artikel 43.3,

d)syftar till att fastställa standardiserade dataskyddsbestämmelser enligt artiklarna 46.2 d och 28.8,

e)syftar till att godkänna sådana avtalsklausuler som avses i artikel 46.3 a, eller

f)syftar till att godkänna bindande företagsbestämmelser enligt artikel 47.

2.Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.

3.I de fall som avses i punkterna 1 och 2 ska styrelsen avge ett yttrande i den fråga som ingivits till den, förutsatt att den inte redan har avgett ett yttrande i samma fråga. Detta yttrande ska antas med enkel majoritet av styrelsens ledamöter inom åtta veckor. Denna period får förlängas med ytterligare sex veckor med hänsyn till sakfrågans komplexitet. Vad gäller det utkast till beslut som avses i punkt 1 som spridits till styrelsens ledamöter i enlighet med punkt 5, ska en ledamot som inte har gjort invändningar inom en rimlig period som ordföranden angett anses samtycka till utkastet till beslut.

4.Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format till styrelsen översända all relevant information, som allt efter omständigheterna får utgöras av en sammanfattning av sakförhållanden, utkastet till beslut, grunden till att en sådan åtgärd är nödvändig och synpunkter från övriga berörda tillsynsmyndigheter.

5.Styrelsens ordförande ska utan onödigt dröjsmål och på elektronisk väg upplysa

a)styrelsens ledamöter samt kommissionen om all relevant information som meddelats styrelsen i ett standardiserat format; styrelsens sekretariat ska vid behov tillhandahålla översättningar av relevant information; och

b)den tillsynsmyndighet som, allt efter omständigheterna, avses i punkterna 1 och 2 samt kommissionen om yttrandet, och ska också offentliggöra det.

6.Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i punkt 3.

7.Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om huruvida den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet till beslut.

8.Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i den här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering, ska artikel 65.1 tillämpas.

Artikel 65

Tvistlösning genom styrelsen

1.För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

a)Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en överträdelse av denna förordning.

269

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/75

b)Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga verksamhetsstället.

c)Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller kommissionen översända ärendet till styrelsen.

2.Det beslut som avses i punkt 1 ska antas inom en månad efter det att sakfrågan hänskjutits med två tredjedels majoritet av styrelsens ledamöter. Denna period får förlängas med ytterligare en månad med hänsyn till sakfrågans komplexitet. Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla berörda tillsynsmyndigheter och ska vara bindande för dem.

3.Om styrelsen inte har kunnat anta något beslut inom de perioder som avses i punkt 2 ska den anta sitt beslut inom två veckor efter utgången av den andra månad som avses i punkt 2 med enkel majoritet av styrelsens ledamöter. Om styrelsens ledamöter är delade i frågan ska beslutet antas i enlighet med ordförandens röst.

4.De berörda tillsynsmyndigheterna ska inte anta något beslut om den sakfråga som ingivits till styrelsen i enlighet med punkt 1 under de perioder som avses i punkterna 2 och 3.

5.Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.

6.Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta styrelsen om vilken dag dess slutliga beslut meddelas till den personuppgiftsansvarige respektive personuppgiftsbiträdet och den registrerade. De berörda tillsynsmyndigheternas slutliga beslut ska antas i enlighet med bestämmelserna i artikel 60.7, 60.8 och 60.9. Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.

Artikel 66

Skyndsamt förfarande

1.Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna, styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.

2.Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från styrelsen; den ska då motivera varför den begär ett sådant yttrande eller beslut.

3.Om en behörig tillsynsmyndighet inte har vidtagit någon lämplig åtgärd i en situation som kräver skyndsam handling för att skydda registrerades rättigheter och friheter, får vilken tillsynsmyndighet som helst begära ett brådskande yttrande eller, i tillämpliga fall, ett brådskande bindande beslut från styrelsen, varvid den ska motivera varför den begär ett sådant yttrande eller beslut och varför åtgärden måste vidtas skyndsamt.

4.Genom undantag från artiklarna 64.3 och 65.2 ska ett brådskande yttrande eller ett brådskande beslut enligt punkterna 2 och 3 i den här artikeln antas inom två veckor med enkel majoritet av styrelsens ledamöter.

270

Prop. 2017/18:298

Bilaga 1

L 119/76	SV	Europeiska unionens officiella tidning	4.5.2016

Artikel 67

Utbyte av information

Kommissionen får anta genomförandeakter med allmän räckvidd i syfte att närmare ange tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen, särskilt det standardiserade format som avses i artikel 64.

Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Avsnitt 3

Europeiska dataskyddsstyrelsen

Artikel 68

Europeiska dataskyddsstyrelsen

1.Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning som juridisk person.

2.Styrelsen ska företrädas av sin ordförande.

3.Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare.

4.Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av bestämmelserna i denna förordning ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella rätt.

5.Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten utan rösträtt. Kommissionen ska utse en egen företrädare. Styrelsens ordförande ska underrätta kommissionen om styrelsens verksamhet.

6.I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen endast ha rösträtt i fråga om beslut som rör principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar dem i denna förordning.

Artikel 69

Oberoende

1.Styrelsen ska vara oberoende när den fullgör sina uppgifter eller utövar sina befogenheter i enlighet med artiklarna 70 och 71.

2.Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.

Artikel 70

Styrelsens uppgifter

1.Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i förekommande fall på begäran av kommissionen, i synnerhet

a)övervaka och säkerställa korrekt tillämpning av denna förordning i de fall som avses i artiklarna 64 och 65 utan att det påverkar de nationella tillsynsmyndigheternas uppgifter,

271

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/77

b)ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av denna förordning,

c)ge kommissionen råd om format och förfaranden för informationsutbyte mellan personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,

d)utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt artikel 17.2,

e)på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen av denna förordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning av denna förordning,

f)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och villkoren för profileringsbaserade beslut enligt artikel 22.2,

g)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att konstatera sådana personuppgiftsincidenter och fastställa sådant onödigt dröjsmål som avses i artikel 33.1 och 33.2 och för de särskilda omständigheter under vilka en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att anmäla personuppgiftsincidenten,

h)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt angående de omständigheter under vilka en personuppgiftsincident sannolikt kommer att leda till hög risk för rättigheterna och friheterna för de fysiska personer som avses i artikel 34.1,

i)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och kraven för överföringar av personuppgifter på grundval av bindande företagsbestämmelser som personuppgiftsansvariga eller personuppgiftsbiträden följer samt ytterligare nödvändiga krav för att säkerställa skyddet för personuppgifter för berörda registrerade enligt artikel 47,

j)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange kriterierna och villkoren för överföring av personuppgifter på grundval av artikel 49.1,

k)utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 58.1, 58.2 och 58.3 och fastställandet av administrativa sanktionsavgifter i enlighet med artikel 83,

l)se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i leden e och f,

m)utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att fastställa gemensamma förfaranden för fysiska personers rapportering av överträdelser av denna förordning enligt artikel 54.2,

n)främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd i enlighet med artiklarna 40 och 42,

o)ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,

p)närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,

q)avge ett yttrande till kommissionen om de certifieringskrav som avses i artikel 43.8,

r)avge ett yttrande till kommissionen om de symboler som avses i artikel 12.7,

s)avge ett yttrande till kommissionen för bedömningen av adekvat skyddsnivå i ett tredjeland eller en internationell organisation, inklusive för bedömningen av huruvida ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå; i detta syfte ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med regeringen i tredjelandet, med avseende på tredjelandet, territoriet eller den specificerade sektorn, eller till databehandlingssektorn i tredjelandet eller den internationella organisationen,

272

Prop. 2017/18:298

Bilaga 1

L 119/78	SV	Europeiska unionens officiella tidning	4.5.2016

t)avge yttranden om utkast till beslut som läggs fram av tillsynsmyndigheter inom den mekanism för enhetlighet som avses i artikel 64.1, i ärenden som ingivits i enlighet med artikel 64.2 och anta bindande beslut i enlighet med artikel 65, inbegripet de fall som avses i artikel 66,

u)främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn digheterna,

v)främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna och där så är lämpligt även med tillsynsmyndigheter i tredjeländer eller internationella organisationer,

w)främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för dataskydd med tillsynsmyndigheter för dataskydd i hela världen.

x)avge yttranden över de uppförandekoder som utarbetas på unionsnivå i enlighet med artikel 40.9, och

y)föra ett offentligt elektroniskt register över tillsynsmyndigheters beslut och domstolars avgöranden i frågor som hanteras inom mekanismen för enhetlighet.

2.När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet

är.

3.Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och bästa praxis till kommissionen och till den kommitté som avses i artikel 93, samt offentliggöra dem.

4.När så är lämpligt ska styrelsen samråda med berörda parter och ge dem möjlighet att yttra sig inom rimlig tid. styrelsen ska, utan att det påverkar tillämpningen av artikel 76, offentliggöra resultatet av samrådsförfarandet.

Artikel 71

Rapporter

1.Styrelsen ska sammanställa en årsrapport om skydd av fysiska personer vid behandling inom unionen och, i förekommande fall, i tredjeländer och internationella organisationer. Rapporten ska offentliggöras och översändas till Europaparlamentet, rådet och kommissionen.

2.Årsrapporten ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer och rekommen dationer och den bästa praxis som avses i artikel 70.1 l liksom de bindande beslut som avses i artikel 65.

Artikel 72

Förfarande

1.Styrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i denna förordning.

2.Styrelsen ska själv anta sin arbetsordning med två tredjedels majoritet av sina ledamöter och fastställa sina arbetsformer.

Artikel 73

Ordförande

1.Styrelsen ska med enkel majoritet välja en ordförande och två vice ordförande bland sina ledamöter.

2.Ordförandens och de vice ordförandenas mandattid ska vara fem år och kunna förnyas en gång.

273

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/79

Artikel 74

Ordförandens uppgifter

1.Ordföranden ska ha i uppgift att

a)sammankalla till styrelsens möten och planera dagordningen,

b)meddela beslut som antas av styrelsen i enlighet med artikel 65 till den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna,

c)se till att styrelsens uppgifter fullgörs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 63.

2.Fördelningen av uppgifter mellan ordföranden och de vice ordförandena ska fastställas i styrelsens arbetsordning.

Artikel 75

Sekretariatet

1.Styrelsen ska förfoga över ett sekretariat som ska tillhandahållas av Europeiska datatillsynsmannen.

2.Sekretariatet ska utföra sina uppgifter enbart under ledning av ordföranden för styrelsen.

3.Den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning ska följa separata rapporteringsvägar från den personal som utför de uppgifter som Europeiska datatill synsmannen tilldelas.

4.När så är lämpligt ska styrelsen och Europeiska datatillsynsmannen fastställa och offentliggöra ett samförståndsavtal för genomförande av denna artikel, som fastställer villkoren för deras samarbete, och som ska tillämpas på den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning.

5.Sekretariatet ska förse styrelsen med analysstöd samt administrativt och logistiskt stöd.

6.Sekretariatet ska särskilt ansvara för

a)styrelsens löpande arbete,

b)kommunikationen mellan styrelsens ledamöter, dess ordförande och kommissionen,

c)kommunikationen med andra institutioner och med allmänheten,

d)användningen av elektroniska medel för intern och extern kommunikation,

e)översättning av relevant information,

f)förberedelser och uppföljning av styrelsens möten,

g)förberedelse, sammanställning och offentliggörande av yttranden, beslut om lösning av tvister mellan tillsynsmyn digheter och andra texter som antas av styrelsen.

Artikel 76

Konfidentialitet

1.Styrelsens överläggningar ska vara konfidentiella i de fall som styrelsen bedömer detta vara nödvändigt, i enlighet med vad som anges i dess arbetsordning.

274

Prop. 2017/18:298

Bilaga 1

L 119/80	SV	Europeiska unionens officiella tidning	4.5.2016

2.Tillgången till handlingar som skickas till styrelsens ledamöter, till experter eller till företrädare för tredje part ska regleras av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (1).

KAPITEL VIII

Rättsmedel, ansvar och sanktioner

Artikel 77

Rätt att lämna in klagomål till en tillsynsmyndighet

1.Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.

Artikel 78

Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut

1.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

2.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det.

3.Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt

säte.

4.Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande eller beslut till domstolen.

Artikel 79

Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde

1.Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.

2.Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(1) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

275

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/81

Artikel 80

Företrädande av registrerade

1.Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.

Artikel 81

Vilandeförklaring av förfaranden

1.Om en behörig domstol i en medlemsstat har information om att förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat ska den kontakta denna domstol i den andra medlemsstaten för att bekräfta förekomsten av sådana förfaranden.

2.Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemstat får alla andra behöriga domstolar än den där förfarandena först inleddes vilandeförklara förfarandena.

3.Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes, också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.

Artikel 82

Ansvar och rätt till ersättning

1.Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

4.Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en personuppgiftsansvarig och ett personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan för att säkerställa att den registrerade får effektiv ersättning.

5.Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.

276

Prop. 2017/18:298

Bilaga 1

L 119/82	SV	Europeiska unionens officiella tidning	4.5.2016

6.Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den nationella rätten i den medlemsstat som avses i artikel 79.2.

Artikel 83

Allmänna villkor för påförande av administrativa sanktionsavgifter

1.Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2.Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)Om överträdelsen skett med uppsåt eller genom oaktsamhet.

c)De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit.

d)Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

e)Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till.

f)Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

g)De kategorier av personuppgifter som påverkas av överträdelsen.

h)Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.

i)När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgifts biträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.

j)Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i enlighet med artikel 42.

k)Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

4.Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.

b)Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.

c)Övervakningsorganets skyldigheter enligt artikel 41.4.

277

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/83

5.Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b)Registrerades rättigheter enligt artiklarna 12–22.

c)Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 44–49.

d)Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.

e)Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

6.Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

7.Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

8.Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhets garantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet.

9.Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till kommissionen anmäla de bestämmelser i deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 84

Sanktioner

1.Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.

2.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

KAPITEL IX

Bestämmelser om särskilda behandlingssituationer

Artikel 85

Behandling och yttrande- och informationsfriheten

1.Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

278

Prop. 2017/18:298

Bilaga 1

L 119/84	SV	Europeiska unionens officiella tidning	4.5.2016

2.Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

3.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 86

Behandling och allmänhetens tillgång till allmänna handlingar

Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.

Artikel 87

Behandling av nationella identifikationsnummer

Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning.

Artikel 88

Behandling i anställningsförhållanden

1.Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsför hållandet.

2.Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.

3.Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

Artikel 89

Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga

eller historiska forskningsändamål eller statistiska ändamål

1.Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt

279

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/85

principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

2.Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

3.Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på behandling för de ändamål som avses i dessa punkter.

Artikel 90

Tystnadsplikt

1.Medlemsstaterna får anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas befogenheter enligt artikel 58.1 e och f gentemot personuppgiftsansvariga eller personuppgiftsbiträden som enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt.

2.Varje medlemsstat ska till kommissionen anmäla de bestämmelser den har antagit i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella ändringar som berör dem.

Artikel 91

Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund

1.Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.

2.Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 i denna artikel ska vara föremål för kontroll av en oberoende tillsynsmyndighet som kan vara specifik, förutsatt att den uppfyller de villkor som fastställs i kapitel VI i denna förordning.

KAPITEL X

Delegerade akter och genomförandeakter

Artikel 92

Utövande av delegeringen

1.Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

280

Prop. 2017/18:298

Bilaga 1

L 119/86	SV	Europeiska unionens officiella tidning	4.5.2016

2.Den befogenhet att anta delegerade akter som avses i artikel 12.8 och artikel 43.8 ska ges till kommissionen tills vidare från och med den 24 maj 2016.

3.Den delegering av befogenhet som avses i artikel 12.8 och artikel 43.8 får när som helst återkallas av Europapar lamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

5.En delegerad akt som antas enligt artikel 12.8 och artikel 43.8 ska träda i kraft endast om varken Europapar lamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 93

Kommittéförfarande

1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas.

KAPITEL XI

Slutbestämmelser

Artikel 94

Upphävande av direktiv 95/46/EG

1.Direktiv 95/46/EG ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.

Artikel 95

Förhållande till direktiv 2002/58/EG

Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG.

281

Prop. 2017/18:298

Bilaga 1

4.5.2016	SV	Europeiska unionens officiella tidning	L 119/87

Artikel 96

Förhållande till tidigare ingångna avtal

De internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta datum, ska fortsätta att gälla tills de ändras, ersätts eller återkallas.

Artikel 97

Kommissionsrapporter

1.Senast den 25 maj 2020 och därefter vart fjärde år ska kommissionen överlämna en rapport om tillämpningen och översynen av denna förordning till Europaparlamentet och rådet.

2.Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen särskilt undersöka hur följande bestämmelser tillämpas och fungerar:

a)Kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer, särskilt när det gäller beslut som antagits enligt artikel 45.3 i den här förordningen och beslut som antagits på grundval av artikel 25.6 i direktiv 95/46/EG.

b)Kapitel VII om samarbete och enhetlighet.

3.Med avseende på tillämpningen av punkt 1 får kommissionen begära information från medlemsstaterna och till synsmyndigheterna.

4.Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.

5.Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället.

Artikel 98

Översyn av andra unionsrättsakter om dataskydd

Kommissionen ska, om så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra andra unionsrättsakter om skydd av personuppgifter, för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandling. Detta gäller i synnerhet bestämmelserna om skyddet för fysiska personer i samband med behandling som utförs av unionens institutioner, organ och byråer samt om det fria flödet av sådana uppgifter.

Artikel 99

Ikraftträdande och tillämpning

1.Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.Den ska tillämpas från och med den 25 maj 2018.

282

					Prop. 2017/18:298
					Bilaga 1
L 119/88		Europeiska unionens officiella tidning			4.5.2016
L 119/88	SV	Europeiska unionens officiella tidning			4.5.2016

	Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
	Utfärdad i Bryssel den 27 april 2016.
		På Europaparlamentets vägnar		På rådets vägnar
		M. SCHULZ	J.A. HENNIS-PLASSCHAERT
		Ordförande		Ordförande

283

Prop. 2017/18:298

Bilaga 2

L 127/2		SV	Europeiska unionens officiella tidning	23.5.2018

Rättelse till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Europeiska unionens officiella tidning L 119 av den 4 maj 2016)

1.Sidan 4, skäl 22 I stället för:

”(22) All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller person uppgiftsbiträdens verksamhetsställen […]”

ska det stå:

”(22) All behandling av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen […]”.

2.Sidan 6, skäl 31 första meningen I stället för:

”(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, […] i enlighet med unionsrätten eller medlemstaternas nationella rätt.”

ska det stå:

”(31) Offentliga myndigheter som i sitt offentliga uppdrag mottar personuppgifter i enlighet med en rättslig för pliktelse, […] i enlighet med unionsrätten eller medlemsstaternas nationella rätt.”

3.Sidorna 6–7, skäl 36 första meningen I stället för:

”(36) […], såvida inte beslut om ändamålen och medlen för behandling av personuppgifter […]” ska det stå:

”(36) […], såvida inte beslut om ändamålen och medlen för behandlingen av personuppgifter […]”.

4.Sidorna 9–10, skäl 50 sista meningen I stället för:

”(50) […] särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.”

ska det stå:

”(50) […] särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige när det gäller den fortsatta behandlingen, personuppgifternas art, konsekvenserna för de registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.”

5.Sidan 10, skäl 51 I stället för:

”(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter […]”

ska det stå:

”(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter […]”.

284

Prop. 2017/18:298

Bilaga 2

23.5.2018		SV	Europeiska unionens officiella tidning	L 127/3

6.Sidan 12, skäl 63 tredje meningen I stället för:

”(63) […] Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, […]”

ska det stå:

”(63) […] Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt för vilka ändamål personuppgifterna behandlas, […]”.

7. Sidan 14, skäl 71, sista meningen på första stycket och första meningen på andra stycket

I stället för:

”(71) […] Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisato riska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter.”

ska det stå:

”(71) […] Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisato riska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter.”

8.Sidan 15, skäl 75 I stället för:

”(75) […] om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt över trädelser eller därmed sammanhängande säkerhetsåtgärder behandlas, […]”

ska det stå:

”(75) […] om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt lagöver trädelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas, […]”.

9.Sidorna 15–16, skäl 80 första meningen I stället för:

”(80) […] eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är osannolikt att […]”

ska det stå:

”(80) […] eller behandling av personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott och det är osannolikt att […]”.

285

Prop. 2017/18:298

Bilaga 2

L 127/4		SV	Europeiska unionens officiella tidning	23.5.2018

10.Sidan 16, skäl 84 första meningen I stället för:

”(84) […] en konsekvensbedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.”

ska det stå:

”(84) […] en konsekvensbedömning utförs avseende dataskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.”

11.Sidan 17, skäl 90 I stället för:

”(90) […] bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedöm ningen bör främst […]”

ska det stå:

”(90) […] bedöma den höga riskens specifika sannolikhetsgrad och allvar. Konsekvensbedömningen bör främst […]”.

12.Sidan 18, skäl 91 andra meningen I stället för:

”(91) […] särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs […]”

ska det stå:

”(91) […] särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs […]”.

13.Sidan 18, skäl 97 första meningen I stället för:

”(97) […] och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden […]”

ska det stå:

”(97) […] och uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden […]”.

14. Sidan 26, skäl 143 andra stycket första meningen

I stället för:

”Om talan avslås eller avvisas av en tillsynsmyndighet, […]”

ska det stå:

”Om ett klagomål avslås eller avvisas av en tillsynsmyndighet, […]”.

286

Prop. 2017/18:298

Bilaga 2

23.5.2018		SV	Europeiska unionens officiella tidning	L 127/5

15.Sidan 27, skäl 145 I stället för:

”(145) […] eller personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den person uppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.”

ska det stå:

”(145) […] eller personuppgiftsbiträdet har ett verksamhetsställe eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sina offentliga befogenheter.”

16.Sidan 29, skäl 155 I stället för:

”(155) En medlemsstatsnationella rätt eller kollektivavtal, […], planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, […]”

ska det stå:

”(155) En medlemsstats nationella rätt eller kollektivavtal, […], planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet samt hälsa och säkerhet på arbetsplatsen, […]”.

17.Sidan 30, skäl 162 sista meningen I stället för:

”(162) […] till stöd för åtgärder eller beslut som avser en särskild fysiskperson.” ska det stå:

”(162) […] till stöd för åtgärder eller beslut som avser en särskild fysisk person.”

18.Sidan 32, artikel 3.1 I stället för:

”1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behand lingen utförs i unionen eller inte.”

ska det stå:

”1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte.”

19.Sidan 33, artikel 4.1 I stället för:

”1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person […]”

ska det stå:

”1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person […]”.

287

Prop. 2017/18:298

Bilaga 2

L 127/6		SV	Europeiska unionens officiella tidning	23.5.2018

20.Sidan 35, artikel 5.1 led d I stället för:

”d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).”

ska det stå:

”d) De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).”

21.Sidan 37, artikel 6.4 led c I stället för:

”c) […] om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.” ska det stå:

”c) […] om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.”

22.Sidan 39, artikel 9.2 led j I stället för:

”j) […], vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet […]” ska det stå:

”j) […], vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet […]”.

23.Sidan 39, artikel 10 I stället för:

”Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

ska det stå:

”Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är […]”.

24.Sidan 41, artikel 13.2, inledningen I stället för:

”2. […] för att säkerställa rättvis och transparent behandling:” ska det stå:

”2. […] för att säkerställa rättvis och öppen behandling:”.

288

Prop. 2017/18:298

Bilaga 2

23.5.2018		SV	Europeiska unionens officiella tidning	L 127/7

25.Sidan 42, artikel 14.2, inledningen I stället för:

”2. […] för att säkerställa rättvis och transparent behandling när det gäller den registrerade:” ska det stå:

”2. […] för att säkerställa rättvis och öppen behandling när det gäller den registrerade:”.

26.Sidan 44, artikel 18.1 led a I stället för:

”a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.”

ska det stå:

”a) Den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möj lighet att kontrollera om personuppgifterna är riktiga.”

27.Sidan 45, artikel 20.2 I stället för:

”2 Vid utövandet av sin rätt […]” ska det stå:

”2. Vid utövandet av sin rätt […]”.

28.Sidan 45, artikel 21.1 andra meningen I stället för:

”1. […] Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen […]”

ska det stå:

”1. […] Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen […]”.

29.Sidan 48, artikel 27.2 led a I stället för:

”a) […], eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i artikel 10, […]”

ska det stå:

”a) […], eller behandling av personuppgifter avseende fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10, […]”.

289

Prop. 2017/18:298

Bilaga 2

L 127/8		SV	Europeiska unionens officiella tidning	23.5.2018

30.Sidan 51, artikel 30.5 I stället för:

”5. […] om fällande domar i brottmål samt överträdelser som avses i artikel 10.” ska det stå:

”5. […] om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10.”

31.Sidan 53, artikel 34.3 led a I stället för:

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som […]”

ska det stå:

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som […]”.

32.Sidan 53, artikel 34.4 I stället för:

”4. […] en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.”

ska det stå:

”4. […] en hög risk, kräva att den personuppgiftsansvarige gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.”

33.Sidan 53, artikel 35.3 led b I stället för:

”b) […] som rör fällande domar i brottmål och överträdelser som avses i artikel 10.” ska det stå:

”b) […] som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.”

34.Sidan 55, artikel 37.1 led c I stället för:

”c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.”

ska det stå:

”c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 eller personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.”

290

Prop. 2017/18:298

Bilaga 2

23.5.2018		SV	Europeiska unionens officiella tidning	L 127/9

35.Sidan 55, artikel 37.2 I stället för:

”2. En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett datas kyddsombud.”

ska det stå:

”2. En koncern får utnämna ett enda dataskyddsombud om det på varje verksamhetsställe är lätt att nå ett dataskyddsombud.”

36.Sidan 56, artikel 38.3 I stället för:

”3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot […]”

ska det stå:

”3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet inte tar emot […]”.

37.Sidan 57, artikel 40.5, andra meningen I stället för:

”5. […] överensstämmer med denna förordning och ska godkänna ett det utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.”

ska det stå:

”5. […] överensstämmer med denna förordning och ska godkänna utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.”

38.Sidan 58, artikel 41.3 I stället för:

”3. Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.”

ska det stå:

”3. Den behöriga tillsynsmyndigheten ska inlämna utkastet till krav för ackreditering av ett organ som avses i punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.”

39.Sidan 58, artikel 41.5 I stället för:

”5. Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.”

ska det stå:

”5. Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om kraven för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.”

291

Prop. 2017/18:298

Bilaga 2

L 127/10		SV	Europeiska unionens officiella tidning	23.5.2018

40.Sidan 59, artikel 42.7 I stället för:

”7. Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om kraven för certifieringen inte eller inte längre uppfylls.”

ska det stå:

”7. Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år och får förnyas på samma villkor under förutsättning att de relevanta kriterierna fortsätter att vara uppfyllda. Certifiering ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om kriterierna för certifieringen inte eller inte längre uppfylls.”

41.Sidan 59, artikel 43.1, sista meningen I stället för:

”1. […] Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:” ska det stå:

”1. […] Medlemsstaterna ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:”.

42.Sidan 60, artikel 43.3, första meningen I stället för:

”3. Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63.”

ska det stå:

”3. Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av krav som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63.”

43.Sidan 60, artikel 43.6 I stället för:

”6. De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på lämpligt sätt.”

ska det stå:

292

Prop. 2017/18:298

Bilaga 2

23.5.2018		SV	Europeiska unionens officiella tidning	L 127/11

44.Sidan 62, artikel 46.2, inledningen I stället för:

”2. Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta formen av”

ska det stå:

”2. Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en tillsynsmyndighet, ta formen av”.

45. Sidan 64, artikel 49.1 andra stycket första meningen I stället för:

”[…] äga rum endast omöverföringen inte är repetitiv, […]” ska det stå:

”[…] äga rum endast om överföringen inte är repetitiv, […]”.

46.Sidan 65, artikel 49.3 I stället för:

”3. […] som vidtas av offentliga myndigheter som ett led i myndighetsutövning.” ska det stå:

”3. […] som vidtas av offentliga myndigheter som ett led i utövandet av deras offentliga befogenheter.”

47.Sidan 67, artikel 54.2 I stället för:

”2. […] som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden […]”

ska det stå:

”2. […] som de fått kunskap om under utförandet av sina uppgifter eller utövandet av sina befogenheter. Under mandatperioden […]”.

48.Sidan 68, artikel 56.6 I stället för:

”6. […] när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behand ling.”

ska det stå:

”6. […] när det gäller den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling.”

293

Prop. 2017/18:298

Bilaga 2

L 127/12		SV	Europeiska unionens officiella tidning	23.5.2018

49.Sidan 69, artikel 57.1, led p I stället för:

”p) Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt artikel 43.”

ska det stå:

”p) Utarbeta och offentliggöra kraven för ackreditering av ett organ för övervakning av uppförandekoder enligt artikel 41 och av ett certifieringsorgan enligt artikel 43.”

50.Sidan 70, artikel 58.2 led d I stället för:

”d) Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker […],” ska det stå:

”d) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att behandlingen sker […],”.

51.Sidan 73, artikel 62.3 I stället för:

”3. En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprungs landets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlems stat som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet.”

ska det stå:

”3. En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från den utsändande tillsynsmyndigheten, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från den utsändande tillsynsmyndigheten som deltar i gemensamma insatser eller, i den mån lagstiftningen i värd tillsynsmyndighetens medlemsstat tillåter detta, medge att den utsändande tillsynsmyndighetens ledamöter eller personal utövar utredningsbefogenheter enligt lagstiftningen i den utsändande tillsynsmyndighetens medlemsstat. Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdtillsynsmyndigheten. Ledamöter och personal från den utsändande tillsynsmyndigheten ska omfattas av lagstift ningen i värdtillsynsmyndighetens medlemsstat.”

52.Sidan 73, artikel 62.4 I stället för:

”4. Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat […]” ska det stå:

”4. Om personal från en utsändande tillsynsmyndighet verkar i en annan medlemsstat […]”.

294

Prop. 2017/18:298

Bilaga 2

23.5.2018		SV	Europeiska unionens officiella tidning	L 127/13

53.Sidan 74, artikel 64.1 c I stället för:

”c) syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt artikel 43.3,”

ska det stå:

”c) syftar till att godkänna kraven för ackreditering av ett organ enligt artikel 41.3 eller av ett certifieringsorgan enligt artikel 43.3 eller de kriterier för certifiering som avses i artikel 42.5,”.

54. Sidan 74, artikel 64 punkterna 6, 7 och 8

I stället för:

”6. Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i punkt 3.

ska det stå:

”6. Den behöriga tillsynsmyndighet som avses i punkt 1 får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i punkt 3.

7.Den behöriga tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordfö rande om huruvida den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet till beslut.

8.Om den behöriga tillsynsmyndighet som avses i punkt 1 underrättar styrelsens ordförande inom den period som avses i punkt 7 i denna artikel om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering, ska artikel 65.1 tillämpas.”

55.Sidan 74, artikel 65.1 a I stället för:

”a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna invändning med motiveringen att den inte var relevant eller motiverad. […]”

ska det stå:

”a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning mot ett utkast till beslut av den ansvariga tillsynsmyndigheten och den ansvariga tillsynsmyndigheten inte har instämt i invändningen eller har avslagit denna invändning med motiveringen att den inte var relevant eller motiverad. […]”.

295

Prop. 2017/18:298

Bilaga 2

L 127/14		SV	Europeiska unionens officiella tidning	23.5.2018

56.Sidan 76, artikel 69.2 I stället för:

”2. Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.”

ska det stå:

”2. Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 och 70.2 ska styrelsen när den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.”

57.Sidan 77, artikel 70.1 led l I stället för:

”l) se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i leden e och f,”

ska det stå:

”l) se över den praktiska tillämpningen av riktlinjerna, rekommendationerna och bästa praxisen,”.

58.Sidan 77, artikel 70.1 led o I stället för:

”o) ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,”

ska det stå:

”o) godkänna kriterierna för certifiering i enlighet med artikel 42.5 och föra ett offentligt register över certifierings mekanismer och sigill och märkningar för dataskydd i enlighet med artikel 42.8 och över de certifierade person uppgiftsansvariga eller personuppgiftsbiträden som är etablerade i tredjeländer i enlighet med artikel 42.7,”.

59.Sidan 77, artikel 70.1 led p I stället för:

”p) närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,”

ska det stå:

”p) godkänna de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan som avses i artikel 43,”.

60.Sidan 80, artikel 78.2 I stället för:

”2. […] om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det.”

ska det stå:

”2. […] om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat.”

296

Prop. 2017/18:298

Bilaga 3

Sammanfattning av betänkandet Personuppgifts- behandling för forskningsändamål (SOU 2017:50)

Uppdraget

I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möj- lig och kan behövas med anledning av att dataskyddsförordningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författnings- förslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt be- tänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning.

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förordningen är di- rekt tillämplig i alla medlemsstater och gäller i stället för motsvarande nat- ionell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nu- varande dataskyddsdirektivet (95/46/EG) och dess svenska implemente- ring genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpningsom- råde.

Begreppet forskningsändamål

Förordningens återkommande uttryck ”vetenskapliga eller historiska forskningsändamål” innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedömning likställas.

Personuppgiftsbehandling för forskningsändamål bör vidare kunna om- fatta hela eller delar av forskningsprocessen. Iordningställande av person- uppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är såle- des att de enskilda delarna av denna process ska kunna betecknas som be- handling för forskningsändamål utan att alla delar måste ingå. Detta är sär- skilt viktigt i s.k. longitudinella studier där förlopp studeras över tidspe- rioder som ibland omfattar många år.

298

En forskningsdatalag

Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdatalagen. En registerförfattning, eller en bestämmelse i en registerförfattning, som specifikt är tillämplig på person- uppgiftsbehandling för ändamålet forskning ska ha företräde framför av- vikande bestämmelser i forskningsdatalagen.

Prop. 2017/18:298

Bilaga 3

Rättslig grund

Fastställande av allmänt intresse som rättslig grund

Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framförallt kan komma ifråga för forskningsändamål är, en- ligt utredningens bedömning, samtycke enligt artikel 6.1 a, nödvändig be- handling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavvägning enligt artikel 6.1 f.

Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förord- ningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forskningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komp- lettera dataskyddsförordningen.

Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den särskilda behand- lingen. Det är således möjligt enligt dataskyddsförordningen att införa sär- skilda bestämmelser i nationell rätt som specificerar när och hur person- uppgiftsbehandling för forskningsändamål får ske.

Kravet enligt artikel 6.3 på att grunden för behandlingen enligt arti- kel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vederta- gen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämp- ningen på.

299

Prop. 2017/18:298

Bilaga 3

I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga som privata aktörer att ut- föra uppgifter av allmänt intresse i dataskyddsförordningens mening.

Om inga nationella lagstiftningsåtgärder vidtas innebär förordningens bestämmelser att offentliga forskningsaktörer framförallt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forskningsändamål. Privata forsknings- aktörer har framförallt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behand- ling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rätts- liga grunderna i artikel 6.1 vid behandling av personuppgifter för likvär- diga forskningsändamål, i praktiken beroende på vilken organisationsform aktören har, är enligt utredningens bedömning rimligen inte avsiktligt.

Det är angeläget med ett sammanhållet grundläggande regelverk för per- sonuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträck- ning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstad- kommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av all- mänt intresse enligt artikel 6.1 e i dataskyddsförordningen för behandling av personuppgifter för forskningsändamål.

Ytterligare behandling

Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgifts- ansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftsla- gen där all behandling kräver stöd i 10 §. När personuppgifterna ursprung- ligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar.

I samband med utlämnande av personuppgifter till annan personuppgifts- ansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ända- målet är forskning. Den nya personuppgiftsansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan person- uppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

300

Samtycke

Definitionen av samtycke i dataskyddsförordningen överensstämmer i vä- sentliga delar med personuppgiftslagens bestämmelser. Dataskydds- förordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i defi- nitionen jämfört med i personuppgiftslagen.

Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i data- skyddsförordningen är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke förelig- ger tillsammans med godkännande efter etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikpröv- ningslagen).

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförord- ningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgifts- behandling. Av särskild vikt är här om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhål- landen, dvs. när flera rättsliga grunder samtidigt föreligger för samma person- uppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas.

Ytterligare behandling av personuppgifter för forskningsändamål insam- lade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny personuppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt.

Prop. 2017/18:298

Bilaga 3

Känsliga personuppgifter

Av artikel 9.1 i dataskyddsförordningen framgår att det är förbjudet att be-
handla personuppgifter som avslöjar ras eller etniskt ursprung, politiska
åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackföre-
ning och behandling av genetiska uppgifter, biometriska uppgifter för att
entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om
en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförord-
ningens definition av den här kategorin av personuppgifter är något utökad
jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförord-
ningen används vidare benämningen särskilda kategorier av personuppgif-
ter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi
dock att även fortsatt benämna dessa slags personuppgifter som känsliga
personuppgifter.
För att behandling av känsliga personuppgifter ska vara tillåten under
vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och
särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i
forskningsdatalagen som tillåter sådan personuppgiftsbehandling när
denna är nödvändig för att uppnå forskningsändamålet. Som huvudsaklig	301
	301

Prop. 2017/18:298	skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etik-
Bilaga 3	prövningslagen ska kvarstå.

Personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter om lagöverträdelser m.m. regleras i arti- kel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forsknings- datalagen som tillåter sådan personuppgiftsbehandling när denna är nöd- vändig för att uppnå forskningsändamålet.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skydds- åtgärder för att säkerställa den registrerades rättigheter och friheter. Utred- ningen föreslår att etikprövning enligt etikprövningslagen fortsatt ska vara den huvudsakliga skyddsåtgärden.

Personnummer och samordningsnummer

Den reglering som Dataskyddsutredningen föreslår för behandling av per- sonnummer eller samordningsnummer innehåller samma direkt tillämp- liga villkor som återfinns i nuvarande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.

Utredningen gör bedömningen att rättsläget för användningen av per- sonnummer för forskningsändamål inte ändras i och med Dataskyddsut- redningens föreslagna bestämmelser. Jämfört med i dag är det samma vill- kor som ska uppfyllas för att behandling av personnummer ska vara tillå- ten och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.

Begränsningar av registrerades rättigheter

I dataskyddsförordningens tredje kapitel (artiklarna 12–23) anges den re- gistrerades rättigheter i samband med att dennes personuppgifter behand- las. Dessa rättigheter kan under vissa förutsättningar begränsas. Data- skyddsutredningen har föreslagit vissa generella begränsningar i dessa rät- tigheter.

Om personuppgifter behandlas för bl.a. forskningsändamål får det, en- ligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlems- staternas nationella rätt föreskrivas undantag från den registrerades rättig- heter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skydds- åtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forskningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen.

302

Rätten till rättelse (artikel 16) ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i arkiverings- syfte. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätt till begränsning av behandling (artikel 18) ska inte gälla när den	Prop. 2017/18:298
registrerade bestrider uppgifternas korrekthet under den utredningstid som	Bilaga 3
krävs för att kontrollera om personuppgifterna är korrekta, om detta med-
för att forskningen inte kan utföras eller på ett avgörande sätt försenas eller
försvåras. Detsamma ska gälla när den registrerade invänder mot behand-
lingen, i väntan på kontroll av huruvida den personuppgiftsansvariges be-
rättigade skäl väger tyngre än den registrerades berättigade skäl.
Det saknas behov av ytterligare undantag från rätten till tillgång (arti-
kel 15) samt rätten att göra invändningar (artikel 21) när personuppgifter
behandlas för forskningsändamål, utöver vad Dataskyddsutredningen har
föreslagit.

Tillsyn och sanktioner

Utredningen har översiktligt behandlat frågor om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till till- synsmyndighet, och ha befogenheter enligt dataskyddsförordningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen.

Eftersom den föreslagna forskningsdatalagen kompletterar dataskydds- förordningen är det utredningens bedömning att den av Dataskyddsutred- ningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestäm- melse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskydds- förordningen. Det är utredningens bedömning att den av Dataskyddsutred- ningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatala- gen.

Skyddsåtgärder

Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga personuppgifter samt person- uppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför analyserat centrala begrepp, som exempelvis personuppgift, pseudonymisering och anonymisering, för att därefter gå igenom data- skyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa

303

Prop. 2017/18:298

Bilaga 3

den registrerades grundläggande rättigheter, särskilt mot bakgrund på data- skyddsförordningens säkerhetskrav.

Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkännande samt uppförandeko- der kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfat- tar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen föreslår att personuppgiftslagens befintliga bestämmelse som anger att uppgifter som samlats in för forskningsändamål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Vidare föreslår vi att en bestämmelse införs i forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis.

Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personupp- giftsbehandling ändå utföras.

En proportionerlig lagstiftning

Utredningen har analyserat de föreslagna bestämmelserna i forskningsda- talagen utifrån de krav på framförallt proportionalitet som ställs upp i data- skyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehand- lingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitets- krav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen.

Den föreslagna regleringen måste uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Utredningens bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportionell utifrån samtliga dessa proportiona- litetskrav.

	Etikprövning
	Utredningen har analyserat vilka anpassningar av lagen (2003:460) om
	etikprövning av forskning som avser människor som behöver göras inför
	att dataskyddsförordningen börjar tillämpas. Utredningen har inlednings-
304	vis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med

dataskyddsförordningens krav och kommit till slutsatsen att etikprövning	Prop. 2017/18:298
utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförord-	Bilaga 3
ningen kräver för personuppgiftsbehandling för forskningsändamål av käns-
liga personuppgifter eller personuppgifter om lagöverträdelser m.m.
Utredningen har därpå analyserat om etikprövningslagens tillämpningsom-
råde bör utvidgas till att gälla all personuppgiftsbehandling för forsknings-
ändamål och kommit till slutsatsen att detta vore en alltför ingripande åt-
gärd som inte är proportionerlig i förhållande till syftet. Utredningen före-
slår därför att kravet på etikprövning även fortsättningsvis ska omfatta per-
sonuppgiftsbehandling för forskningsändamål av känsliga personuppgifter
och personuppgifter om lagöverträdelser m.m. enligt de definitioner som
framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet
på etikprövning avseende de ytterligare uppgifter som i dagsläget framgår
av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etik-
prövningslagens tillämpningsområde.
Utredningen har vidare konstaterat att det finns anledning att närmare
utreda behovet av förändringar i etikprövningsförfarandet. Ett differentie-
rat etikprövningsförfarande framstår som mer ändamålsenligt inom fram-
för allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi läm-
nar flera exempel på sådana behov i samband med att personuppgiftsbe-
handling för forskningsändamål baserar sig på redan offentliggjorda upp-
gifter och där den efterföljande behandlingen endast innebär en mindre
integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i
övrigt föreslår vi att detta utreds vidare i särskild form.
Slutligen har utredningen analyserat vilka ändringar av etikprövningsla-
gen som i övrigt behöver göras med anledning av att dataskyddsförord-
ningen börjar tillämpas och lämnar behövliga författningsförslag i dessa
delar.

Anpassningar av vissa registerförfattningar

Vi har i uppdrag att i utredningens nästa skede bereda Registerforsknings- utredningens (U 2013:01) förslag i betänkandet Unik kunskap genom re- gisterforskning (SOU 2014:45) vidare. Eftersom det är kort tid tills data- skyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutred- ningen föreslår, som behöver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskydds- förordningen ska börja tillämpas.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och fö- reslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska anpassningar av regis- terlagarna i relation till dataskyddsförordningens bestämmelser. Detta in- nebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inrik-

305

Prop. 2017/18:298

Bilaga 3

tad på sådana ändringar som är nödvändiga med anledning av dataskydds- förordningen. Syftet med uppdraget i denna del är sammantaget att regis- terlagarna ska kunna tillämpas även efter att dataskyddsförordningen bör- jar tillämpas och att de befintliga förutsättningarna för att behandla person- uppgifter i enlighet med registerlagarna i vart fall inte ska försämras.

Ikraftträdande

Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskydd- slagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgiftslagen samtidigt ska upp- höra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.

Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdi- rektivet ska anses som hänvisningar till dataskyddsförordningen i sam- band med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpass- ningar i medlemsstaterna bör finnas på plats när förordningen börjar til- lämpas. Det är utredningens uppfattning att det därmed inte finns utrymme för några övergångsbestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsända- mål tillämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.

Konsekvenser

Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föran- ledda av andra förändringar, främst personuppgiftslagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Data- skyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.

Utredningen bedömer att förslagen inte medför några kostnadsföränd- ringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen överlag innebär en förstärk- ning av den personliga integriteten.

306

Betänkandets lagförslag

1.1 Förslag till forskningsdatalag

Inledande bestämmelser

1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyd- das.

2 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av såd- ana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen.

3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med komp- letterande bestämmelser till EU:s dataskyddsförordning (dataskyddsla- gen).

Om det i en annan lag eller i en förordning finns bestämmelser om be- handling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.

Lagens tillämpningsområde

4 § Denna lag tillämpas vid behandling av personuppgifter för forsk- ningsändamål.

Prop. 2017/18:298

Bilaga 4

Behandling av personuppgifter för forskningsändamål

Rättslig grund

5 § Av dataskyddsförordningen framgår att personuppgifter får behand- las endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförord- ningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Generella skyddsåtgärder

7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestäm- melserna i 8–10 §§ denna lag.

307

Prop. 2017/18:298

Bilaga 4

8 § Vid personuppgiftsbehandling för forskningsändamål ska person- uppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset.

9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.

Om det visar sig vara omöjligt eller medföra en oproportionerlig an- strängning att tillhandahålla den enskilde möjligheten att motsätta sig be- handlingen, eller om ändamålet annars inte kan uppfyllas, får personupp- giftsbehandling ändå utföras.

10 § Personuppgifter som behandlas för forskningsändamål får använ- das för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i all- männa handlingar.

Känsliga personuppgifter

11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskydds- förordningen behandlas om behandlingen är nödvändig för forskningsän- damål och om behandlingen har godkänts enligt lagen (2003:460) om etik- prövning av forskning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behand- ling av känsliga personuppgifter för forskningsändamål.

Personuppgifter om lagöverträdelser m.m.

12 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsända- mål och har godkänts enligt lagen (2003:460) om etikprövning av forsk- ning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behand- ling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.

Undantag från registrerades rättigheter

13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskyddsför- ordningen gäller inte för sådana personuppgifter som behandlats för forsk- ningsändamål när personuppgifterna endast bevaras i syfte att dokumen- tera utförd forskning.

14 § Den registrerades rätt till begränsning av behandling enligt arti- kel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behand- las för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

308

Förhållandet

till

person-

Förhållandet

till

annan

Prop. 2017/18:298

uppgiftslagen

dataskyddsreglering

Bilaga 4

3 §2

Personuppgiftslagen

(1998:204)

Denna lag kompletterar Europa-

gäller vid behandling av person-

parlamentets och rådets förord-

uppgifter, om inte annat följer av

ning

(EU)

2016/679 av

den

denna lag.

27 april 2016 om skydd för fysiska

personer med avseende på be-

handling av personuppgifter och

om det fria flödet av sådana upp-

gifter och om upphävande av di-

rektiv 95/46/EG (allmän data-

skyddsförordning),

nedan

kallad

dataskyddsförordningen.

3 a §

Lagen (2018:XX) med komplette-

rande

bestämmelser

till

EU:s

dataskyddsförordning

(data-

skyddslagen) gäller vid behand-

ling

personuppgifter

enligt

denna lag, om inte annat följer av

denna lag eller föreskrifter som

har meddelats med stöd av denna

lag eller lagen med komplette-

rande

bestämmelser

till

EU:s

dataskyddsförordning.

12 §3

Personuppgifter

som

inte längre

Personuppgifter

som

inte

längre

behövs för de ändamål som avses

i 5 § 1 och 2 ska gallras, om inte

regeringen eller

den

myndighet

regeringen

eller

den

myndighet

som regeringen

bestämmer har

som

regeringen

bestämmer

har

meddelat föreskrifter om eller i ett

enskilt fall beslutat att uppgifter

får bevaras för historiska, statis-

får bevaras för arkivändamål av

tiska eller vetenskapliga ändamål.

allmänt

intresse,

vetenskapliga

eller

historiska

forskningsända-

mål eller statistiska ändamål.

2Senaste lydelse SFS 2013:794.

3Senaste lydelse SFS 2013:794.

313

Prop. 2017/18:298

Bilaga 4

14 §4

Innan en person lämnar sitt sam- tycke enligt första stycket ska han eller hon ha informerats om

1.att det är frivilligt att lämna uppgifter, medverka till upptag- ningar eller genomgå undersök- ningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan av- bryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2.för vilka ändamål behandling kan ske enligt 5–7 §§ och vilka uppgifter som får registreras enligt

9§,

3.de sekretess- och säker- hetsbestämmelser som gäller för registret,

4.vem som är personuppgifts- ansvarig,

5.hur länge uppgifterna sparas,

6.rätten till rättelse av uppgif- terna,

7.rätten till information enligt

15§ denna lag och 26 § person- uppgiftslagen (1998:204),

8.vilken myndighet som har till- syn över att denna lag följs,

9.rätten till skadestånd, och

10.rätten att få uppgifter utplå- nade.

Utöver vad som framgår av artik- larna 13 och 14 i dataskydds- förordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informe- rats om

2.vilka uppgifter som får registre- ras enligt 9 §,

3.de sekretess- och säkerhetsbe- stämmelser som gäller för regist- ret,

4.rätten till information enligt

15§ denna lag och artikel 15 i dataskyddsförordningen,

5.vilken myndighet som har till- syn över att denna lag följs, och

6.rätten till skadestånd.

4Senaste lydelse SFS 2013:794.

314

	12 §2						Prop. 2017/18:298
När personuppgifter i ett mål		När	personuppgifter			i ett mål	Bilaga 4
första gången registreras i det		första gången registreras i det
rättspsykiatriska forskningsregist-		rättspsykiatriska forskningsregist-
ret skall Rättsmedicinalverket		ret	ska	Rättsmedicinalverket
lämna den registrerade informa-		lämna den registrerade informa-
tion om behandlingen.	innehålla	tion om behandlingen.
Informationen skall		Utöver vad som framgår av arti-
upplysningar om		kel 14 i		dataskyddsförordningen
1. att Rättsmedicinalverket är per-		ska informationen innehålla upp-
sonuppgiftsansvarigt för behand-		lysningar om
lingen,
2. ändamålen med behandlingen,
3. vilken typ av uppgifter behand-
lingen avser,
4. mottagarna av uppgifterna,
5. de sekretess- och säkerhets-		1. de sekretess- och säkerhets-
bestämmelser som gäller för be-		bestämmelser som gäller för be-
handlingen,		handlingen,
6. bestämmelserna i	personupp-	2. bestämmelserna			i	dataskydds-
giftslagen (1998:204) om infor-		förordningen och			dataskyddsla-
mation som skall lämnas efter an-		gen om den registrerades rätt till
sökan samt om rättelse och skade-		skadestånd, samt
stånd, samt
7. de begränsningar i fråga om till-		3. de begränsningar i fråga om till-
gång till uppgifter, utlämnande av		gång till uppgifter, utlämnande av
uppgifter på medium för automa-		uppgifter på medium för automa-
tiserad behandling och bevarande		tiserad behandling och bevarande
av uppgifter som gäller för be-		av uppgifter som gäller för be-
handlingen.		handlingen.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse SFS 1999:353.

317

Prop. 2017/18:298

Bilaga 5

318

Förteckning över remissinstanserna

Remissvar har lämnats av Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Polismyndigheten, Säkerhetspolisen, Kriminalvården, Brottsförebyggande rådet, Rättsmedicinalverket, Myn- digheten för samhällsskydd och beredskap, Datainspektionen, Försvars- makten, Försvarets materielverk, Totalförsvarets forskningsinstitut, För- säkringskassan, Socialstyrelsen, Läkemedelsverket, Folkhälsomyndig- heten, Statens institutionsstyrelse, Myndigheten för delaktighet, Forsk- ningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsför- månsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, E-hälsomyndigheten, Statistiska centralbyrån, Arbetsgivarverket, Stats- kontoret, Stockholms läns landsting, Uppsala läns landsting, Söderman- lands läns landsting, Östergötlands läns landsting, Jönköpings läns lands- ting, Kalmar läns landsting, Gotlands läns landsting, Skåne läns landsting, Västra Götalands läns landsting, Värmlands läns landsting, Örebro läns landsting, Västmanlands läns landsting, Dalarnas läns landsting, Gävle- borgs läns landsting, Västernorrlands läns landsting, Jämtlands läns lands- ting, Västerbottens läns landsting, Kiruna kommun, Luleå kommun, Stockholms kommun, Statens skolverk, Försvarshögskolan, Gymnastik- och idrottshögskolan, Göteborgs universitet, Högskolan i Borås, Högsko- lan i Halmstad, Karlstads universitet, Karolinska institutet, Kungl. Tek- niska högskolan, Linköpings universitet, Luleå tekniska universitet, Lunds universitet, Malmö högskola, Mittuniversitetet, Mälardalens högskola, Stockholms universitet, Umeå universitet, Uppsala universitet, Örebro universitet, Kungl. Biblioteket, Vetenskapsrådet, Regionala etikpröv- ningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämn- den i Umeå, Regionala etikprövningsnämnden i Uppsala, Centrala etik- prövningsnämnden, Rymdstyrelsen, Naturvårdsverket, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Statens energimyndig- het, Statens väg- och transportforskningsinstitut, Trafikanalys, Sveriges geologiska undersökning, Verket för innovationssystem, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Skogsstyrelsen, Statens jord- bruksverk, Sveriges lantbruksuniversitet, Statens veterinärmedicinska anstalt, Livsmedelsverket, Lantmäteriet, Riksarkivet, Institutet för språk och folkminnen, Naturhistoriska riksmuseet, Arbetsförmedlingen, Arbets- miljöverket, Medlingsinstitutet, Institutet för arbetsmarknads- och utbild- ningspolitisk utvärdering, Inspektionen för arbetslöshetsförsäkringen, Cancerfonden – Riksföreningen mot cancer, Chalmers tekniska högskola AB, Ersta Sköndal Bräcke högskola, Jönköping University, Kungl. Ingen- jörsvetenskapsakademien, Kungl. Vetenskapsakademien, Kungl. Vitter- hets Historie och Antikvitets Akademien, Läkemedelsindustriföreningen, Nationellt biobanksråd, Research Institutes of Sweden, Statens medicinsk- etiska råd, Svenska läkaresällskapet och Sveriges Kommuner och Landsting

Riksdagens ombudsmän (JO), Riksrevisionen, Totalförsvarets rekryte- ringsmyndighet, Myndigheten för vård och omsorgsanalys, Statens bered- ning för medicinsk och social utvärdering, Kronobergs läns landsting, Ble- kinge läns landsting, Hallands läns landsting, Norrbottens läns landsting,

Prop. 2017/18:298

Bilaga 6

Lagförslagen i utkastet till lagrådsremiss Behandling av personuppgifter för forsknings- ändamål

2.1Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till personuppgiftslagen

Om inget annat följer av denna lag tillämpas personuppgifts- lagen (1998:204) vid behandling av personuppgifter för det rätts- psykiatriska forskningsregistret.

Förhållandet till annan data- skyddsreglering

Denna lag kompletterar Europa- parlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

2 a §

Vid behandling av person- uppgifter enligt denna lag gäller lagen (2018:000) med komplette- rande bestämmelser till EU:s dataskyddsförordning och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 §

När personuppgifter i ett mål första gången registreras i det

rättspsykiatriska forsknings- registret skall Rättsmedicinal- verket lämna den registrerade information om behandlingen.

När personuppgifter i ett mål första gången registreras i det

rättspsykiatriska forsknings- registret ska Rättsmedicinalverket lämna den registrerade informa- tion om behandlingen.

320

Informationen skall innehålla upplysningar om

1.att Rättsmedicinalverket är personuppgiftsansvarigt för be- handlingen,

2.ändamålen med behand- lingen,

3.vilken typ av uppgifter be- handlingen avser,

4.mottagarna av uppgifterna,

5.de sekretess- och säkerhets- bestämmelser som gäller för be- handlingen,

6.bestämmelserna i person- uppgiftslagen (1998:204) om in- formation som skall lämnas efter ansökan samt om rättelse och skadestånd, samt

7.de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för auto- matiserad behandling och beva- rande av uppgifter som gäller för behandlingen.

Utöver vad som framgår av				Prop. 2017/18:298
artikel	14	i	EU:s	Bilaga 6
dataskyddsförordning			ska
informationen			innehålla
upplysningar om

1.de sekretess- och säkerhets- bestämmelser som gäller för be- handlingen,

2.bestämmelserna i EU:s data- skyddsförordning och lagen (2018:000) med kompletterande bestämmelser till EU:s data- skyddsförordning om den registrerades rätt till skadestånd, samt

3.de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för auto- matiserad behandling och beva- rande av uppgifter som gäller för behandlingen.

Denna lag träder i kraft den 1 januari 2019.

321

Prop. 2017/18:298

Bilaga 6

2.2Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga	personuppgifter
enligt 13 §	personuppgiftslagen

(1998:204), eller

1.personuppgifter som avses i artikel 9.1 i EU:s dataskydds- förordning (känsliga personupp- gifter), eller

322	1	Senaste lydelse 2008:192.
322	2	Senaste lydelse 2008:192.

2.4Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Prop. 2017/18:298

Bilaga 6

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till annan
personuppgiftslagen	dataskyddsreglering

3 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet

12 §

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet

325

Prop. 2017/18:298

Bilaga 6

som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statis- tiska eller vetenskapliga ända- mål.

som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsända- mål eller statistiska ändamål.

14 §

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt	Utöver vad som framgår av
samtycke enligt första stycket ska	artiklarna 13 och 14 i EU:s data-
han eller hon ha informerats om	skyddsförordning ska en person,
	innan han eller hon lämnar sitt
	samtycke enligt första stycket, ha
	informerats om

2. för vilka ändamål behandling	2. vilka uppgifter som får
kan ske enligt 5–7 §§ och vilka	registreras enligt 9 §,
uppgifter som får registreras
enligt 9 §,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4.vem som är personuppgifts-

ansvarig,

5.	hur länge uppgifterna spa-
ras,
6.	rätten till rättelse av upp-
gifterna,
7. rätten till information enligt		4. rätten till information enligt
15 § denna lag och 26 § per-		15 § denna lag och artikel 15 i
sonuppgiftslagen (1998:204),		EU:s dataskyddsförordning,
8.	vilken myndighet som har	5. vilken myndighet som har
tillsyn över att denna lag följs,		tillsyn över att denna lag följs, och
9. rätten till skadestånd, och		6. rätten till skadestånd.

10.rätten att få uppgifter utplå-

nade.

Denna lag träder i kraft den 1 januari 2019.

326

Prop. 2017/18:298	Förteckning över remissinstanserna
Bilaga 7
	Remissvar har lämnats av Kammarrätten i Stockholm, Förvaltningsrätten
	i Göteborg, Justitiekanslern (JK), Brottsförebyggande rådet, Rättsmedi-
	cinalverket, Datainspektionen, Kommerskollegium, Försvarsmakten,
	Totalförsvarets forskningsinstitut, Socialstyrelsen, Läkemedelsverket,
	Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd,
	Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäk-
	ringen, Pensionsmyndigheten, Statistiska centralbyrån, Arbetsgivarverket,
	Stockholms läns lands-ting, Kalmar läns landsting, Västra Götalands läns
	landsting, Luleå kommun, Göteborgs universitet, Högskolan i Borås, Karl-
	stads universitet, Karolinska institutet, Kungl. Tekniska högskolan, Lunds
	universitet, Malmö högskola, Mittuniversitetet, Stockholms universitet,
	Umeå universitet, Örebro universitet, Kungl. Biblioteket, Vetenskapsrå-
	det, Regionala etikprövningsnämnden i Göteborg, Regionala etikpröv-
	ningsnämnden i Linköping, Regionala etikprövningsnämnden i Lund,
	Regionala etikprövningsnämnden i Stockholm, Regionala etikprövnings-
	nämnden i Umeå, Regionala etikprövningsnämnden i Uppsala, Centrala
	etikprövningsnämnden, Forskningsrådet för miljö, areella näringar och
	samhällsbyggande, Verket för innovationssystem, Sveriges lantbruksuni-
	versitet, Riksarkivet, Arbetsförmedlingen, Institutet för arbetsmarknads-
	och utbildningspolitisk utvärdering, Chalmers tekniska högskola AB, Jön-
	köping University, Kungl. Vetenskapsakademien, Läkemedelsindustri-
	föreningen, Sveriges Kommuner och Landsting, Svenska tidnings-
	utgivareföreningen.
	Riksdagens ombudsmän (JO), Stockholms kommun, Myndigheten för
	vård- och omsorgsanalys, Skåne läns landsting, Uppsala läns landsting,
	Västerbottens läns landsting, Östergötlands läns landsting, Kiruna kom-
	mun, Uppsala universitet, Statens medicinsk-etiska råd, Ersta Sköndal
	Bräcke högskola och Svenska Journalistförbundet har avstått från att
	lämna synpunkter på förslagen i utkastet till lagrådsremiss eller har inte
	svarat på remissen.

328

Lagrådsremissens lagförslag

Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Prop. 2017/18:298

Bilaga 8

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till person- uppgiftslagen

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsy- kiatriska forskningsregistret.

Förhållandet till annan data- skyddsreglering

2 §

2 a §

	12 §
När personuppgifter i ett mål		När personuppgifter i ett mål
första gången registreras i det		första gången registreras i det
rättspsykiatriska	forskningsregist-	rättspsykiatriska	forskningsregist-
ret skall Rättsmedicinalverket läm-		ret ska Rättsmedicinalverket lämna
na den registrerade information om		information om	behandlingen till
behandlingen.	skall innehålla	den registrerade.
Informationen
upplysningar om

329

Prop. 2017/18:298

Bilaga 8

330

1. att Rättsmedicinalverket	är	Utöver vad som framgår av ar-
personuppgiftsansvarigt för	be-	tikel 14 i EU:s dataskyddsförord-
handlingen,		ning ska informationen innehålla
2. ändamålen med behandlingen,		upplysningar om

3.vilken typ av uppgifter behand- lingen avser,

4.mottagarna av uppgifterna,

5.de sekretess- och säkerhets- bestämmelser som gäller för be-

handlingen,

1. de sekretess- och säkerhets-

6.bestämmelserna i personupp- bestämmelser som gäller för be-

giftslagen (1998:204) om informa-	handlingen,
tion som skall lämnas efter ansökan	2. bestämmelserna i EU:s data-
samt om rättelse och skadestånd,	skyddsförordning		och	lagen
samt	(2018:218)	med	kompletterande
	bestämmelser till EU:s data-
7. de begränsningar i fråga om	skyddsförordning om den registre-
tillgång till uppgifter, utlämnande	rades rätt till skadestånd, och
av uppgifter på medium för auto-	3. de begränsningar i fråga om
matiserad behandling och bevaran-	tillgång till	uppgifter, utlämnande
de av uppgifter som gäller för be-	av uppgifter på medium för auto-
handlingen.	matiserad behandling och bevaran-
	de av uppgifter som gäller för be-
	handlingen.

Denna lag träder i kraft den 1 januari 2019.

Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse.

Prop. 2017/18:298

Bilaga 8

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling		av	personuppgifter:		behandling	av	personuppgifter:
sådan behandling som anges i 3 §					sådan behandling som anges i ar-
personuppgiftslagen (1998:204).					tikel 4.2 i Europaparlamentets och
					rådets förordning			(EU)	2016/679
					av den 27 april 2016 om skydd för
					fysiska personer med avseende på
					behandling av personuppgifter och
					om det fria flödet av sådana
					uppgifter och om upphävande av
					direktiv 95/46/EG (allmän data-
					skyddsförordning),			här	benämnd
					EU:s dataskyddsförordning.
					3 §2
Denna lag ska tillämpas på forskning som innefattar behandling av
1. känsliga		personuppgifter en-			1. personuppgifter som avses i
ligt	13 §	personuppgiftslagen			artikel 9.1 i EU:s dataskyddsför-
(1998:204), eller					ordning (känsliga personuppgif-
					ter), eller				lagöver-
2. personuppgifter				om lagöver-	2. personuppgifter om
trädelser som innefattar brott, do-					trädelser som innefattar brott, do-
mar	i brottmål,		straffprocessuella		mar i brottmål,		straffprocessuella
tvångsmedel		eller		administrativa	tvångsmedel	eller		administrativa
frihetsberövanden enligt 21 § per-					frihetsberövanden.
sonuppgiftslagen.

Denna lag träder i kraft den 1 januari 2019.

1	Senaste lydelse 2008:192.	331
2	Senaste lydelse 2008:192.	331

Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Prop. 2017/18:298

Bilaga 8

Nuvarande lydelse			Föreslagen lydelse
Förhållandet till personupp-			Förhållandet till annan data-
giftslagen			skyddsreglering
			3 §
Personuppgiftslagen		(1998:204)	Denna lag kompletterar Europa-
gäller vid behandling av perso-			parlamentets och rådets förordning
nuppgifter, om inte annat följer av			(EU)	2016/679		av den 27 april
denna lag.			2016 om skydd för fysiska personer
			med avseende på behandling av
			personuppgifter och om det fria
			flödet av sådana uppgifter och om
			upphävande av direktiv 95/46/EG
			(allmän		dataskyddsförordning),
			här benämnd EU:s dataskydds-
			förordning.
			Termer och uttryck i denna lag
			har samma betydelse som i EU:s
			dataskyddsförordning.
			3 a §
			Vid behandling av personupp-
			gifter enligt denna lag gäller lagen
			(2018:218)		med	kompletterande
			bestämmelser till EU:s dataskydds-
			förordning och föreskrifter som har
			meddelats i anslutning till den
			lagen, om inte annat följer av
			denna lag eller föreskrifter som har
			meddelats i anslutning till lagen.
		12 §
Personuppgifter som inte längre			Personuppgifter som inte längre
behövs för de ändamål som avses i			behövs för de ändamål som avses i
5 § 1 och 2 ska gallras, om inte			5 § 1 och 2 ska gallras, om inte
regeringen eller	den	myndighet	regeringen		eller	den myndighet
som regeringen	bestämmer har		som	regeringen		bestämmer har

333

Prop. 2017/18:298

Bilaga 8

meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 §

Innan en person lämnar sitt	Utöver vad som framgår av ar-
samtycke enligt första stycket ska	tiklarna 13 och 14 i EU:s data-
han eller hon ha informerats om	skyddsförordning ska en person,
	innan han eller hon lämnar sitt
	samtycke enligt första stycket, ha
	informerats om

2. för vilka ändamål behandling	2. vilka uppgifter som får re-
kan ske enligt 5–7 §§ och vilka	gistreras enligt 9 §,
uppgifter som får registreras enligt

9§,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4.vem som är personuppgifts-

ansvarig,

5.hur länge uppgifterna sparas,

6.rätten till rättelse av uppgif- terna,

7. rätten till information enligt	4. rätten till information enligt
15 § denna lag och 26 § person-	15 § denna lag och artikel 15 i EU:s
uppgiftslagen (1998:204),	dataskyddsförordning,
8. vilken myndighet som har	5. vilken myndighet som har
tillsyn över att denna lag följs,	tillsyn över att denna lag följs, och
9. rätten till skadestånd, och	6. rätten till skadestånd.

10.rätten att få uppgifter utplå-

nade.

Denna lag träder i kraft den 1 januari 2019.

334

Bilaga 7	Förteckning över remissinstanserna ..............................	328	Prop. 2017/18:298
Bilaga 8	Lagrådsremissens lagförslag..........................................	329
Bilaga 9	Lagrådets yttrande .........................................................	336
Utdrag ur protokoll vid regeringssammanträde den 6 september
	2018 ....................................................................................	337

Behandling av personuppgifter för	Prop.
forskningsändamål	2017/18:298

1	Förslag till riksdagsbeslut .................................................................		8
2	Lagtext	..............................................................................................	9
	2.1	Förslag till lag om ändring i lagen (1999:353) om
		rättspsykiatriskt forskningsregister.....................................	9

		kompletterande bestämmelser till EU:s
		dataskyddsförordning .......................................................	16
3	Ärendet och dess beredning ............................................................		17
4	Ändringar i EU-rätten medför behov av ändringar i den
	svenska regleringen av behandling av personuppgifter ..................		18
	4.1	Dataskyddsdirektivet har ersatts av en
		dataskyddsförordning .......................................................	18

	personuppgiftslagen?........................................................	22
4.6	Likheter och skillnader mellan
	dataskyddsförordningen och dataskyddsdirektivet...........	24

		svensk reglering ska införas på lag- eller
		förordningsnivå ................................................................		27
5	Vilka är forskningsutförare? ...........................................................			28
6	I dataskyddsförordningen används begreppet
	forskningsändamål		..........................................................................	29
7	De rättsliga grunderna för behandling av personuppgifter för
	forskningsändamål		..........................................................................	29
	7.1	Tre rättsliga grunder är främst aktuella ............................		30
		7.1.1	Samtycke .........................................................	30
		7.1.2	Uppgift av allmänt intresse..............................	32
		7.1.3	Intresseavvägning............................................	38

åberopa olika rättsliga grunder .........................................		39
7.2.1	Samtycke .........................................................	39

7.2.2	Uppgift av allmänt intresse.............................	43
7.2.3	Intresseavvägning ...........................................	56

		nationell rätt om artikel 6.1 .............................................	58
8	Principer som måste följas vid behandling av personuppgifter
	för forskningsändamål....................................................................		59
	8.1	Grundläggande principer för
		personuppgiftsbehandling................................................	59
	8.2	När och hur kan redan insamlade uppgifter
		behandlas ytterligare för forskningsändamål? .................	60

	dataskyddsförordningen?.................................................	62
9.2	Skyddsåtgärder bör föreskrivas i svensk rätt ...................	65

personuppgifter bör pseudonymiseras eller omfattas
av andra lämpliga skyddsåtgärder ...................................	70

	ska inte etikprövas ...........................................................		78
	9.6.1	Etikprövning är en skyddsåtgärd vid
		behandling av känsliga personuppgifter
		och personuppgifter om lagöverträdelser .......	78
	9.6.2	Tillämpningsområdet för kravet på
		etikprövning bör inte utvidgas ........................	80
10 Det behövs kompletterande nationella bestämmelser för
behandling av känsliga personuppgifter.........................................			83
10.1	Förbudet mot behandling av känsliga
	personuppgifter utvidgas .................................................		83

	känsliga personuppgifter för forskningsändamål.............	83
10.3	Etikprövning ska vara en skyddsåtgärd vid
	behandling av känsliga personuppgifter för
	forskningsändamål...........................................................	84

	behandling av känsliga personuppgifter vid
	forskning inom ramen för kliniska
	läkemedelsprövningar......................................................	91
11 Det behövs kompletterande nationella bestämmelser om
skyddsåtgärder för behandling av personuppgifter om
lagöverträdelser..............................................................................		96
11.1	Dataskyddsförordningen möjliggör en
	kompletterande nationell reglering för
	personuppgifter om lagöverträdelser ...............................	96

Prop. 2017/18:298	11.2	Etikprövning ska vara en skyddsåtgärd vid
		behandling av personuppgifter om lagöverträdelser
		för forskningsändamål......................................................		97
	12 Det krävs följdändringar i bestämmelserna om
	etikprövningslagens tillämpningsområde......................................			101
	13 Bör det föreskrivas undantag från vissa av de rättigheter som
	den registrerade har? .....................................................................			103
	13.1	Dataskyddsförordningen möjliggör undantag från
		vissa rättigheter ..............................................................		103
	13.2	Undantaget från informationsskyldigheten när
		personuppgifter lämnas ut för forskningsändamål
		följer direkt av dataskyddsförordningen och svensk
		rätt ..................................................................................		105
	13.3	Bör det föreskrivas undantag från rätten till tillgång? ....		115
		13.3.1	Om innehållet i rättigheten ............................	115
		13.3.2	Det bör inte föreskrivas undantag från
			rätten till tillgång ...........................................	116

begränsning av behandling? ...........................................		123
13.5.1	Om innehållet i rättigheten ............................	123

invändningar? .................................................................		127
13.6.1	Om innehållet i rättigheten ............................	127

	etikprövningsnämndernas verksamhet ...........................	134
15 Vilka behov finns det av sektorslagstiftning på
forskningsområdet?.......................................................................		135
15.1	Det behövs för närvarande inte någon
	forskningsdatalag ...........................................................	135

strid med personuppgiftsregleringen ..............................	140
16 Anpassningar av vissa registerförfattningar..................................	144

16.1.1	Innehållet i lagen och
	Forskningsdatautredningens uppdrag............	144

16.1.2	Lagen är en tillåten nationell	Prop. 2017/18:298
	kompletterande reglering till
	dataskyddsförordningen................................	145

	dataskyddsförordningen och
	dataskyddslagen............................................	149
16.1.6	Ändamålsbestämmelserna bör behållas........	151

	personuppgifter som får finnas i registret .....	153
16.1.8	Andra myndigheters uppgiftsskyldighet
	bör behållas...................................................	156

	ska lämnas ska anpassas ...............................	157
16.1.11	Bestämmelsen om utlämnande av
	uppgifter bör behållas ...................................	159
16.1.12	Upplysningen om sekretess bör behållas ......	160

och miljö betyder för människors hälsa ska anpassas
till dataskyddsförordningen ...........................................		162
16.2.1	Innehållet i lagen ..........................................	162

	behållas.........................................................	166
16.2.4	Bestämmelsen om lagens
	tillämpningsområde bör behållas..................	166

	personuppgiftsansvariga bör behållas...........	171
16.2.8	Ändamålsbestämmelserna bör behållas........	172

	personuppgifter som får finnas i registret .....	174
16.2.10 Begränsningen av intern elektronisk
	åtkomst bör behållas .....................................	175
16.2.11	Förbudet mot direktåtkomst bör behållas .....	176
16.2.12	Bestämmelsen om gallring ska anpassas ......	177	5

		16.2.13 Bestämmelsen om rättelse ska upphävas.......	178
		16.2.14 Bestämmelsen om samtycke och
		information ska anpassas...............................	179
		16.2.15 Bestämmelsen om information om
		utlämnande till forskning bör behållas ..........	181
		16.2.16 Bestämmelsen om utplåning ska upphävas ...	182
		16.2.17 Bestämmelsen om skadestånd ska
		upphävas........................................................	183
17	Ikraftträdande- och övergångsbestämmelser.................................		184
	17.1	Lagändringarna ska träda i kraft den 1 januari 2019 ......	184
	17.2	Övergångsbestämmelser behövs inte .............................	186
18	Konsekvenser................................................................................		187
	18.1	Övergripande konsekvenser ...........................................	187
	18.2	Konsekvenser för den personliga integriteten ................	188
	18.3	Ekonomiska konsekvenser och konsekvenser i övrigt ...	188
19	Författningskommentar.................................................................		189

vissa register för forskning om vad arv och miljö
betyder för människors hälsa..........................................	192


2.3	Förslag till lag om ändring i offentlighets- och		Prop. 2017/18:298
	sekretesslagen (2009:400)
Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen
(2009:400) ska ha följande lydelse.
Nuvarande lydelse		Föreslagen lydelse