Prop. 2023/24:147

2

Innehållsförteckning

4.3Myndighetens nuvarande behandling av

7.8Behandling av personuppgifter som rör

7.13Begränsning av möjligheterna att identifiera den

Prop. 2023/24:147

6

Personuppgiftsansvar

5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål för behandling av personuppgifter

6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för

1.undersökningar om vårdens och omsorgens funktionssätt,

2.undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg,

3.utvärderingar av information om vård och omsorg som lämnas till enskilda, eller

4.utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg.

Inom ramen för sådana undersökningar eller utvärderingar får personuppgifter behandlas även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning, om sökningen sker för något av ändamålen i 6 §.

Behandling av personuppgifter i projekt

10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.

11 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt.

Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske inom ramen för ett projekt.

12 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa

1.syftet med projektet,

2.vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som ska analyseras i projektet, och

3.när projektet senast ska vara avslutat.

Det fastställda syftet får inte ändras.

Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats.

Medgivande till behandling av personuppgifter

13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.

Om ett medgivande återkallas, får behandlingen dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.

Begränsning av möjligheterna att identifiera den registrerade

14 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1. Denna lag träder i kraft den 1 januari 2025.

Prop. 2023/24:147

7

5.2EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen.

Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock, t.ex. ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). Enligt artikel 2.2 d gäller EU:s dataskyddsförordning inte heller för bl.a. sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).

För att en behandling av personuppgifter ska vara tillåten, krävs att någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel

6.1e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Av artikel 5 framgår ett antal grundläggande principer som gäller för all behandling av personuppgifter. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter, kan dock personuppgifter lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den

Prop. 2023/24:147

13

16

5.6Barnkonventionen

FN:s konvention om barnets rättigheter (barnkonventionen), gäller genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättig-

18

I de flesta fall är det dock nödvändigt för myndigheten att behandla personuppgifter för att kunna utföra de undersökningar och utvärderingar

som myndigheten enligt förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen, har till uppgift att utföra. Med hjälp av personuppgifter kan myndigheten inhämta mer fördjupad kunskap än genom styrdokument, rapporter och avidentifierad statistik. Det innebär att andra, mer fördjupande och användbara resultat kan presenteras, att mer precisa slutsatser kan dras och att mer konkreta rekommendationer kan lämnas i myndighetens rapporter.

Personuppgiftsbehandling är också nödvändig för att myndigheten ska kunna säkra kvaliteten i sina analyser. Om en annan aktör utför bearbetningen av uppgifterna, som bl.a. är fallet när Socialstyrelsen eller Statistiska centralbyrån (SCB) avidentifierar uppgifter och sammanställer statistik åt Myndigheten för vård- och omsorgsanalys (se avsnitt 4.3), är det svårt för myndigheten själv att kvalitetssäkra statistiken. Regeringen instämmer i vad SBU för fram om att myndigheter som samlar in data som t.ex. Socialstyrelsen och Statistiska centralbyrån (SCB) besitter viktig kunskap angående rådatan och att de har en avsevärd förförståelse för kvaliteten på denna. I analyser som bygger på stora mängder datamaterial är det dock svårt för Myndigheten för vård- och omsorgsanalys att få en tillräcklig kännedom och förståelse för datamaterialet, resultaten, den osäkerhet som kan finnas i olika moment och hur analysen har genomförts om en annan aktör bearbetar uppgifterna. En sådan kännedom och förståelse är av betydande vikt för att myndigheten ska kunna utföra analyser av god kvalitet. Om Myndigheten för vård- och omsorgsanalys enbart förlitar sig på sammanställningar och bearbetningar som andra aktörer gör, i stället för att få tillgång till grundmaterialet, begränsas vidare myndighetens möjligheter att utföra sitt uppdrag på ett oberoende sätt.

Regeringen anser att för att Myndigheten för vård- och omsorgsanalys ska kunna utföra sitt uppdrag på bästa sätt och med bästa kvalitet, bör myndigheten också själv få möjlighet att bearbeta och kvalitetssäkra statistiken i samband med de analyser som myndigheten utför.

Vilka uppgifter behöver myndigheten behandla?

Myndigheten för vård- och omsorgsanalys har ett brett uppdrag och det är därför svårt att närmare fastställa vilka personuppgifter myndigheten behöver behandla innan en projektplan har tagits fram i varje enskilt fall. Generellt kan det dock sägas att myndigheten många gånger behöver behandla demografiska uppgifter om t.ex. ålder, kön, bostad och familj för att t.ex. kunna belysa skillnader mellan olika grupper och förstå om en viss statlig satsning varit effektiv. Av samma skäl finns det behov av att behandla socioekonomiska uppgifter om t.ex. utbildning, ekonomi och sysselsättning. Vidare kan uppgifter om socialförsäkringsförmåner behövas, t.ex. för att kunna se samband mellan vård, omsorg och socialförsäkring. Även kontaktuppgifter behöver i vissa fall behandlas för att kunna kontakta enskilda i samband med intervjuer eller enkätundersökningar. I vissa fall behöver även personnummer behandlas. Som anges i avsnitt 4.3 behandlas dessa typer av personuppgifter redan i dag i viss utsträckning. Myndigheten har också behov av att behandla känsliga personuppgifter, t.ex. uppgifter om hälsa, vilket beskrivs närmare i avsnitt

7.7.Som anges i avsnitt 4.3 behandlas känsliga personuppgifter i dag endast efter inhämtande av ett uttryckligt samtycke från den enskilde.

Prop. 2023/24:147

19

Regeringskansliet. En särskild utredare ska också analysera regelverket för hälsodataregister för att åstadkomma bättre förutsättningar för uppföljning av hälso- och sjukvården (dir. 2023:48). Det kommer dock alltid att finnas vissa uppgifter som inte går att inkludera i registeruppföljningen eller vissa aspekter av vården och omsorgen som inte kan fångas på ett tillfredställande sätt utan att journaler och personakter studeras. Genom att samla in journaler och personakter kan Myndigheten för vård- och omsorgsanalys alltså bidra till att skapa kunskap om vården och omsorgen.

Myndigheten för vård- och omsorganalys har vid några tillfällen anlitat forskare för att studera vissa frågor baserat på dokumentation från omsorgen i enskilda ärenden (se Ljuset på skillnader – En studie om omotiverade skillnader i LSS-verksamhet, äldreomsorg och socialpsykiatri [rapport 2022:6] och Lika läge för alla? – Om omotiverade skillnader inom den sociala barn- och ungdomsvården [rapport 2018:10]). Samtidigt bedömer myndigheten att arbetet hade kunnat utföras på ett mer tids- och resurseffektivt sätt om myndigheten själv hade utfört det.

Personuppgifter som har samlats in av andra aktörer och som myndigheten behöver behandla finns också i exempelvis artiklar, rapporter, litteratur och vissa verksamhetssystem hos huvudmän och utförare inom vården och omsorgen.

Myndigheten har i många fall endast behov av personuppgifter som inte är direkt hänförliga till enskilda, t.ex. i form av uppgifter från register som är kopplade till löpnummer. Myndigheten kan dock i vissa fall behöva direkta identifikatorer, som personnummer eller kontaktuppgifter. Det behövs bl.a. för att möjliggöra sambearbetning av uppgifter som inhämtas från olika källor. Behov av sambearbetning finns t.ex. för att analysera uppgifter om utbildningsnivå från Statistiska centralbyrån (SCB) tillsammans med uppgifter om vårdåtgärd från Socialstyrelsen, i syfte att belysa eventuella skillnader i vården mellan patienter med olika utbildningsnivå. Direkt hänförliga uppgifter kan också behövas i de fall myndigheten behöver ha kontakter direkt med enskilda, t.ex. vid intervju- eller enkätundersökningar. Dessutom kan det i journaler från vården och personakter från omsorgen finnas olika typer av uppgifter som är svåra att förutse på förhand, däribland personuppgifter som är direkt hänförliga till enskilda.

Det behövs en särskild reglering av behandling av personuppgifter vid myndigheten

I dag behandlas personuppgifter i myndighetens kärnverksamhet med stöd av de generella reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen.

Myndigheten för vård- och omsorgsanalys bedöms ha begränsade möjligheter att behandla personuppgifter, särskilt känsliga personuppgifter, på det sätt som myndigheten har behov av med stöd av den generella dataskyddsregleringen. Det bedöms inte heller stå helt klart hur myndig-

Prop. 2023/24:147

21

ordningar. Skyddet för personuppgifter vid Myndigheten för vård- och omsorgsanalys bör som utgångspunkt inte vara svagare än hos de myndigheter som kan komma att lämna ut uppgifter till myndigheten. Integritetsskyddsmyndigheten har gjort bedömningen att verksamheter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd för sin behandling i nationell rätt än vad som föreskrivs i dataskyddslagen (se t.ex. Datainspektionens remissyttranden över SOU 2017:66 och Ds 2017:33).

Mot bakgrund av ovanstående anser regeringen att en särskild reglering av behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys bör införas. Utgångspunkten för den särskilda regleringen bör vara att myndigheten ges ett tydligt stöd för att behandla personuppgifter i den utsträckning som behövs för att den på ett så ändamålsenligt sätt som möjligt ska kunna fullgöra sitt uppdrag enligt instruktionen. Samtidigt bör regleringen innehålla lämpliga skyddsåtgärder för att åstadkomma ett starkt skydd för den personliga integriteten.

En registerförfattning som på ett tydligt sätt anger förutsättningarna för myndighetens personuppgiftsbehandling bör också kunna underlätta för de myndigheter som lämnar ut uppgifter till Myndigheten för vård- och omsorgsanalys att göra de rättsliga bedömningar som behövs innan uppgifter lämnas ut till myndigheten. En registerförfattning skapar dessutom tydlighet och förutsägbarhet för de registrerade.

Särskilda bestämmelser är tillåtna enligt EU:s dataskyddsförordning

EU:s dataskyddsförordning är direkt tillämplig men förutsätter och tillåter i vissa fall nationella bestämmelser som kompletterar förordningen genom specificeringar eller undantag. Enligt artikel 6.2 i EU:s dataskyddsförordning får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e. Enligt artikel 6.3 i EU:s dataskyddsförordning ska den rättsliga grunden för behandlingen vara fastställd i EU-rätten eller den nationella rätten. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av EU:s dataskyddsförordning. Den kan bl.a. ange de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Regleringen ska dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

All den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra i sin verksamhet och som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg bedöms kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (se avsnitt 7.6.1). Det är därför tillåtet enligt EU:s dataskyddsförordning

Prop. 2023/24:147

23

24

Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande. Enligt förarbetena bör flera omständigheter vägas in vid denna bedömning. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan mängden uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen (prop. 2009/10:80 s. 183 och 184). Ändamålet med Myndigheten för vård- och omsorgsanalys behandlingar kan inte bedömas som särskilt integritetskränkande, eftersom det handlar om att göra undersökningar och utvärderingar på en övergripande nivå, som i förlängningen syftar till att bidra till förbättringar inom vård och omsorg. Myndigheten fattar inte beslut eller gör uttalanden eller undersökningar i förhållande till enskilda personer. Som framgår ovan har Myndigheten för vård- och omsorgsanalys dock behov av en relativt omfattande behandling av personuppgifter, vilket inkluderar behov

26

Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Stockholms kommun framför att uttrycket omsorg bör bytas ut mot uttrycket socialtjänst. Myndigheten för vård- och omsorgsanalys framför att det bör förtydligas att myndigheten ska tillämpa de allmänna dataskyddsreglerna, och inte registerlagen, vid behandling av personuppgifter med stöd av samtycke.

Skälen för regeringens förslag

Lagen bör gälla i myndighetens analysverksamhet

Tillämpningsområdet för den föreslagna lagen bör utgå från myndighetens analysverksamhet, dvs. dess kärnverksamhet. Utgångspunkten bör därmed vara myndighetens uppdrag som det anges i 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen. Lagen bör således vara tillämplig i den del av myndighetens verksamhet som består i att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Stockholms kommun framför att uttrycket omsorg bör bytas ut till socialtjänst mot bakgrund av att socialtjänst, men inte omsorg, är definierat i Socialstyrelsens termbank. Eftersom uttrycket omsorg används i myndighetens instruktion bedömer regeringen att det är lämpligt att det används även här. Myndighetens uppdrag beskrivs närmare i avsnitt 4.1.

Personuppgiftsbehandling i den interna administrationen bör inte omfattas

Myndigheten behandlar också personuppgifter i den interna administrationen, exempelvis vid hantering av ekonomi-, personal- och lokalfrågor. Behandlingen av personuppgifter i den administrativa verksamheten har dock inte någon närmare koppling till fullgörandet av de uppgifter som myndigheten har inom ramen för sin kärnverksamhet. Behandlingen av personuppgifter inom den administrativa verksamheten skiljer sig inte heller nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag. Myndighetens behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av den lag som nu föreslås. I stället bör den allmänna dataskyddsregleringen även fortsättningsvis tillämpas inom den verksamheten.

Personuppgiftsbehandling som grundar sig på samtycke omfattas inte

Enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här be-

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Lunds universitet anser att grunderna för bedömningen av vad som avses med tillämpliga delar bör återspeglas i lagtexten. Sveriges Kommuner och Regioner (SKR) anser att det av bestämmelsen bör framgå att uppgifter om avlidna får behandlas för de ändamål som avses i lagen.

Skälen för regeringens förslag: EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer och medlemsstaterna får i nationell lagstiftning fastställa vad som ska gälla för behandlingen av sådana uppgifter (skäl 27 i EU:s dataskyddsförordning). Det finns flera exempel på registerförfattningar vars tillämpningsområde har utsträckts på det sättet, t.ex. 1 kap. 1 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och 114 kap. 5 § SFB.

Myndigheten för vård- och omsorgsanalys har behov av att behandla vissa uppgifter om avlidna personer, exempelvis för att kunna analysera uppgifter om livslängd i förhållande till olika diagnoser eller åtgärder. Regeringen har i förarbetena till patientdatalagen (2008:355) konstaterat att det i hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna patienter samt att dessa uppgifter kan vara integritetskänsliga och därför ska omfattas av patientdatalagens bestämmelser i tillämpliga delar (prop. 2007/08:126 s. 52). Eftersom Myndigheten för vård- och omsorgsanalys behöver behandla vissa uppgifter som ursprungligen kommer från hälso- och sjukvården anser regeringen att det finns det skäl att här göra samma bedömning. För efterlevande kan det också vara betydelsefullt att uppgifter om avlidna skyddas.

Myndigheten för vård- och omsorgsanalys har dessutom behov av att behandla ett stort antal uppgifter som inte är direkt hänförliga till en enskild, vilket gör det svårt att särskilja uppgifter om avlidna från uppgifter om levande personer. Att låta samtliga uppgifter om personer omfattas av samma regler så långt som möjligt framstår därför även som praktiskt motiverat.

För att få en enhetlig och heltäckande reglering bör inte bara den nu föreslagna lagen gälla behandling av uppgifter om avlidna personer (jfr prop. 2019/20:106 s. 32 och prop. 2023/24:29 s. 24 och 25). Även EU:s dataskyddsförordning och dataskyddslagen bör gälla vid behandling av uppgifter om avlidna inom den föreslagna lagens tillämpningsområde. Dessutom bör föreskrifter som meddelas i anslutning till den nu föreslagna lagen och dataskyddslagen gälla vid behandling av uppgifter om avlidna inom den nya lagens tillämpningsområde.

Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt kan av naturliga skäl inte gälla för uppgifter om avlidna personer. Någon möjlighet för efterlevande eller andra att göra gällande rättigheter som tillkom den avlidne när denne var i livet finns inte (jfr prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätt till information, rätt till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bestämmelser som avser bl.a. ändamål för behandling och de principer som följer av artikel 5 i dataskyddsförordningen. Den lagtekniska lösningen är i linje med den som används i t.ex. patientdatalagen, lagen om Rättsmedicinalverkets behandling av personuppgifter och i

Prop. 2023/24:147

29

30

När den registrerade invänder mot behandling av personuppgifter måste den personuppgiftsansvarige kunna visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen (artikel 21.1). Om det saknas berättigade skäl för behandlingen som väger tyngre, har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).

Det är möjligt att begränsa rätten att göra invändningar

Medlemsstaterna har enligt artikel 23.1 i EU:s dataskyddsförordning möjlighet att genom lagstiftningsåtgärder begränsa vissa av de skyldigheter och rättigheter som följer av förordningen, däribland rätten att göra invändningar mot behandlingen av personuppgifter. En sådan begränsning får göras om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen måste vidare utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. förebyggande av brott, andra av unionens eller en medlemsstats viktiga mål av generellt allmänt

intresse, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska innehålla specifika bestämmelser när så är relevant avseende bl.a. ändamålen med behandlingen, kategorierna av personuppgifter, specificeringen av den personuppgiftsansvarige, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål (artikel 23.2 i EU:s dataskyddsförordning).

Rätten att göra invändningar har begränsats i ett flertal registerförfattningar, t.ex. 3 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, 4 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 114 kap. 6 § SFB. Det har i dessa fall ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter, oberoende av den registrerades inställning. Regeringen har vidare i vissa fall uttryckt att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet och att en prövning i enskilda fall därför inte skulle vara motiverad (t.ex. prop. 2018/19:151 s. 17 och 18).

Det finns skäl att begränsa rätten att göra invändningar

Behandling av personuppgifter i Myndigheten för vård- och omsorgsanalys analysverksamhet bedöms ha stöd i den rättsliga grunden allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (se avsnitt 7.6.1). Den registrerade har alltså enligt artikel 21.1 i EU:s dataskyddsförordning rätt att invända mot myndighetens behandling.

Myndighetens arbete med att följa upp och utvärdera förhållanden inom hälso- och sjukvården, tandvården och omsorgen ur ett patient-, brukar- och medborgarperspektiv ger sådant underlag som regering, regioner och kommuner har behov av och kan använda som grund för att vidta lämpliga åtgärder i fråga om vården och omsorgen. På så sätt bedöms myndighetens arbete bidra till att säkerställa intressen inom folkhälsa och social trygghet. Det bör vidare kunna anses utgöra ett generellt allmänt intresse att bedriva sådan uppföljning och utvärdering som Myndigheten för vård- och omsorgsanalys har i uppgift att göra.

En del av de personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla finns hos andra aktörer, t.ex. andra myndigheter. Myndigheten för vård- och omsorgsanalys behöver för sitt analysarbete många gånger endast ta del av personuppgifter som inte direkt kan hänföras till registrerade. Som huvudregel ska myndigheten därmed samla in uppgifterna utan koppling till personnummer eller annan liknande identitetsbeteckning, i enlighet med uppgiftsminimeringsprincipen i artikel 5.1 c i EU:s dataskyddsförordning. För att hantera en invändning mot sådana uppgifter som Myndigheten för vård- och omsorgsanalys inte direkt kan hänföra till den registrerade skulle alltså myndigheten först behöva hitta dessa uppgifter. Enligt artikel 11 i EU:s dataskyddsförordning ska en personuppgiftsansvarig inte vara tvungen att bevara, förvärva eller behandla ytterligare information enbart i syfte att identifiera den registrerade för att följa dataskyddsförordningen. Om det innebär en oproportionerlig ansträngning slipper myndigheten vidare kravet på att informera den registrerade om behandlingen av hans eller hennes person-

Prop. 2023/24:147

31

och uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i EU:s dataskyddsförordning, dvs. på grundval av att uppgiften eller uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 och 54).

En behandling enligt artikel 6.1 e är bara tillåten om den också är nödvändig. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EU-domstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). En bedömning av om nödvändighetskravet är uppfyllt måste göras inför varje behandling.

De grunder för behandlingen som avses i artikel 6.1 e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket i EU:s dataskyddsförordning). Med detta avses, enligt skäl 41 i EU:s dataskyddsförordning, inte att den rättsliga grunden nödvändigtvis måste fastställas i lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). I 2 kap. 2 § 1 dataskyddslagen finns en upplysningsbestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 i EU:s dataskyddsförordning framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (prop. 2017/18:105

s.51).

Myndigheten för vård- och omsorgsanalys uppgifter regleras i dess

instruktion. Uppgifterna är således fastställda i förordning. För de särskilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad en undersökning eller utvärdering ska omfatta. Myndighetens verksamhet omfattas också av allmän förvaltningsrättslig reglering, som förvaltningslagen (2017:900) och myndighetsförordningen. Den nu föreslagna lagen kommer dessutom att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Kravet på att grunden för de behandlingar som myndigheten behöver utföra ska vara

Prop. 2023/24:147

35

statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser.

Promemorians förslag överensstämmer i sak med regeringens. I promemorian föreslås dock inte att det ska upplysas om att personuppgifter får behandlas även för att bedriva omvärldsbevakning och genomföra internationella jämförelser.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Sveriges advokatsamfund anser att de yttre ramarna för lagförslagets tillämpningsområde bör vara mer konkretiserade. Etikprövningsmyndigheten saknar bestämmelser om bl.a. omvärldsbevakning och framför att ändamålen inte fullt ut tar sikte på verksamheten hos Myndigheten för vård- och omsorgsanalys enligt instruktionen. Kammarrätten i Stockholm noterar att ändamålsbestämmelsen i 6 § korresponderar med sekretessbestämmelsen i 7 § offentlighets- och sekretessförordningen (2009:641) och framför att detta upplägg kan leda till frågor om vad som utgör tillåten behandling t.ex. vad gäller omvärldsbevakning. Myndigheten för vård- och omsorgsanalys, Kammarrätten i Stockholm och Lunds universitet föreslår att paragrafens andra stycke omformuleras så att det klart framgår att personuppgifter även får användas för att framställa statistik.

Skälen för regeringens förslag

Ett fastställt ändamål är en grundläggande förutsättning för behandlingen

Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Denna princip kallas för principen om ändamålsbegränsning. Möjligheten att senare behandla personuppgifterna för andra ändamål är begränsad. Den registrerade skyddas därigenom mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. I skäl 39 i EU:s dataskyddsförordning klargörs att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Utifrån ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet (artiklarna

13.1c, 14.1 c och 15.1 a). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32.1). Ändamålet bestäms av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artikel 4.7). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a).

I den nu föreslagna lagen bedöms det vara relevant att införa ändamålsbestämmelser för att på ett tydligt sätt ange de ramar inom vilka behandling av personuppgifter är tillåten. De föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser som anpassar tillämpningen av EU:s dataskyddsförordning och säkerställer en laglig och rättvis behandling. Därmed är de tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

Prop. 2023/24:147

37

Prop. 2023/24:147

38

De primära ändamålen bör avse sådana undersökningar och utvärderingar som myndigheten har i uppdrag att göra

I avsnitt 6 beskrivs Myndigheten för vård- och omsorgsanalys behov av att behandla personuppgifter för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Där framgår att myndigheten har behov av att i olika sammanhang behandla ett relativt stort antal personuppgifter på olika sätt. Exakt vilka kategorier av personuppgifter som myndigheten behöver behandla, vilka registrerade som berörs, hur uppgifterna behöver behandlas och för vilka konkreta ändamål beror på de specifika förutsättningarna i varje projekt. Gemensamt för alla behandlingar av personuppgifter i myndighetens kärnverksamhet är dock att de ska ske inom ramen för det uppdrag som regleras i instruktionen. Regeringen bedömer därför att det är lämpligt att myndighetens instruktionsreglerade uppdrag utgör utgångspunkt för utformningen av den primära ändamålsbestämmelsen i lagen.

Enligt 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, gäller sekretess för uppgifter om enskildas personliga och ekonomiska förhållanden i Myndigheten för vård- och omsorgsanalys undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Sekretessbestämmelsen är utformad för att möjliggöra för myndigheten att få tillgång till sådana uppgifter som den behöver för att följa upp och analysera verksamheter inom sitt ansvarsområde.

Det bedöms vara lämpligt att formulera bestämmelsen om de primära ändamålen på liknande sätt som bestämmelsen i 7 § OSF eftersom sekretessbestämmelsen på ett överskådligt sätt ringar in de ändamål för vilka myndigheten behöver behandla uppgifter. En sådan ändamålsbestämmelse bedöms täcka in alla behandlingar av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver göra för att utföra sitt kärnuppdrag.

Uttrycken undersökningar och utvärderingar i den föreslagna lagen bör förstås på samma sätt som i 7 § OSF. Det finns dock ingen definition av dessa uttryck i OSF. Enligt Svensk ordbok utgiven av Svenska Akademien definieras undersöka som att noggrant studera för att skaffa fram fakta om en viss, vanligen sammansatt företeelse i fråga om dess uppbyggnad, funktionssätt etc. Utvärdera definieras i samma ordbok som att noggrant bedöma värdet av (resultatet av) ny verksamhet eller dylikt.

Genom att utforma den primära ändamålsbestämmelsen utifrån omfattningen av den sekretess som gäller i myndighetens analysverksamhet säkerställs dessutom ett starkt sekretesskydd för samtliga personuppgifter som får behandlas enligt den lag som nu föreslås.

Mot bakgrund av hur 7 § OSF är utformad bedömer regeringen att det är lämpligt att i lagen ange att Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg.

Den primära ändamålsbestämmelse som nu föreslås bedöms utgöra en lämplig begränsning av myndighetens personuppgiftsbehandling, givet att det med hänsyn till myndighetens breda uppdrag inte är möjligt att på förhand i lag uttömmande ange konkreta ändamål för myndighetens personuppgiftsbehandling. Regeringen bedömer att det inte är lämpligt att ytterligare konkretisera ramarna för lagförslagets tillämpningsområde som Sveriges advokatsamfund förordar. Myndigheten för vård- och omsorgsanalys bör dock i de flesta fall, på samma sätt som exempelvis Rättsmedicinalverket och Utbetalningsmyndigheten, formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet för att leva upp till kraven i EU:s dataskyddsförordning på särskilda, uttryckligt angivna och berättigade ändamål (jfr prop. 2019/20:106 s. 39 och prop. 2022/23:34 s. 124).

Det bör införas en upplysning om att personuppgifter får behandlas för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser

Myndigheten för vård- och omsorgsanalys ansvarar inte för framställning av officiell statistik enligt lagen (2001:99) och förordningen (2001:100) om den officiella statistiken. För att myndigheten ska kunna genomföra undersökningar och uppföljningar i enlighet med sin instruktion behöver den dock bearbeta information på olika sätt, bl.a. genom att framställa statistik.

Enligt skäl 162 i EU:s dataskyddsförordning avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Det statistiska resultatet kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen av personuppgifter inte består av personuppgifter, utan av aggregerade uppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Regeringen har uttalat att med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information (prop. 2017/18:107 s. 19). Även resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns ofta statistik. Regeringen har också uttryckt att personuppgifter, med stöd av artikel

6.1e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag (prop. 2017/18:105 s. 122).

Myndigheten för vård- och omsorgsanalys behöver framställa viss statistik för att säkerställa att resultaten av undersökningar och utvärderingar blir relevanta och tillräckligt säkra. I flera fall behöver statistiska metoder användas för insamling, bearbetning, redovisning och analys. Myndigheten bedriver allmänt utredande verksamhet i fråga om förhållanden i hälso- och sjukvården, tandvården och omsorgen. Det förekommer alltså inte myndighetsutövning och inte heller någon annan handläggning eller något annat beslutsfattande som rör enskilda personer eller organ. Myndighetens verksamhet är oberoende och resultaten av

Prop. 2023/24:147

39

behandla uppgifter om berörda patient- och brukargrupper eller relevanta uppgifter om det specifika vårdområdet i fråga. För att myndighetens analyser ska bli tillräckligt relevanta krävs ofta uppgifter på så detaljerad nivå att det är fråga om personuppgifter. Uppgifterna kan samlas in på olika sätt, exempelvis från register hos Socialstyrelsen, från patientjournaler eller direkt från de enskilda vid intervju- eller enkätstudier. Myndigheten behöver dock inte alltid behandla direkt hänförliga personuppgifter.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om etniskt ursprung

I vissa fall finns det behov av att beakta uppgifter om medborgarskap eller ursprungsland i myndighetens analyser för att kunna se om vården och omsorgen skiljer sig åt mellan olika grupper utifrån sådana faktorer. En isolerad uppgift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. Skulle emellertid en sådan uppgift i det enskilda fallet avslöja etniskt ursprung faller den in under förbudet (jfr prop. 2009/10:85 s. 325). Det kan i vissa fall också vara relevant att beakta uppgifter om modersmål i analysarbetet, t.ex. för att studera om språkliga faktorer påverkar insatser eller resultat i vården och omsorgen. Även sådana uppgifter torde i vissa enskilda fall kunna betraktas som uppgifter om etniskt ursprung.

Uppgifter om medborgarskap eller ursprungsland skulle kunna ingå i beställningar av registeruppgifter från Statistiska centralbyrån (SCB) och därmed samlas in i samband med registerstudier. Uppgifter om modersmål skulle kunna framgå i samband med intervjuundersökningar med enskilda eller ingå i patientjournaler eller personakter från socialtjänsten som myndigheten begär ut.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om sexuell läggning och sexualliv

Myndigheten har ett visst behov av att analysera personuppgifter om sexuell läggning och sexualliv. Uppgifter om sådana förhållanden skulle kunna utläsas ur vissa uppgifter om hälsa, vård eller boendeförhållanden eller förhållanden till anhöriga som myndigheten behöver analysera. Om myndigheten exempelvis ska följa upp och analysera vården inom ett vårdområde som uteslutande eller nästintill uteslutande ges till personer av viss sexuell läggning, kan för analysen relevanta uppgifter om vården även avslöja uppgifter om sexuell läggning. Vilka som har tagit del av vård på ett visst vårdområde kan exempelvis framgå av uppgifter som myndigheten begär ut från Socialstyrelsens hälsodataregister. Oftast behöver myndigheten endast ta del av sådana uppgifter utan uppgift om namn eller personnummer till enskilda, men i kombination med andra uppgifter finns en risk för att enskilda trots det kan identifieras indirekt.

Även vid undersökningar av anhörigas roll i vården och omsorgen skulle det kunna bli relevant att hantera uppgifter om sexuell läggning, t.ex. i intervjuer eller enkätundersökningar vid behandling av namn eller kontaktuppgifter till den anhörige och uppgift om dennes relation till en patient eller brukare. Namnuppgifter om make, sambo eller partner har av EU-domstolen ansetts avslöja uppgifter om sexuell läggning (se punkt

Prop. 2023/24:147

45

Prop. 2023/24:147

46

117–128 i EU-domstolens dom i målet Vyriausioji tarnybines etikos komisija, C-184/20). Uppgifter om sexuell läggning kan också behöva behandlas för att studera om det finns skillnader i vården och omsorgen beroende på sexuell läggning.

Uppgifter om sexualliv kan exempelvis behöva behandlas inom ramen för analyser av vården i samband med könsbyte. Datalagskommittén, vars förslag låg till grund för den tidigare gällande personuppgiftslagen (1998:204), bedömde att en uppgift om att någon har bytt kön förmodligen är en uppgift som kan anses röra den personens hälsa eller sexualliv (SOU 1997:39 s. 371). Uppgifter om sexualliv skulle också kunna behöva behandlas i undersökningar eller uppföljningar om ungdomsmottagningars eller barnmorskemottagningars verksamhet. Uppgifter om vilka som har fått vård i samband med könsbyte eller vård vid ungdomsmottagningar och barnmorskemottagningar kan framgå av registerdata som finns hos bl.a. Socialstyrelsen. I det material som Myndigheten för vård- och omsorgsanalys behöver ta del av kan det finnas personuppgifter om sådana förhållanden, även om myndigheten oftast inte behöver ta del av direkt hänförliga uppgifter som namn eller personnummer.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om religiös eller filosofisk övertygelse

Även uppgifter om religiös eller filosofisk övertygelse kan i vissa fall behöva behandlas av myndigheten, t.ex. för att det ska vara möjligt att studera om vården eller omsorgen skiljer sig åt mellan olika grupper utifrån sådana faktorer. Sådana uppgifter kan också behöva behandlas i undersökningar om socialtjänstens verksamhet där barns och ungas uppväxtmiljö, vilket bl.a. kan innefatta kontakter med olika församlingar eller samfund, har haft betydelse för beslutade insatser. Uppgifterna kan exempelvis finnas i personakter från socialtjänsten som Myndigheten för vård- och omsorgsanalys behöver samla in. Även om behovet av att behandla sådana uppgifter bedöms uppstå vid få tillfällen, bör den lag som nu föreslås ta hänsyn till att det finns ett sådant behov vid myndigheten och att det finns ett värde att behandla sådana uppgifter när behovet uppstår.

Myndigheten bedöms ha behov av att inom sina analysområden behandla ovan nämnda personuppgifter för att göra studier om omotiverade skillnader

Ovan beskrivs flera skäl till att det är nödvändigt för Myndigheten för vård- och omsorgsanalys att behandla uppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse. Ett skäl som är gemensamt för behovet av alla de kategorierna av personuppgifter är att möjliggöra undersökningar och utvärderingar om omotiverade skillnader och jämlikhet i vården och omsorgen.

Enligt 3 kap. 1 § hälso- och sjukvårdslagen (2017:30) är målet för hälso- och sjukvården en god hälsa och en vård på lika villkor för hela befolkningen. Att vården ska vara på lika villkor innebär enligt förarbetena att det i princip bör vara möjligt för alla – oavsett var de bor i landet – att vid behov och på lika villkor få del av hälso- och sjukvårdens tjänster. Därav följer bl.a. att ekonomiska, sociala, språkliga, religiösa, kulturella och

geografiska förhållanden inte får hindra den enskilde att erhålla vård (prop. 1981/82:97 s. 27). Motsvarande mål gäller för tandvården (2 § tandvårdslagen [1985:125] och prop. 1984/85:79 s. 14 och 15). Ett av målen för socialtjänsten är enligt 1 kap. 1 § socialtjänstlagen (2001:453) att på demokratins och solidaritetens grund främja människornas jämlikhet i levnadsvillkor.

Det är viktigt att Myndigheten för vård- och omsorgsanalys kan följa upp om och hur dessa mål för vården och omsorgen uppfylls och synliggöra omotiverade skillnader på dessa områden. Ett av de analysområden som myndigheten har beslutat om i sin analysplan är en jämlik vård och omsorg utan omotiverade skillnader mellan befolknings- och behovsgrupper (Myndigheten för vård- och omsorgsanalys, Analysplan 2023, s. 46–58). Myndigheten har också publicerat flera rapporter som belyser frågor om jämlikhet i vården och omsorgen utifrån olika dimensioner (se t.ex. Myndigheten för vård- och omsorgsanalys, Ljuset på skillnader – En studie om omotiverade skillnader i LSS-verksamhet, äldreomsorg och socialpsykiatri [rapport 2022:6], Besök via nätet – Resursutnyttjande och jämlikhet kopplat till digitala vårdbesök [rapport 2022:1] och Omotiverat olika – Socioekonomiska och regionala skillnader i cancervården [rapport 2019:8]). För att myndigheten ska ges goda förutsättningar att följa upp och analysera frågor om jämlikhet i vården och omsorgen behöver myndigheten kunna behandla personuppgifter i fråga om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse.

Känsliga personuppgifter kan utgöra överskottsinformation

Myndigheten för vård- och omsorgsanalys har i vissa sammanhang behov av att behandla andra kategorier av känsliga personuppgifter än uppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv och religiös och filosofisk övertygelse. Det är dock svårt att förutse och därmed att konkretisera vilka kategorier av känsliga personuppgifter som det kan röra sig om. Detta gäller framför allt i fråga om s.k. journal- eller aktstudier som myndigheten har ett behov av att genomföra i vissa fall (se avsnitt 6). I sådana studier kan myndigheten behöva begära ut ett stort antal patientjournaler från vården eller personakter från socialtjänsten, vars innehåll är svårt att förutse fullt ut. Myndigheten kan känna till att det i sådant material finns uppgifter som är nödvändiga att beakta i en analys, såsom vissa uppgifter om hälsa. Men det kan förekomma att sådant material även innehåller annan information som egentligen inte är relevant för myndigheten att beakta i sina analyser men som behöver samlas in för att andra uppgifter i materialet ska kunna analyseras. För de aktörer som myndigheten skulle begära journalerna och akterna ifrån, riskerar det att bli en i princip omöjlig uppgift att gå igenom dessa för att ta bort sådana uppgifter som Myndigheten för vård- och omsorgsanalys inte behöver analysera. En sådan ordning framstår inte som proportionerlig i förhållande till den integritetsrisk den avser att reducera. Skälet till det är framför allt att de aktörer som myndigheten främst skulle begära journaler och akter ifrån skulle vara kommuner, regioner och privata utförare i vården och omsorgen, vilka redan har en hög arbetsbelastning. Om den utlämnande aktören skulle gå igenom samtliga journaler eller akter och ta bort känsliga

Prop. 2023/24:147

47

48

För att det ska vara möjligt för Myndigheten för vård- och omsorgsanalys att göra journal- eller aktstudier bedöms det därför vara nödvändigt att utlämnande aktörer kan lämna ut materialet i dess helhet och att myndigheten kan ta emot det. Eftersom myndigheten har till uppdrag att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg behöver myndigheten kunna ta del av sådana uppgifter som förekommer i de verksamheterna. Att begränsa vilka kategorier av känsliga personuppgifter som myndigheten får behandla skulle begränsa myndighetens möjligheter att följa upp och analysera verksamheter och förhållanden enligt myndighetens instruktion.

Även i vissa andra typer av studier skulle det kunna förekomma att myndigheten behöver samla in uppgifter som den inte har behov av att analysera för sina undersökningar och utvärderingar. Det handlar om enkät- och intervjustudier där det i vissa fall kan vara svårt att förutse vilka uppgifter som kommer in till myndigheten. Myndigheten kan och bör, i enlighet med uppgiftsminimeringsprincipen i artikel 5.1 c i EU:s dataskyddsförordning, vidta nödvändiga åtgärder för att se till att det inte samlas in fler uppgifter än nödvändigt. Det kan handla om att i enkäter och intervjuer tydligt ange vilka uppgifter som är av intresse för myndigheten och att noggrant överväga vilka intervjuer som behöver spelas in och vilka som i stället kan dokumenteras genom anteckningar, vilket innebär en lägre risk för att registrera överskottsinformation. Samtidigt är det svårt att fullt ut kunna förutse vilka uppgifter som kan komma in i exempelvis ett enkätsvar eller vad en enskild kommer att säga vid en intervju som spelas in. Även i sådana typer av studier är det alltså svårt att på förhand helt kunna konkretisera vilka personuppgifter myndigheten behöver behandla.

Det kan även vara svårt att förutse vilka kategorier av känsliga personuppgifter som finns i artiklar, rapporter och litteratur som myndigheten behöver ta del av, även om sådant material sällan innehåller känsliga personuppgifter.

Behandling av känsliga personuppgifter för ett viktigt allmänt intresse

Enligt artikel 9.2 g i EU:s dataskyddsförordning får känsliga person-upp- gifter behandlas om behandling är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Artikel 9.2 g i EU:s dataskyddsförordning är direkt tillämplig, men det är enligt artikel 6.2 och

6.3möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser även avseende känsliga personuppgifter.

Myndigheten för vård- och omsorgsanalys uppdrag regleras i nationell rätt genom instruktionen. I förarbetena till dataskyddslagen gör regeringen bedömningen att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 85). När Myndigheten för vård- och omsorgsanalys behandlar känsliga personuppgifter som är nödvändiga för att utföra de uppgifter som ålagts myndigheten i dess instruktion rör det sig således om en sådan behandling som avses i artikel 9.2 g i EU:s dataskyddsförordning, dvs. en behandling som är av ett viktigt allmänt intresse på grundval av nationell rätt.

I 3 kap. 3 och 4 §§ dataskyddslagen regleras myndigheters behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Där framgår att känsliga personuppgifter, med stöd av artikel 9.2 g i EU:s dataskyddsförordning, får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1), om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2) eller, i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

I vissa fall kan myndigheten behandla personuppgifter enligt 3 kap. 3 § första stycket 1 dataskyddslagen, för att uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, exempelvis enligt offentlighets- och sekretesslagen.

Myndigheten bör däremot inte kunna behandla känsliga personuppgifter i sin kärnverksamhet enligt 3 kap. 3 § första stycket 2 dataskyddslagen, som rör sådan behandling som är nödvändig för handläggningen av ett ärende. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas (prop. 2017/18:105 s. 87 och prop. 2016/17:180 s. 23–25 och 286). Myndigheten för vård- och omsorgsanalys uppgift är att undersöka allmänna förhållanden och att analysera och följa upp viss verksamhet på ett generellt plan. Myndighetens arbete är inte avsett att få några faktiska verkningar i enskilda fall på det sätt som avses i förarbetena. Därför kan myndighetens verksamhet inte anses utgöra sådan verksamhet som har anknytning till ett särskilt ärende i den mening som avses i 3 kap. 3 § första stycket 2 dataskyddslagen.

Hanteringen av personuppgifter inom myndighetens kärnverksamhet kan inte heller ske med stöd av det undantag som avser ett viktigt allmänt intresse när behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet, eftersom 3 kap. 3 § 3 dataskyddslagen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten (prop. 2017/18:105 s. 194).

Dataskyddslagen bedöms därmed inte ge tillräckliga förutsättningar för all den behandling av känsliga personuppgifter som behöver utföras vid Myndigheten för vård- och omsorgsanalys. För att myndigheten ska kunna behandla känsliga personuppgifter i sin kärnverksamhet, krävs således att

Prop. 2023/24:147

49

med hänsyn till ändamålet med behandlingen. Kammarrätten i Stockholm anser att det är otydligt om behandlingen av känsliga personuppgifter får ske för både de primära och de sekundära ändamålen. Med uttrycket ändamålet med behandlingen avses behandling som utförs både med stöd av den primära och med stöd av den sekundära ändamålsbestämmelsen. Bestämmelsen utgör en sådan specifik bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning. Hänvisningen till artikel

9.2g i EU:s dataskyddsförordning bör vara dynamisk, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag.

Det finns även visst utrymme för myndigheten att tillämpa andra undantag

Ovan bedöms att behandling av känsliga personuppgifter hos Myndigheten för vård- och omsorgsanalys kan ske med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning. Därutöver kan det, beroende på omständigheterna i det enskilda fallet, finnas andra undantag från förbudet att behandla känsliga personuppgifter som skulle kunna aktualiseras i Myndigheten för vård- och omsorgsanalys kärnverksamhet, bl.a. uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning. En prövning av om det undantaget kan tillämpas måste dock göras i varje enskilt fall. Att tillämpa undantaget för uttryckligt samtycke i artikel 9.2 a i EU:s dataskyddsförordning är ofta förenat med praktiska svårigheter. Det skulle dessutom endast vara möjligt vid vissa typer av undersökningar, t.ex. intervju- och enkätstudier, eftersom möjligheten att på förhand kontakta registrerade för att inhämta ett samtycke inte finns vid exempelvis registerstudier.

I ett fåtal situationer, främst vid intervjuer med medlemmar i region- eller kommunfullmäktige eller företrädare för vissa organisationer, bör också undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning kunna tillämpas. Någon mer omfattande behandling av personuppgifter kommer myndigheten dock inte kunna utföra med stöd av det undantaget.

I förarbetena till dataskyddslagen anges att undantaget för hälso- och sjukvård och social omsorg i artikel 9.2 h i EU:s dataskyddsförordning och 3 kap. 5 § dataskyddslagen kan tillämpas för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys (prop. 2017/18:105 s. 93). Trots förarbetsuttalandet bedöms det råda en viss osäkerhet om i vilken utsträckning Myndigheten för vård- och omsorgsanalys kan tillämpa undantaget i sin verksamhet med undersökningar och utvärderingar, bl.a. eftersom det i förarbetena anges att det är svårt att närmare avgränsa innebörden av begreppet social omsorg (prop. 2017/18:105 s. 93). Även Socialdataskyddsutredningen förde ett resonemang om undantagets tillämplighet i Myndigheten för vård- och omsorgsanalys verksamhet. Utredningen bedömde att myndigheten möjligen i vissa fall skulle kunna sägas bedriva kvalitetskontroll, men att den inte kan anses ingå i förvaltningen av hälso- och sjukvården eller den sociala omsorgen och inte är en hälsovårdsmyndighet i enlighet med vad som avses i skäl 53 i EU:s dataskyddsförordning (SOU 2018:52 s. 139).

Prop. 2023/24:147

51

vägas om det ska tas in särskilda begränsningar i fråga om behandling av sådana uppgifter i den lag som nu föreslås.

Myndigheten för vård- och omsorgsanalys har endast i begränsad utsträckning behov av att behandla uppgifter om lagöverträdelser. I den mån det finns ett sådant behov är det dock inte möjligt att på förhand på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål behovet finns. Behov kan exempelvis uppstå för att göra analyser om socialtjänstens brottsförebyggande arbete, arbete med unga lagöverträdare och stöd till brottsutsatta. Behovet kan också uppstå i analyser av vård till personer med missbruksproblematik, vården vid straffrättsliga vårdpåföljder, vård och omsorg vid administrativa frihetsberövanden samt vid studier av samarbetet mellan polis, socialtjänst och hälso- och sjukvård. Många gånger torde det räcka med att myndigheten tar del av helt avidentifierad statistik för sådana studier, men i vissa fall krävs det, för att arbetet ska leda till värdefulla resultat, uppgifter på så pass detaljerad nivå att det kan bli fråga om personuppgifter. Dessutom kan det förekomma uppgifter om lagöverträdelser i sådana akter från socialtjänsten eller patientjournaler som myndigheten i vissa fall kan komma att behöva ta del av. Mot bakgrund av detta bedömer regeringen att det inte är möjligt att införa en bestämmelse som begränsar i vilka typer av undersökningar eller utvärderingar som uppgifter om lagöverträdelser får behandlas eller för vilka konkreta ändamål sådana uppgifter får behandlas.

Även om det inte föreslås någon specifik bestämmelse som begränsar behandling av personuppgifter om lagöverträdelser, säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i denna lag. Uppgifter ska enligt artikel 5.1 c i EU:s dataskyddsförordning vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Denna princip begränsar myndighetens möjligheter att över huvud taget samla in personuppgifter om lagöverträdelser. I den mån sådana uppgifter behandlas ska de, enligt artiklarna 5.1 f och 32.1 i EU:s dataskyddsförordning, omfattas av ett skydd som säkerställer lämplig säkerhet för uppgifterna och lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till risken. Uppgifterna omfattas enligt 24 kap. 8 § andra stycket OSL och 7 § OSF som huvudregel av absolut sekretess i myndighetens verksamhet. Dessutom föreslås i lagen flera skyddsåtgärder som omfattar behandling av personuppgifter om lagöverträdelser. Det föreslås bl.a. att myndigheten redan på förhand ska fastställa vilka kategorier av uppgifter om lagöverträdelser som ska analyseras i ett projekt (se avsnitt 7.11). Uppgifterna får som huvudregel endast behandlas inom ramen för det projekt i vilket de samlas in (se avsnitt 7.10) och direkt hänförliga uppgifter om lagöverträdelser ska som huvudregel kodas (se avsnitt 7.13).

Ett starkt skydd för uppgifter om lagöverträdelser säkerställs därmed genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder som föreslås i den nya lagen. Regeringen anser därför att det inte är ändamålsenligt att i den föreslagna lagen införa särskilda begränsningar av möjligheten att behandla personuppgifter om lagöverträdelser. För behandling av sådana uppgifter bör samma

Prop. 2023/24:147

53

liga personuppgifter ska värna, dvs. möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter (prop. 2017/18:105

s.90).

Justitiekanslern efterfrågar vad som gäller i fråga om s.k. potentiella

handlingar. Regeringen konstaterar att bestämmelser om sökbegränsningar begränsar myndighetens behandling av personuppgifter och påverkar därigenom myndighetens möjligheter att sammanställa s.k. potentiella handlingar vid begäran om att få ta del av allmän handling (se 2 kap. 6 och 7 §§ tryckfrihetsförordningen och prop. 2023/24:29 s. 69).

Det bör införas sökbegränsningar i lagen som anpassas till myndighetens behov och till behovet av skydd för den personliga integriteten

Myndigheten för vård- och omsorgsanalys behöver behandla stora mängder känsliga personuppgifter. En bestämmelse som begränsar möjligheterna att göra sökningar baserade på känsliga personuppgifter bedöms därför vara en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen i enlighet med vad som föreskrivs i artikel 9.2 g i EU:s dataskyddsförordning. En bestämmelse om sökbegränsningar bör därmed införas. En sådan bestämmelse utgör en bestämmelse om skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

En bestämmelse om sökbegränsningar måste, för att utgöra en skyddsåtgärd, utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet är dock inte att omöjliggöra sådana sökningar som behövs för att myndighetens verksamhet ska kunna fungera. Bestämmelsen bör i stället utformas med hänsyn tagen till de särskilda behov som gäller i Myndigheten för vård- och omsorgsanalys verksamhet. En sökbegränsning som utgår från syftet med sökningen hindrar inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, exempelvis för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 195).

Till skillnad mot sökförbudet i 3 kap. 3 § andra stycket data-skydds- lagen, som endast gäller vid behandling av känsliga person-uppgifter med stöd av det generella myndighetsundantaget i 3 kap. 3 § första stycket, bör en bestämmelse om sökbegränsningar för Myndigheten för vård- och omsorgsanalys ges en mer generell utformning. En sådan bestämmelse bör också kompletteras med de undantag som är nödvändiga för att myndigheten ska kunna fullgöra sina uppgifter på ett ändamålsenligt sätt. På så sätt tas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt till vara, samtidigt som myndighetens behov av att behandla personuppgifter för att utföra sitt uppdrag tillgodoses.

I Myndigheten för vård- och omsorgsanalys verksamhet finns behov av att göra sökningar i fråga om uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning. Som beskrivs i avsnitt 7.7 är det ofta helt centralt för myndigheten att kunna analysera uppgifter om sådana förhållanden för att kunna utföra undersökningar och utvärderingar om vården och omsorgen i enlighet med sitt uppdrag. Inom ramen för analyserna behöver myndigheten systematisera

Prop. 2023/24:147

55

även andra ramar, t.ex. när det gäller metod och resursåtgång. Genom noggranna förberedelser och planeringsarbete kan lämpliga ramar utformas.

Myndigheten för vård- och omsorgsanalys projekt har en central betydelse för integritetsskyddet enligt den föreslagna lagen. Genom att knyta behandlingen av personuppgifter till olika projekt kan behandlingen avgränsas och därmed begränsas på olika sätt, bl.a. i fråga om återanvändning av personuppgifter, åtkomst till personuppgifter och tid.

Regeringen anser att det bör förtydligas vad som avses med projekt i den nya lagen. Mot bakgrund av projektets avgränsande funktion och behovet av förberedelser bör ett projekt i den föreslagna lagens mening vara en planerad arbetsinsats som genomförs inom bestämda ramar. Genom att varje projekt ges en tydlig målbild och ramar att förhålla sig till skapas goda förutsättningar för en väl avvägd behandling av personuppgifter. De olika undersökningar som kan aktualiseras inom ramen för projektet måste ha som ändamål att besvara frågeställningar som är relevanta för den gemensamma målbilden. För att säkerställa att behandlingen av personuppgifter begränsas på ett ändamålsenligt sätt, bör behandlingen därmed ske i projekt.

Personuppgifter bör som huvudregel behandlas inom ramen för det projekt de samlats in för

En viktig förutsättning för att Myndigheten för vård- och omsorgsanalys ska kunna bedriva sin verksamhet är att myndigheten får del av uppgifter för bearbetning och analyser. Behovet av uppgifter kan tillgodoses genom att myndigheten begär in de uppgifter som behövs i varje enskilt projekt. På så sätt säkerställs att uppgifterna är aktuella och korrekta utan att Myndigheten för vård- och omsorgsanalys måste ombesörja eventuell uppdatering och komplettering av uppgifterna.

När stora mängder personuppgifter samlas in är det viktigt att behandlingen begränsas och är förutsägbar. Det bör därför som utgångspunkt endast vara tillåtet att behandla de insamlade personuppgifterna i det projekt som de samlats in för. På så sätt blir det tydligt både för vilket ändamål uppgifterna samlas in och hur länge uppgifterna kommer att behandlas. Det begränsar också tillgången till personuppgifterna, både i fråga om antal personer och tid. Tillgång till personuppgifter som behandlas inom ramen för ett projekt bör i huvudsak endast medges personer som arbetar i det aktuella projektet under den tid projektet pågår (se avsnitt 7.14 och 7.15). Dessutom begränsas myndighetens möjlighet att söka och bearbeta personuppgifter som finns i verksamheten till att avse sådana uppgifter som behandlas inom ramen för aktuellt projekt.

En begränsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet. Begränsningen utgör en skyddsåtgärd som är tillåten att införa i den föreslagna lagen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan då behövas som utgångspunkt för arbetet eller för jämförande studier. Det kan således finnas behov av att behandla personuppgifter som samlats in i det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hänföras till den registrerade ska separeras från övriga personuppgifter, är en eventuell åter-

Prop. 2023/24:147

59

i de lagar som reglerar personuppgiftsbehandling inom vården, omsorgen och forskningen, eftersom det finns många likheter mellan myndighetens personuppgiftsbehandling och behandling av personuppgifter i sådana verksamheter. Dessutom kommer vissa av de personuppgifter som myndigheten behöver behandla ursprungligen från vården eller omsorgen.

De fastställda ramarna för projektet bör som huvudregel ligga fast under hela den tid som projektet utförs för att den eftersträvade förutsägbarheten ska uppnås, men det bör finnas viss möjlighet att göra ändringar i fråga om projektets tidsramar och kategorierna av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras. Sådana ändringar behöver fastställas innan personuppgifter som omfattas av ändringen i fråga behandlas. Syftet med projektet bör dock inte få ändras sedan det har fastställts, eftersom det skulle motverka syftet med bestämmelsen.

Den föreslagna bestämmelsen skapar en tydlig ram för personuppgiftsbehandlingen, vilket innefattar en yttersta ram för möjliga ändamål för behandling av personuppgifter i respektive projekt. Därutöver är det nödvändigt att säkerställa att respektive behandling av personuppgifter i projektet uppfyller de krav som finns i dataskyddslagstiftningen i övrigt, bl.a. vad gäller ändamålsbestämning.

Regeringen instämmer i Lunds universitets bedömning om att rutiner och procedurer behöver tas fram för den praktiska hanteringen av projekt. Regeringen bedömer dock att sådana mer detaljerade rutiner och procedurer inte bör regleras i lag utan främst kommer att behöva regleras i myndighetens interna styrdokument.

Myndigheten bör hålla information om vad som fastställts tillgänglig på sin webbplats

För att ytterligare bidra till tydlighet och förutsägbarhet kring behandlingen bör myndigheten på sin webbplats hålla information tillgänglig om vad som har fastställts i fråga om ett projekts syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras och när projektet senast ska vara avslutat. Genom att sådan information hålls tillgänglig på myndighetens webbplats ges alla berörda eller intresserade, som de registrerade, allmänheten, tillsynsmyndigheten och aktörer som myndigheten begär uppgifter från, möjlighet till insyn i myndighetens behandlingar. Dessutom följer det av artiklarna 13 och 14 i EU:s dataskyddsförordning att den registrerade ska ges viss information. Det krav som nu föreslås avser inte ersätta EU:s dataskyddsförordnings krav på information.

Förslaget ger myndigheten frihet att bedöma det mest lämpliga sättet att utforma den information som ska tillgängliggöras på webbplatsen. Förslaget innebär inte att en viss handling, som ett beslut eller en projektplan, måste publiceras i sin helhet. Myndigheten bör vid utformningen av informationen i stället ta hänsyn till vilka som kan komma att ha intresse av informationen och anpassa utformningen till de målgrupperna. Det viktiga är att det tydligt framgår av den information som hålls tillgänglig på webbplatsen vad syftet med projektet är, när projektet senast ska avslutas, och, i förekommande fall, vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet. Förslaget innebär att myndigheten på sin webbplats

Prop. 2023/24:147

63

intervjuundersökningar. Deltagande i sådana undersökningar bygger på frivillighet. För att värna den frivilligheten och så långt som möjligt säkerställa de registrerades kontroll över de personuppgifter som behandlas, bör ett krav på att inhämta ett uttryckligt medgivande från den enskilde införas för att myndigheten ska få behandla personuppgifter som samlas in direkt från denne. Genom ett sådant krav blir det tydligt för den enskilde att han eller hon själv kan välja att lämna uppgifter till myndigheten. Ett sådant krav bidrar därmed till att skydda den enskildes personliga integritet. Kravet utgör en skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning (jfr prop. 2017/18:171 s. 140 och 141).

Ett sådant uttryckligt medgivande som avses i den nu föreslagna bestämmelsen ska anses utgöra en integritetshöjande åtgärd, som inte ska förväxlas med kravet på samtycke som rättslig grund för behandlingen. För att den integritetshöjande åtgärden inte ska uppfattas som den rättsliga grunden bör ordet medgivande användas i stället för ordet samtycke på motsvarande sätt som i t.ex. 5 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.

Även om det är fråga om en integritetshöjande åtgärd, bör det ställas i princip samma krav på ett uttryckligt medgivande enligt den nu föreslagna bestämmelsen som på ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning. Det bör alltså vara fråga om en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel

4.11i EU:s dataskyddsförordning). Enligt Europeiska dataskyddsstyrelsen krävs för att samtycket ska uppfylla kravet på att vara informerat att information bl.a. lämnas om syftet med behandlingen och vilken information som kommer att samlas in och användas (EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 16). Med att medgivandet ska vara uttryckligt avses hur medgivandet lämnas. I Europeiska dataskyddsstyrelsens riktlinjer anges att kravet i artikel 9.2 a i EU:s dataskyddsförordning innebär att den enskilde ska lämna en uttrycklig samtyckesförklaring på något sätt, exempelvis skriftligt, i ett elektroniskt formulär, i ett e-postmeddelande eller muntligt (EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21).

Kraven på ett uttryckligt medgivande behöver dock inte vara lika strikta som de krav som ställs på ett samtycke som utgör en rättslig grund. Ett samtycke som används som en integritetshöjande åtgärd har enligt tidigare förarbeten ansetts kunna användas även i ojämlika situationer (jfr prop. 2017/18:171 s. 140). Regeringen har vidare anfört att utrymmet för att bedöma samtycke som frivilligt, då det är fråga om en integritetshöjande åtgärd, torde vara större än när samtycket utgör den rättsliga grunden för behandlingen (prop. 2021/22:177 s. 116).

Regeringen föreslår därmed att om uppgifterna samlas in direkt från den enskilde ska personuppgifter få behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Prop. 2023/24:147

65

Prop. 2023/24:147

66

Ett lämnat medgivande bör kunna återkallas

För att ytterligare värna den enskildes kontroll över uppgifter som han eller hon lämnar till myndigheten bör det vara möjligt för den registrerade att när som helst återkalla ett lämnat medgivande. Därefter ska det inte längre vara tillåtet för myndigheten att behandla personuppgifter som omfattas av det återkallade medgivandet. Den registrerade ges på så sätt en möjlighet att ångra sitt val att lämna uppgifter till myndigheten. Eftersom även radering utgör behandling av personuppgifter bör det, i enlighet med vad Riksarkivet framför, förtydligas i lagtexten att personuppgifterna ska raderas.

Det föreslås endast vara sådana personuppgifter som omfattas av det återkallade medgivandet som får raderas. Om medgivandet endast delvis återkallas behöver Myndigheten för vård- och omsorgsanalys inte radera de övriga uppgifterna. Ett medgivande skulle t.ex. kunna återkallas endast för vissa kategorier av lämnande personuppgifter.

Den nu föreslagna bestämmelsen om återkallelse av medgivande är mer långtgående än motsvarande bestämmelser i bl.a. 5 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 3 a § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Konsekvensen av ett återkallat medgivande eller samtycke enligt dessa bestämmelser är att ytterligare personuppgifter om den registrerade därefter inte får behandlas, men behandlingen av redan insamlade personuppgifter får fortsätta (prop. 2018/19:151 s. 46 och prop. 2011/12:176 s. 65). I denna proposition föreslås att även behandling av sådana personuppgifter som redan har samlats in ska upphöra, om de omfattas av det återkallade medgivandet.

En förutsättning för att myndigheten ska kunna upphöra med behandlingen är dock att myndigheten kan identifiera den enskildes uppgifter. I likhet med vad som gäller enligt artikel 11.1 i EU:s dataskyddsförordning bör myndigheten inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den enskilde endast i syfte att kunna radera personuppgifter vid ett återkallat medgivande. En sådan ordning skulle inte vara förenlig med principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning. Regeringen anser därför att det bör anges i lagen att fortsatt behandling är tillåten om Myndigheten för vård- och omsorgsanalys inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade.

Återkallandet av det uttryckliga medgivandet bör inte påverka tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande föreslås i denna del alltså bli densamma som konsekvensen av ett återkallat samtycke enligt artiklarna 7.3 och 17.1 b i EU:s dataskyddsförordning.

För att tillgodose intresset av att bevara allmänna handlingar, bör personuppgifter som finns i handlingar som har tagits om hand för arkivering, i enlighet med vad Riksarkivet framför, inte heller raderas. Som en följd av att Myndigheten för vård- och omsorgsanalys inte behöver behandla ytterligare information i syfte att identifiera den registrerade blir det därmed i praktiken endast sådana uppgifter som kan hänföras till den

registrerade och som behandlas inom ramen för pågående projekt som kommer att raderas vid ett återkallat medgivande.

Sammanfattningsvis anser regeringen att den registrerade när som helst bör kunna återkalla ett lämnat medgivande, varvid de personuppgifter som omfattas av det återkallade medgivandet ska raderas. Personuppgifterna bör dock få fortsätta att behandlas om Myndigheten för vård- och omsorgsanalys har arkiverat uppgifterna eller om myndigheten i övrigt inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade.

Information vid medgivande

Myndigheten för delaktighet framhåller vikten av ett funktionshinderperspektiv när bestämmelser om samtycke tas fram, och Stockholms kommun för fram att skrivningen om inhämtande av samtycke bör stärkas så att det tydliggörs hur myndigheten ska beakta att det finns enskilda som har t.ex. språkliga svårigheter och nedsatt kognitiv förmåga. Regeringen instämmer i att det är viktigt att beakta den enskildes förmåga att ta tillvara sina rättigheter. För att den enskilde ska kunna ta ställning till ett medgivande krävs framför allt information om behandlingen av personuppgifter. Den personuppgiftsansvarige är enligt artikel 13 i EU:s dataskyddsförordning skyldig att tillhandahålla information när personuppgifter samlas in direkt från den registrerade. Informationen ska enligt artikel 12.1 i EU:s dataskyddsförordning tillhandahållas i en koncis, klar och tydlig, begriplig och lättillgänglig form, med användning av klart och tydligt språk. Det är Myndigheten för vård- och omsorgsanalys uppgift att se till att medgivandet lämnas frivilligt och informerat, vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. I förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken regleras dessutom en generell skyldighet för myndigheter under regeringen att verka för att bl.a. information är tillgänglig för personer med funktionsnedsättning. Regeringen bedömer att det därmed inte krävs någon reglering i den nya lagen som särskilt gäller personer med funktionsnedsättning, personer med språkliga svårigheter eller nedsatt kognitiv förmåga.

Skillnad mellan att lämna medgivande och att invända mot behandlingen

Om personuppgifter samlas in direkt från den enskilde, har denne rätt att invända mot behandlingen (se avsnitt 7.4). En invändning görs efter att behandling av personuppgifter har påbörjats medan ett medgivande enligt förslaget ska lämnas innan behandlingen av personuppgifter påbörjas. Konsekvensen av en invändning blir att den personuppgiftsansvarige ska upphöra med behandlingen, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i EU:s dataskyddsförordning). Om ett medgivande återkallas ska personuppgifter som omfattas av återkallandet enligt huvudregeln raderas. Rätten att göra invändningar kan således inte ersätta ett krav på medgivande och en möjlighet att återkalla medgivandet. Genom att kravet på medgivande

Prop. 2023/24:147

67

Enligt artikel 4.5 i EU:s dataskyddsförordning är pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. För pseudonymisering bör det alltså krävas att all information som direkt kan identifiera en person, t.ex. namn eller personnummer, ersätts med pseudonymer. Utöver detta bör det krävas att annan information som kan användas för att indirekt identifiera personen hanteras så att detta inte längre är möjligt. Variabler som rör exempelvis kön, bostadsort och diagnos kan alltså behöva tas bort, om de möjliggör s.k. bakvägsidentifiering. Efter pseudonymisering rör det sig fortfarande om personuppgifter eftersom man behåller möjligheten att återidentifiera individerna med hjälp av kompletterande uppgifter som förvaras separat. De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis är kopplade till löpnummer, och direkt hänförliga personuppgifter, såsom namn eller personnummer.

Det saknas i EU:s dataskyddsförordning och dataskyddslagen en definition av vad som ska anses utgöra kryptering. Kryptering brukar vanligen användas när det handlar om att göra information svårläslig för alla som inte ska kunna läsa den. Genom att använda ett kodsystem eller ett chiffer kastas bokstäver och siffror om, och texten blir oläslig. För att göra informationen läslig igen krävs dekryptering, som bara kan göras av de personer som texten är ämnad för. Det är vanligt att känslig information krypteras när den skickas elektroniskt mellan olika mottagare.

Sveriges advokatsamfund anser att myndighetens behov av att hantera direkt hänförliga personuppgifter överlag bör utredas vidare. Regeringen gör i avsnitt 6 bedömningen att Myndigheten för vård- och omsorgsanalys behöver behandla direkt hänförliga personuppgifter och i vissa fall även känsliga personuppgifter för att på ett effektivt och kvalitetssäkert sätt kunna utföra sin verksamhet enligt myndighetens instruktion. Regeringen bedömer att vidare utredning av myndighetens behov av att hantera direkt hänförliga personuppgifter inte är nödvändig.

Det bedöms inte vara lämpligt att införa krav på pseudonymisering eller kryptering i lagen

Myndigheten för vård- och omsorgsanalys har ett begränsat behov av att behandla personuppgifter som direkt kan hänföras till den registrerade. Uppgifter som namn och personnummer bör därför så långt det är möjligt inte vara tillgängliga i klartext i det underlag som myndigheten baserar sina undersökningar och utvärderingar på.

Ett krav på att de uppgifter som Myndigheten för vård- och omsorgsanalys får behandla ska vara pseudonymiserade på ett sådant sätt att de varken direkt eller indirekt kan hänföras till en person utan kompletterande uppgifter skulle dock försvåra och ibland omöjliggöra genomförandet av sådana analyser som myndigheten behöver göra. Som konstateras i avsnitt 6 behöver myndigheten ofta kunna analysera ett antal olika kategorier av

Prop. 2023/24:147

69

70

I första hand bör det övervägas om direkt hänförliga personuppgifter behöver behandlas av Myndigheten för vård- och omsorgsanalys över huvud taget. Om myndigheten samlar in uppgifter från en annan aktör räcker det många gånger att den utlämnande aktören ersätter uppgifterna med ett löpnummer eller liknande och själv behåller kodnyckeln. Ett sådant tillvägagångssätt är i linje med principen om uppgiftsminimering i

artikel 5.1 c i EU:s dataskyddsförordning. När det inte är möjligt att förvara de kompletterande uppgifterna hos en annan aktör, bör dock myndigheten separera de direkt hänförliga personuppgifterna från övriga personuppgifter och förvara dem separat från varandra vid myndigheten i enlighet med den föreslagna bestämmelsen. I sådana fall bör separeringen av direkt hänförliga personuppgifter från övriga personuppgifter ske så snart uppgifterna kommer in till myndigheten. Dessutom följer det av förslaget i avsnitt 7.14 att endast en mycket begränsad krets bör ges tillgång till de kompletterande uppgifterna, eftersom det torde vara mycket få som behöver dessa för att kunna fullgöra sina arbetsuppgifter. De som arbetar med att utföra analysarbete i ett projekt torde huvudsakligen ha behov av indirekt hänförliga personuppgifter.

Regeringen bedömer att den föreslagna bestämmelsen utgör ett lämpligt alternativ till ett krav på pseudonymisering. Bestämmelsen torde tillgodose myndighetens behov av behandling av personuppgifter samtidigt som integritetsintrånget begränsas väsentligt. Det finns visserligen en risk att det går att bakvägsidentifiera individer i analysmaterial även om materialet inte innehåller direkt hänförliga personuppgifter, särskilt när stora mängder uppgifter behandlas. En sådan risk bedöms dock vara mycket låg. Det skulle t.ex. kunna vara fallet om uppgifter om en mycket ovanlig diagnos behandlas och det även finns uppgifter om kön, bostadsort eller ålder kopplat till diagnosen. Att direkt hänförliga personuppgifter förvaras separat bidrar till ett gott skydd för personuppgifterna, eftersom det minskar möjligheterna att identifiera de registrerade. Enligt Lagrådet framstår undantaget i lagförslaget inte som helt klart, och förslaget ger intrycket av att undantaget och huvudregeln handlar om olika saker. För att förtydliga förslaget anser regeringen att bestämmelsen i huvudsak bör utformas enligt Lagrådets förslag. Det bör dock genom ett tillägg till Lagrådets förslag tydliggöras att beteckningen kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Sammantaget bedömer regeringen skyddsåtgärden vara väl avvägd mot de integritetsrisker som kan uppstå vid myndighetens behandling av personuppgifter.

Undantag vid oproportionerlig ansträngning eller om syftet motverkas

I vissa fall kan det innebära en mycket stor arbetsinsats för myndigheten att separera de direkt hänförliga personuppgifterna från övriga personuppgifter, och i vissa fall skulle det också kunna motverka syftet med behandlingen. Ett undantag från huvudregeln om att direkt hänförliga personuppgifter ska förvaras separat från övriga personuppgifter bör därför införas. Det kan exempelvis i fråga om patientjournaler eller akter från socialtjänsten vara svårt och mycket arbetskrävande att separera uppgifter i materialet från varandra. En sådan separering skulle också förutsätta en noggrann genomgång av materialet, vilket i sig skulle kunna utgöra en mycket integritetskänslig hantering. En sådan arbetsinsats kan, i synnerhet med hänsyn till den tveksamma vinsten ur integritetshänseende, inte alltid anses proportionerlig i förhållande till det integritetsskydd den medför. Syftet med en sådan insats, vilket skulle vara att skydda den enskilde mot integritetsintrång, riskerar att motverkas av en sådan genomgång.

Prop. 2023/24:147

71

allmänna principer för personuppgiftsbehandling som framgår av artikel

5.1f. Det följer således av EU:s dataskyddsförordning att den personuppgiftsansvarige är skyldig att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (prop. 2017/18:171 s. 138).

Myndigheten för vård- och omsorgsanalys behöver behandla en stor mängd personuppgifter, varav många är känsliga personuppgifter eller i övrigt integritetskänsliga uppgifter, såsom uppgifter om familjeförhållanden och ekonomi. Vem som har rätt att ta del av uppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrång i den personliga integriteten vid Myndigheten för vård- och omsorgsanalys behandling av personuppgifter bör det därför införas en bestämmelse som begränsar den krets av personer som får ha tillgång till personuppgifter.

Tillgången till personuppgifter kan begränsas på olika sätt. Det kan handla om både tekniska och organisatoriska åtgärder. Vilka åtgärder som är lämpligast beror på bl.a. vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya it-system ger ofta ökade möjligheter att skräddarsy och begränsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på behörighetstilldelningen och rutinerna för behörighetsstyrning. Det framstår därför inte som ändamålsenligt att reglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången. Myndigheten för vård- och omsorgsanalys behandlar personuppgifter för att kunna utföra sitt uppdrag att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. I förlängningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgång till personuppgifter för att kunna utföra sitt arbete. Den enskilda medarbetaren bör dock inte ha tillgång till fler personuppgifter än vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter.

I 114 kap. 13 § SFB, 1 kap. 11§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Regeringen anser att samma begränsning bör gälla för Myndigheten för vård- och omsorgsanalys.

En behovsbaserad tillgång till personuppgifter förutsätter att myndigheten aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och att nödvändig behörighet tilldelas utifrån det. Det blir då tjänsteåliggandena och inte den faktiska möjligheten att ta del av uppgifter som anger den yttersta ramen för den egentliga behörigheten. I detta sammanhang är brottet dataintrång av betydelse. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling under vissa förutsättningar ska dömas för dataintrång till böter eller fängelse i högst två år (4 kap. 9 c § brottsbalken). Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en upptagning haft något särskilt syfte med intrånget för att gärningen ska vara straffbar. Vad som beläggs

Prop. 2023/24:147

73

uppgifter får dock lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Det förutsätter dock att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rättigheter. Regeringen har bedömt att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen (1990:782) och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse (prop. 2017/18:105 s. 110). Behandlingen ska därmed inte anses som oförenlig med de ursprungliga ändamålen.

I arkivlagen och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten är enligt 3 § arkivlagen att allmänna handlingar ska bevaras, hållas ordnade och vårdas så att myndigheternas arkiv kan tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Om arkivändamålen kan tillgodoses får under vissa förutsättningar allmänna handlingar dock gallras (10 § arkivlagen).

Utgångspunkten i det arkivrättsliga regelverket är alltså att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att därmed öka deras tillgänglighet, medan bestämmelser om längsta tid för behandling av personuppgifter enligt det dataskyddsrättsliga regelverket syftar till att skydda enskildas personliga integritet.

En bestämmelse om en viss specificerad längsta tid under vilken personuppgifter får behandlas skulle kunna motiveras av tydlighets- och integritetsskäl. Det bör därför, som Sveriges advokatsamfund för fram, övervägas om en sådan tidsgräns bör införas i den föreslagna lagen. All behandling av personuppgifter behöver enligt förslagen i avsnitt 7.6.2 och

7.6.3ske för de där angivna ändamålen. Som framgår av skälen till förslaget är dock myndighetens uppdrag brett, och det är svårt att i lagen precisera konkreta ändamål fullt ut. Det blir därför upp till myndigheten att konkretisera ändamålen för varje behandling inom ramen för de i lagen föreslagna ändamålen. Detta innebär att det är svårt att på förhand i lag bestämma hur länge det kan vara relevant att behandla uppgifter som har samlats in i myndighetens verksamhet. En sådan bedömning måste göras från fall till fall med hänsyn tagen till vilka uppgifter och vilket projekt det handlar om. Det är därmed inte möjligt att föreslå mer konkreta tidsgränser än sådana som bygger på lagringsminimeringsprincipen i artikel 5.1 e i EU:s dataskyddsförordning, nämligen att uppgifter inte ska behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. En fast tidsgräns skulle kunna leda till att personuppgifter inte skulle få behandlas under hela den tid som behandlingen bedöms vara nödvändig. Mot bakgrund av detta bedömer regeringen att det inte finns behov av att i lagen särskilt reglera frågan om längsta tid för behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. I stället ska bestämmelserna i EU:s dataskyddsförordning och arkivlagen tillämpas.

Prop. 2023/24:147

75

den personliga integriteten (se t.ex. avsnitt 7.10, 7.12 och 7.13). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att Myndigheten för vård- och omsorgsanalys utför en uppgift av allmänt intresse. Det kan i sammanhanget nämnas att inskränkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. när syftet har varit att möjliggöra för analysmyndigheter att behandla sådana personuppgifter som behövs i deras verksamheter (se t.ex. prop. 2011/12:176 s. 62 och prop. 2018/19:151 s. 31).

I det följande ges en bredare och mer samlad bedömning av integritets- och proportionalitetsaspekter av lagförslaget i denna proposition.

Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen uttalade dock i samband med den senaste utvidgningen av integritetsskyddet i regeringsformen att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten var att den skulle ske utifrån den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid helt eller delvis automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar (prop. 2005/06:173 s. 15). Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten.

Begränsningar i skyddet för den personliga integriteten får göras

Den föreslagna lagen ger Myndigheten för vård- och omsorgsanalys ett tydligt stöd för att utföra sådan behandling av personuppgifter som myndigheten bedöms ha behov av. I avsnitt 6 görs bedömningen att den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys har behov av att utföra i vissa fall kan utgöra ett sådant betydande intrång i den personliga integriteten som omfattas av 2 kap. 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas. En begränsning måste ske genom lag (2 kap. 20 § RF). Begränsningen får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Vid en begränsning ska det därför göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot fördelarna med behandlingen. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga.

Prop. 2023/24:147

77

samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).

För att det ska vara motiverat att införa möjligheter till behandling av personuppgifter på det sätt som föreslås måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Genom att det införs skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd.

Omfattande behandling av personuppgifter bedöms innebära integritetsrisker

Den föreslagna lagen innebär att Myndigheten för vård- och omsorgsanalys, inom vissa bestämda ramar, får möjlighet att behandla en stor mängd personuppgifter om ett stort antal personer. Det innebär en integritetsrisk, eftersom omfattande behandling av personuppgifter generellt sett är förenad med större integritetsrisker än mer begränsad behandling.

Den föreslagna lagen ger även vissa möjligheter till sammanställning och systematisering, även om möjligheterna begränsas utifrån projekt och sökbegränsningar. När personuppgifterna samlas på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, ges möjlighet till kontroll över och kartläggning av individer, vilket innebär en integritetsrisk.

Risken för integritetskränkningar blir vidare större ju fler organisationer, it-system och användare som har tillgång till uppgifter om en viss person. Därmed innebär Myndigheten för vård- och omsorgsanalys utökade möjligheter att behandla personuppgifter en ökad integritetsrisk. Personuppgifterna kan användas av dem som har tillgång till uppgifterna i ovidkommande syften, såsom att göra vidare eftersökningar av personer. Det finns också risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomståendes händer och användas för exempelvis negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar.

Behandling av de kategorier av personuppgifter som tillåts enligt förslaget bedöms medföra integritetsrisker

Enligt den föreslagna lagen får Myndigheten för vård- och omsorgsanalys behandla känsliga personuppgifter om det är nödvändigt för ändamålen med behandlingen. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Vid förlorad kontroll över uppgifterna skulle hälsouppgifter exempelvis kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller liknande. Uppgifter om etniskt ursprung skulle t.ex. kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp. Likaså kan någon ha ett intresse av att förfölja personer med en viss sexuell läggning eller en viss religiös övertygelse.

Prop. 2023/24:147

79

Prop. 2023/24:147

80

Även behandling av sådana personuppgifter som inte är känsliga i EU:s dataskyddsförordnings mening kan vara förenad med integritetsrisker. Det beskrivs att myndigheten i vissa fall behöver behandla personnummer, t.ex. för att kunna göra vissa samkörningar av personuppgifter. Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den registrerade kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter som finns i olika källor och behandling för andra ändamål än de ursprungligen avsedda. Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 § dataskyddslagen).

Också personuppgifter som normalt uppfattas som relativt harmlösa eller är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning av en person. Eftersom förslaget möjliggör en relativt omfattande behandling av personuppgifter finns alltså risken för sådana integritetskänsliga sammanställningar.

Grupper med behov av särskilt skydd

Särskild stor risk finns vid behandling av personuppgifter som avser personer med skyddade personuppgifter och personer som är utsatta för våld eller förtryck. Det är högst osannolikt att myndigheten skulle samla in personuppgifter om personer med skyddade personuppgifter eftersom det finns begränsade möjligheter att ta del av uppgifter om sådana personer, men det skulle t.ex. kunna hända om den enskilde själv väljer att kontakta myndigheten och lämna information. Eftersom det är svårt att veta vilka som är utsatta för våld och förtryck i övrigt kan det hända att myndigheten behandlar personuppgifter om sådana personer.

Barns personuppgifter förtjänar också särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskyddsförordning). Även personer med vissa kognitiva funktionsnedsättningar kan vara mindre medvetna om sådana faktorer. Den tidigare Artikel 29-gruppen för skydd av personuppgifter har uttalat att bl.a. psykiskt sjuka personer, asylsökande, äldre personer och patienter är sårbara registrerade, vilket innebär att det kan vara svårt för dem att på ett enkelt sätt lämna samtycke eller motsätta sig behandling av sina uppgifter eller utöva sina rättigheter (Artikel 29-gruppen för skydd av personuppgifter, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12).

Eftersom myndighetens uppdrag avser hela vården och omsorgen kan det, beroende på projekt, bli aktuellt att behandla uppgifter om sådana personer, t.ex. i uppföljningar av barn- och ungdomspsykiatrin eller andra delar av vården eller omsorgen där många olika personer kan vara patienter eller brukare.

Det finns integritetsrisker både när personuppgifter samlas in direkt från den registrerade och när de samlas in på annat sätt

Vissa av de personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla kommer ursprungligen från vården och om-

sorgen och kan komma att samlas in antingen från andra statliga myndigheter eller direkt från huvudmän eller utförare inom vården och omsorgen. När den enskilde uppsöker vården eller omsorgen för att få hjälp eller stöd kan det vara svårt för den enskilde att förutse eller förstå att dennes personuppgifter i framtiden kan komma att behandlas av Myndigheten för vård- och omsorgsanalys för uppföljning och utvärdering. Behandling av personuppgifter för andra ändamål än ursprungsändamålet innebär därmed i sig en integritetsrisk, eftersom det innebär att det är svårt för den registrerade att ha full kontroll över sina personuppgifter. Personuppgifter som samlas in från andra än den registrerade själv innehåller oftast inte kontaktuppgifter, vilket gör att det inte är möjligt att informera den enskilde om myndighetens behandling (jfr artikel 14.5 b i EU:s dataskyddsförordning). Även detta utgör en integritetsrisk på grund av avsaknad av kontroll för den registrerade.

Det finns även särskilda risker vid insamling av vissa typer av personuppgifter direkt från den registrerade, t.ex. vid insamling genom enkäter eller intervjuer. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det är frivilligt att lämna uppgifter till myndigheten, vilket myndigheten också är skyldig att informera om enligt artikel

13.2e i EU:s dataskyddsförordning, men det finns ändå en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som kränkande.

Föreslagna ändamålsbestämmelser bedöms minska integritetsriskerna

De i lagen föreslagna ändamålen för behandling av personuppgifter utgör en grundläggande begränsning av all personuppgiftsbehandling enligt lagen (se avsnitt 7.6.2 och 7.6.3). Genom att det i lag fastställs för vilka ändamål myndigheten får behandla personuppgifter fastställs en yttersta ram för behandlingen, vilken endast kan ändras genom lag. Ändringar på lägre författningsnivå, såsom en eventuell ändring av myndighetens instruktion, skulle alltså inte kunna utöka myndighetens utrymme att behandla personuppgifter. Detta skapar förutsättningar för långsiktig tydlighet i fråga om myndighetens behandlingar. Dessutom torde det många gånger krävas att myndigheten konkretiserar ändamålen för respektive behandling ytterligare (artikel 5.1 b i EU:s dataskyddsförordning), vilket borgar för än mer förutsägbarhet.

Det har övervägts att föreslå att lagen ska innehålla mer konkreta ändamål, men detta har inte bedömts vara möjligt givet myndighetens breda uppdrag och de olika typer av undersökningar och utvärderingar där behovet att behandla personuppgifter kan uppstå. En mer konkret ändamålsbestämmelse skulle snarare riskera att bli svåröverskådlig och skapa hinder för myndigheten att utföra sitt uppdrag på ett ändamålsenligt sätt.

Föreslagna bestämmelser om känsliga personuppgifter och sökbegränsningar bedöms minska integritetsriskerna

Känsliga personuppgifter föreslås som utgångspunkt få behandlas om det är nödvändigt för ändamålet (se avsnitt 7.7), men sökningar får enligt förslaget inte utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös

Prop. 2023/24:147

81

Prop. 2023/24:147

82

eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning (se avsnitt 7.9). För att det över huvud taget ska vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter krävs det också enligt förslaget att sökningen görs för de i lagen angivna primära ändamålen. Sökbegränsningen begränsar möjligheten att analysera och sortera känsliga personuppgifter, vilket minskar risken för obefogad behandling av sådana uppgifter. Sökbegränsningen säkerställer att myndigheten inte bearbetar eller hanterar andra personuppgifter än sådana som är strikt nödvändiga för myndighetens analyser på annat sätt än att uppgifterna samlas in och lagras.

Det har övervägts att föreslå ett förbud mot all sökning på känsliga personuppgifter, men detta är enligt regeringens bedömning inte möjligt givet myndighetens behov av att kunna analysera och bearbeta vissa känsliga personuppgifter för att kunna utföra sitt uppdrag.

Föreslagna bestämmelser om att behandling av personuppgifter ska ske i projekt bedöms minska integritetsriskerna

För att begränsa behandlingen och säkerställa en god förutsägbarhet föreslås att personuppgifter som huvudregel ska behandlas i projekt och inte får behandlas i andra projekt än det de samlas in i (se avsnitt 7.10). Projekt avgränsar därmed behandlingen ytterligare jämfört med ändamålen för behandling av personuppgifter som föreslås i den nya lagen. Projektets ramar i fråga om syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser samt tid ska fastställas på förhand och information om detta ska hållas tillgänglig på myndighetens webbplats (se avsnitt 7.11). Genom tillgängliggörandet av sådan information skapas transparens och tydlighet gentemot de registrerade, allmänheten, tillsynsmyndigheten och andra intresserade. Det är ett sätt att skapa kännedom om myndighetens personuppgiftsbehandlingar även i situationer då det inte är möjligt att informera den enskilde direkt om personuppgiftsbehandlingen, t.ex. eftersom myndigheten inte har kontaktuppgifter till den enskilde.

Vissa undantag från huvudregeln föreslås, men dessa bedöms inte påverka integritetsskyddet i någon större utsträckning. Skälet till detta är att undantaget för uppföljning och upprepning av ett projekt förutsätter att det nya projektet och ändamålet med den nya behandlingen ligger mycket nära det ursprungliga projektet och den ursprungliga behandlingen. Omvärldsbevakning och verksamhetsplanering ger endast ett begränsat utrymme för att göra undantag från huvudregeln och torde som utgångspunkt inte innebära någon omfattande behandling av integritetskänsliga uppgifter.

Föreslagna bestämmelser om medgivande och återkallelse av medgivande bedöms minska integritetsriskerna

En viktig del av skyddet för den personliga integriteten är den enskildes möjlighet att själv bestämma över tillgången till och behandlingen av dennes personuppgifter. I avsnitt 7.12 föreslås ett krav på medgivande för behandling av personuppgifter som samlas in direkt från den enskilde. Den registrerade har enligt förslaget rätt att när som helst återkalla ett lämnat medgivande, varvid behandling av personuppgifter som omfattas av det återkallade medgivandet ska raderas. Detta säkerställer att den enskilde

själv kan bestämma om och vilka personuppgifter denne lämnar till myndigheten och ger den enskilde möjligheten att ångra sig efter att uppgifter har lämnats.

Registrerade som medverkar i en intervju- eller enkätundersökning eller på annat sätt lämnar uppgifter till myndigheten torde normalt inte befinna sig i någon beroendeställning till myndigheten, varför medgivandet som utgångspunkt bör kunna lämnas helt frivilligt. Detta är fallet eftersom myndigheten har ett renodlat uppdrag bestående av analys och uppföljning på övergripande nivå, utan att hantera eller direkt påverka enskilda personers ärenden och utan några maktbefogenheter vare sig i förhållande till enskilda eller andra myndigheter.

Personer som av olika skäl har nedsatt beslutsförmåga eller kognitiva funktionsnedsättningar kan inte alltid lämna ett uttryckligt medgivande. Det kan även vara svårare att få ett uttryckligt medgivande från barn, beroende på bl.a. barnets ålder och mognad och behandlingens art. Ett sådant medgivande, i form av en integritetshöjande åtgärd, föreslås dock utgöra en förutsättning för personuppgiftsbehandling när uppgifter samlas in direkt från den enskilde, t.ex. vid enkät- eller intervjustudier. Det är myndighetens uppgift att se till att medgivandet lämnas frivilligt och informerat (se avsnitt 7.12), vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. Mot bakgrund av detta bedömer regeringen, till skillnad från Myndigheten för delaktighet, att risken för medgivanden som inte är frivilliga eller informerade är låg, även om den enskilde har nedsatt beslutsförmåga eller en kognitiv funktionsnedsättning.

Föreslagna bestämmelser om att separera direkt hänförliga personuppgifter från övriga personuppgifter bedöms minska integritetsriskerna

Som anges ovan är personuppgifter som direkt kan hänföras till den registrerade, som personnummer och samordningsnummer, förenade med särskilda integritetsrisker. Att förbjuda behandling av uppgifter som direkt kan hänföras till den registrerade är således en effektiv skyddsåtgärd som har övervägts i arbetet med den föreslagna lagen. Eftersom Myndigheten för vård- och omsorgsanalys i vissa fall inte kan utföra sitt uppdrag utan behandling av direkt hänförliga personuppgifter är det dock inte möjligt att helt förbjuda sådan behandling.

I stället föreslås en bestämmelse om att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska separeras från övriga personuppgifter (se avsnitt 7.13). Detta tillgodoser principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i EU:s dataskyddsförordning.

Föreslagna bestämmelser om begränsad tillgång till uppgifterna bedöms minska integritetsriskerna

Förslaget om begränsad tillgång till uppgifterna (se avsnitt 7.14) säkerställer ett aktivt arbete med behörighetsstyrning. Det bör endast vara de personer som arbetar i ett visst projekt som har behov av att ta del av de

Prop. 2023/24:147

83

84

I sammanhanget kan det också nämnas att det inte lämnas några förslag på ändringar i regelverket om sekretess eller tystnadsplikt. Det innebär att statliga myndigheter, kommuner, regioner och privata utförare inom

vården och omsorgen inför ett utlämnande av uppgifter till Myndigheten för vård- och omsorgsanalys på samma sätt som tidigare behöver pröva om uppgifterna kan lämnas ut enligt tillämpliga bestämmelser om sekretess och tystnadsplikt.

Behandlingen av personuppgifter bedöms vara proportionerlig

Intrånget i den personliga integriteten måste vägas mot behovet av att behandla uppgifterna i det avsedda syftet. Den reglering av personuppgiftsbehandling vid Myndigheten för vård- och omsorgsanalys som föreslås syftar till att balansera myndighetens behov av att utföra sitt uppdrag på ett ändamålsenligt sätt och ge ett starkt skydd för enskildas personliga integritet.

Myndigheten för vård- och omsorgsanalys fullgör viktiga sam-hällsupp- gifter, eftersom dess arbete i förlängningen ska bidra till att förbättra och effektivisera hälso- och sjukvården, tandvården och omsorgen samt stärka patienters och brukares ställning. Ändamålsenliga undersökningar och utvärderingar, och därmed ökad kunskap om de sektorerna, bidrar till att säkerställa en god och effektiv vård och omsorg för alla i Sverige. Det är regeringen som har beslutat om myndighetens uppdrag efter att i direktiven om inrättande av myndigheten ha konstaterat ett behov av en oberoende, kvalificerad och systematisk uppföljning, utvärdering och effektivitetsgranskning av de aktuella sektorerna (dir. 2010:58).

Som beskrivs i avsnitt 6 är det nödvändigt för myndigheten att kunna behandla en stor mängd personuppgifter, inklusive känsliga personuppgifter, för att kunna utföra myndighetens samhällsviktiga uppdrag på ett ändamålsenligt sätt. Myndigheten måste behandla personuppgifter för att kunna besvara relevanta frågeställningar på ett tillräckligt djupgående sätt, vilket skapar mervärde för regeringen och andra målgrupper. Att använda övergripande statistik utan personuppgifter kan vara tillräckligt i vissa fall, men kan sällan generera tillräckliga svar om vårdens och omsorgens funktionssätt nedbrutet på olika patient- och brukargrupper eller vårdområden eller förklara olika samband som kan vara viktiga som underlag för att kunna fatta informerade beslut om vårdens och omsorgens utveckling. Den behandling av personuppgifter som möjliggörs genom den föreslagna lagen är alltså nödvändig för att kunna utföra relevanta undersökningar och utvärderingar, men också för att möjliggöra kontroll och kvalitetssäkring av myndighetens resultat samt tillförsäkra att myndigheten på ett oberoende och effektivt sätt kan utföra sitt arbete. Det är ur ett effektivitetsperspektiv inte möjligt – och inte heller befogat – att göra analyserna manuellt. För att myndigheten ska kunna utföra sitt uppdrag krävs således användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas några alternativ som är mindre integritetskänsliga.

Sveriges advokatsamfund anger att de inte är övertygade om att införandet av en lag ligger i proportion till de medförda riskerna. Myndighetens arbete tar inte sikte på enskilda vård- eller omsorgsärenden utan handlar om att på en övergripande nivå följa upp och utvärdera vården och omsorgen och att ta fram underlag till regeringen på området. Den behandling som regleras i den föreslagna lagen syftar därmed inte till att övervaka eller kartlägga enskilda. Trots detta finns det vissa risker förenade med den

Prop. 2023/24:147

85

94

I paragrafens andra stycke finns en upplysning om att myndigheten får behandla personuppgifter även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser inom ramen för behandling enligt de primära ändamålen. Myndigheten för vård- och omsorgsanalys har inget statistikuppdrag och får inte behandla personuppgifter för statistik som ett självständigt ändamål. Däremot får myndigheten ta fram statistik som en del i den behandling som sker för de ändamål som anges i första stycket. Myndighetens uppdrag att inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser framgår av 3 § 3 instruktionen.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

I paragrafen anges för vilka sekundära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.3.

Bestämmelsen innebär att myndigheten får behandla personuppgifter för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning. Behandlingen förutsätter att uppgifterna redan är föremål för behandling enligt 6 §. Ett sådant uppgiftslämnande som avses i paragrafen kan exempelvis bli aktuellt vid uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Paragrafen anger när känsliga personuppgifter får behandlas. Övervägandena finns i avsnitt 7.7.

De personuppgifter som myndigheten får behandla med stöd av bestämmelsen är sådana som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Definitioner av genetiska och biometriska uppgifter samt uppgifter om hälsa finns i artikel 4.13, 4.14 och 4.15 i EU:s dataskyddsförordning.

Sammanfattning av promemorian En registerlag för Myndigheten för vård- och omsorgsanalys

I promemorian föreslås en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys som ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förslaget syftar till att ge myndigheten möjlighet att behandla de personuppgifter som är nödvändiga för att myndigheten ska kunna utföra sitt uppdrag på ett så ändamålsenligt sätt som möjligt samtidigt som enskildas personliga integritet värnas.

Lagen föreslås omfatta behandling av personuppgifter i den del av myndighetens verksamhet som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Den föreslagna lagen innehåller olika begränsningar och skyddsåtgärder som syftar till att värna enskildas personliga integritet. Myndigheten för vård- och omsorgsanalys föreslås som huvudregel endast få behandla personuppgifter i det projekt som uppgifterna har samlats in för. Det föreslås vidare att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska förvaras separat från övriga personuppgifter. Dessutom lämnas förslag till bestämmelser om bl.a. personuppgiftsansvar, sökbegränsningar, den enskildes medgivande till viss behandling och tillgången till personuppgifter.

Lagen föreslås träda i kraft den 1 januari 2025.

Prop. 2023/24:147

Bilaga 1

Prop. 2023/24:147

Bilaga 2

102

Promemorians lagförslag

Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållande till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Begränsningar av rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Personuppgiftsansvar

5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål för behandling av personuppgifter

6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för

1.undersökningar om vårdens och omsorgens funktionssätt,

2.undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg,

3.utvärderingar av information om vård och omsorg som lämnas till enskilda, eller

4.utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg.

Inom ramen för sådana undersökningar och utvärderingar får personuppgifter behandlas för att framställa statistik.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning, om sökningen sker för något av ändamålen i 6 §.

Behandling av personuppgifter i projekt

10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.

11 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.

Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Prop. 2023/24:147

Bilaga 2

103

Prop. 2023/24:147

Bilaga 2

104

Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske i projekt.

12 § Innan personuppgifter behandlas i ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa

1.syftet med projektet,

2.vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) som ska analyseras inom ramen för projektet, och

3.när projektet senast ska vara avslutat.

Det fastställda syftet får inte ändras.

Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats.

Medgivande till behandling av personuppgifter

13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.

Begränsning av möjligheterna att identifiera den registrerade

14 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1.Denna lag träder i kraft den 1 januari 2025.

2.Bestämmelserna i 11–13 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet.

Förteckning över remissinstanserna

Prop. 2023/24:147

Bilaga 3

Prop. 2023/24:147

Bilaga 4

106

Lagrådsremissens lagförslag

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållande till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Begränsningar av rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Personuppgiftsansvar

5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål för behandling av personuppgifter

6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för

1.undersökningar om vårdens och omsorgens funktionssätt,

2.undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg,

3.utvärderingar av information om vård och omsorg som lämnas till enskilda, eller

4.utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg.

Inom ramen för sådana undersökningar eller utvärderingar får personuppgifter behandlas även för att framställa statistik, bedriva omvärldsbevakning och genomföra internationella jämförelser.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning, om sökningen sker för något av ändamålen i 6 §.

Behandling av personuppgifter i projekt

10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.

11 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt får inte behandlas i ett annat projekt.

Personuppgifter får dock behandlas inom ramen för ett annat projekt än det som uppgifterna samlats in för, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske i projekt.

12 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa

1. syftet med projektet,

Prop. 2023/24:147

Bilaga 4

107

Prop. 2023/24:147

Bilaga 4

108

2.vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som ska analyseras i projektet, och

3.när projektet senast ska vara avslutat.

Det fastställda syftet får inte ändras.

Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats.

Medgivande till behandling av personuppgifter

13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.

Om ett medgivande återkallas, får behandlingen dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.

Begränsning av möjligheterna att identifiera den registrerade

14 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1.Denna lag träder i kraft den 1 januari 2025.

2.Bestämmelserna i 11–13 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2024-04-25

Närvarande: F.d. justitierådet Sten Andersson samt justitieråden Ulrik von Essen och Cecilia Renfors

En registerlag för Myndigheten för vård- och omsorgsanalys

Enligt en lagrådsremiss den 11 april 2024 har regeringen (Socialdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Förslaget har inför Lagrådet föredragits av kanslirådet Jenny Gaudio, biträdd av departementssekreteraren Sara Salomonsson.

Förslaget föranleder följande yttrande.

Förslaget till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

14 §

Enligt paragrafens första stycke ska personuppgifter som direkt kan hänföras till den registrerade förvaras separat från övriga personuppgifter och får därmed, som huvudregel, inte förvaras tillsammans med övriga personuppgifter. I andra stycket sägs att personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan kopplas till ett person-nummer eller motsvarande identitetsbeteckning.

Förslaget överensstämmer i denna del med vad som har föreslagits i 15 § förslaget till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen i lagrådsremissen En registerlag för Inspektionen för socialförsäkringen. Lagrådet har i yttrande den 12 april 2024 föreslagit att den paragrafens andra stycke formuleras om så att innebörden blir tydligare. Enligt Lagrådets mening bör, av samma skäl som har anförts i det tidigare yttrandet, 14 § andra stycket i förevarande lag ges följande lydelse.

Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till den registrerade.

Prop. 2023/24:147

Bilaga 5

Prop. 2023/24:147

110

Socialdepartementet

Utdrag ur protokoll vid regeringssammanträde den 23 maj 2024

Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Billström, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Strömmer, Roswall, Forssmed, Tenje, Slottner, Wykman, Malmer Stenergard, Kullgren, Pourmokhtari

Föredragande: statsrådet Ankarberg Johansson

Regeringen beslutar proposition En registerlag för Myndigheten för vård- och omsorgsanalys