Dataskyddsförordningen - behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Innehåll

Beslut vid regeringssammanträde den 16 juni 2016

Sammanfattning

EU har beslutat om en förordning som utgör en ny generell reglering för personuppgiftsbehandling inom EU.

En särskild utredare ska analysera vilka konsekvenser förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen, medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.

Utredaren ska bl.a.
- undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde,
- undersöka vilka anpassningar som är behövliga eller lämpliga med anledning av den nya förordningen,
- överväga behovet av anpassningar av bestämmelser om undantag från förbudet att behandla särskilda kategorier av personuppgifter,
- undersöka om det behövs nationella anpassningar avseende skyldigheter och rättigheter enligt dataskyddsförordningen, t.ex. rätten för den registrerade att göra invändningar mot behandling av personuppgifter,
- undersöka om det behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar.

Om utredaren bedömer att författningar behöver ändras, ska utredaren lämna förslag till författningsändringar. Uppdraget ska redovisas senast den 31 augusti 2017.

Den nuvarande och den nya regleringen

Dataskyddsdirektivet - den nuvarande EU-regleringen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område.

Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innebär även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.

Av artikel 6.2 framgår exempelvis att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen för sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse eller utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Medlemsstaterna får i fråga om sådan behandling närmare fastställa specifika krav och andra åtgärder för att säkerställa en laglig och rättvis behandling av uppgifterna. Enligt artikel 6.3 i förordningen ska i dessa fall grunden för behandlingen fastställas i enlighet med unionsrätten eller nationell rätt.

Personuppgiftslagen - den nuvarande svenska regleringen

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär vilken innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personuppgifter.

Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling

I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § regeringsformen under vissa förutsättningar göras genom lag. Regleringen i regeringsformen innebär att viss personuppgiftsbehandling måste regleras i lag.

Särskilda registerförfattningar inom Socialdepartementets verksamhetsområde

Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om personuppgiftsbehandling av olika slag. Exempelvis kan följande författningar nämnas: lagen (1996:1156) om receptregister, lagen (1998:543) om hälsodataregister med flera tillhörande s.k. hälsodataförordningar, lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, lagen (2002:297) om biobanker i hälso- och sjukvården m.m., lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blodsäkerhet, lagen (2006:1570) om internationella hot mot människors hälsa, lagen (2008:286) om kvalitets- och säkerhetnormer vid hantering av mänskliga vävnader och celler, patientdatalagen (2008:355), apoteksdatalagen (2009:367), socialförsäkringsbalken, lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ, lagen (2012:453) om register över nationella vaccinationsprogram samt läkemedelslagen (2015:315).

Regeringen har vidare föreslagit en ny lag om behandling av personuppgifter i ärenden om licens för läkemedel, se prop. 2015/16:143.

I författningar tillhörande Socialdepartementets verksamhetsområde finns dessutom hänvisningar till personuppgiftslagen exempelvis i lagen (2006:351) om genetisk integritet m.m. och alkohollagen (2010:1622).

Uppdraget

Allmänna riktlinjer för uppdraget

Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. I egenskap av förordning har den allmän giltighet och är bindande och direkt tillämplig i medlemsstaterna. Utgångspunkten är att en EU-förordning inte ska genomföras nationellt, men förordningen kan innebära behov av att anpassa nationella författningar och t.ex. upphäva nationella bestämmelser som står i strid med förordningen. Den nya dataskyddsförordningen medför bl.a. att personuppgiftslagen och personuppgiftsförordningen samt Datainspektionens föreskrifter i anslutning till denna reglering måste upphävas.

Regeringen har bedömt att det finns ett behov av att ta fram en nationell reglering som på ett generellt plan kompletterar förordningen och har därför tillsatt en utredning som ska lämna sådana förslag (Ju 2016:04). Utredningen ska bl.a. undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser, som förordningen kräver och överväga vilka kompletterande bestämmelser om t.ex. behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen. Det nämnda uppdraget omfattar däremot inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.

Inom Socialdepartementets verksamhetsområde finns som redovisats tidigare flera särskilda registerförfattningar och andra författningar som reglerar departementets myndigheters personuppgiftsbehandling eller personuppgiftsbehandling i övrigt inom departementets verksamhetsområden.

Regeringen anser att det finns behov av att samlat undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde samt analysera vilka anpassningar av författningar som krävs eller bör göras med anledning av den nya EU-regleringen och personuppgiftslagens upphävande. Inom ramen för en sådan undersökning behöver bl.a. förutsättningarna för att behålla eller införa nationell reglering i enlighet med artikel 6.2 i dataskyddsförordningen analyseras. Om utredaren bedömer att författningar måste eller bör ändras, ska utredaren lämna förslag till författningsändringar.

Utifrån den utredningstid som finns tillgänglig för att hinna utreda och ta fram förslag till ändringar i författningar som är behövliga för att det ska finns rättsligt stöd för befintlig personuppgiftsbehandling och anpassa de befintliga registerförfattningarna till dataskyddsförordningen så bedöms det att utredningens arbete behöver inrikta sig på sådana ändringar. Möjligheter att utreda och föreslå andra materiella ändringar, dvs. mer allmänna översyner, är därmed begränsad.

Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning, vilket t.ex. innebär att termer, uttryck och struktur samt hänvisningar till dataskyddsförordningen är enhetliga. Detta ska utredaren beakta i sitt uppdrag.

Vid utförandet av uppdraget är det också viktigt att - i den mån utrymme finns på nationell nivå - hitta lämpliga avvägningar mellan skyddet för den personliga integriteten och myndigheters, företags och enskildas behov av att kunna behandla personuppgifter eller att använda informations- och kommunikationsteknik inom olika områden.

Den enskilde har exempelvis intresse av att få sina ärenden hos myndigheter handlagda effektivt och att få tillgång till olika samhälleliga verksamheter, t.ex. inom hälso- och sjukvården, på ett för denne lämpligt sätt. För näringslivet finns det intresse av att undvika onödiga hinder som försvårar sådan personuppgiftsbehandling som behövs för att kunna erbjuda befintliga och utveckla nya innovativa tjänster och produkter av god kvalitet genom att använda informations- och kommunikationsteknik.

I många av verksamheterna inom Socialdepartementets verksamhetsområde hanteras barns personuppgifter i stor utsträckning. Mot bakgrund av åtaganden i FN:s konvention om barnets rättigheter bör utredaren i möjligaste mån och där det är relevant också uppmärksamma barns rättigheter inom ramarna för utredningsuppdraget.

Utredaren får inte avvika från generellt och direkt tillämplig unionsrätt eller på annat sätt lämna förslag som medför en konflikt med unionsrätten, dvs. utredarens förslag ska överensstämma med unionsrätten.

Utredaren ska
- undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde,
- undersöka vilka anpassningar av de författningar som hör till Socialdepartementets verksamhetsområde som krävs eller bör göras med anledning av dataskyddsförordningen, och
- lämna behövliga och lämpliga författningsförslag.

Behov av anpassningar av författningar som reglerar behandling av särskilda kategorier av personuppgifter

Dataskyddsförordningen innehåller i likhet med dataskyddsdirektivet och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden (artikel 9.1). I dataskyddsförordningen finns också definitioner av vad som exempelvis avses med genetiska uppgifter, biometriska uppgifter och uppgifter om hälsa (artikel 4). Av dessa kategorier är genetiska uppgifter, biometriska uppgifter och uppgifter om en persons sexuella läggning nya i förhållande till dataskyddsdirektivet.

Från förbudet finns ett antal viktiga undantag (artikel 9.2). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell rätt.

I dag finns vissa undantagsbestämmelser i 15-19 §§ personuppgiftslagen och det ingår i uppdraget för den utredning som ska ta fram en kompletterande generell nationell reglering till förordningen att överväga vilka kompletterande bestämmelser om undantag från förbudet som också bör finnas i en sådan reglering, se dir. 2016:15 s. 16 och 17.

Inom Socialdepartementets verksamhetsområde förekommer omfattande personuppgiftsbehandling som förutsätter att myndigheter eller privata utförare får behandla särskilda kategorier av personuppgifter. Det gäller exempelvis inom hälso- och sjukvården och socialtjänsten. Behandlingen av sådana personuppgifter behövs t.ex. i ärendehantering och för att faktiskt tillhandahålla hälso- och sjukvård eller insatser inom socialtjänsten. Vidare finns olika former av register som innehåller särskilda kategorier av personuppgifter för att en eller flera myndigheter ska kunna bedriva sin verksamhet eller för att andra aktörer ska kunna få del av uppgifterna för t.ex. forskning eller epidemiologiska undersökningar. I uppdraget som rör Socialdepartementets verksamhetsområde är det därför särskilt viktigt att överväga behov av anpassningar av bestämmelser om undantag från förbudet att behandla vissa särskilda kategorier av personuppgifter, t.ex. med anledning av de nytillförda kategorierna.

En utgångspunkt för uppdraget i denna del är att de befintliga förutsättningarna för ändamålsenlig behandling av personuppgifter inom Socialdepartementets verksamhetsområde inte försämras.

Utredaren ska
- överväga behov av anpassningar av bestämmelser om undantag från förbudet att behandla särskilda kategorier av personuppgifter i de författningar som hör till Socialdepartementets verksamhetsområde, och
- lämna behövliga och lämpliga författningsförslag.

Nationella begränsningar av vissa skyldigheter och rättigheter

Den registrerade har enligt artikel 21 i dataskyddsförordningen i vissa fall rätt att göra invändningar mot behandling av personuppgifter som grundar sig på t.ex. artikel 6.1 e behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Den personuppgiftsansvarige får i dessa fall inte längre behandla personuppgifter såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det som sker för fastställande, utövande eller försvar av rättsliga anspråk. Senast vid den första kommunikationen med den registrerade ska den rätt till invändning uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information. Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, ska den registrerade på motsvarande sätt ha rätt att göra invändningar mot behandling avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

I vissa författningar inom Socialdepartementets verksamhetsområden finns bestämmelser som innebär att den enskilde har rätt att motsätta sig behandling av personuppgifter (opt-out), se exempelvis 6 kap. 2 § och 7 kap. 2 § patientdatalagen. Men det förekommer också bestämmelser som innebär att personuppgiftsbehandling är tillåten även om den enskilde motsätter sig det, se exempelvis 2 kap. 2 § patientdatalagen. Förutsättningarna för att behålla eller införa sådana bestämmelser regleras av bl.a. artikel 23 i dataskyddsförordningen och det behöver analyseras om detta föranleder behov av att anpassa lagstiftningen på det aktuella området.

Den registrerade ska vidare enligt artikel 22 dataskyddsförordningen ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Detta ska dock inte tillämpas t.ex. om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller grundar sig på den registrerades uttryckliga samtycke.

I 112 kap. 7 § socialförsäkringsbalken (SFB) föreskrivs att beslut om allmän ålderspension får fattas genom automatiserad behandling av Pensionsmyndigheten när skälen för beslutet får utelämnas enligt 20 § förvaltningslagen (1986:223). Detsamma gäller i tillämpliga delar för Pensionsmyndighetens beslut om efterlevandepension och efterlevandestöd.

Skatteverkets beslut om pensionsgrundande inkomst får fattas genom automatiserad behandling när skälen för beslutet får utelämnas enligt 20 § förvaltningslagen (112 kap. 6 § SFB). Mot bakgrund av förekomsten av automatiserat beslutsfattande i verksamheter som omfattas av Socialdepartementets verksamhetsområde behöver det analyseras om bestämmelserna i dataskyddsförordningen innebär behov av att anpassa eller införa nationell reglering.

Genom artikel 23.1 i dataskyddsförordningen ges medlemsstaterna möjlighet att under vissa förhållanden begränsa omfattningen av vissa av de andra skyldigheter och rättigheter som förordningen föreskriver. Utöver de rättigheter som berörts ovan gäller detta bl.a. rätten till information och tillgång till personuppgifter (artikel 12-15) samt rättelse, radering och begränsning av behandling (artikel 16-19).

I det nuvarande dataskyddsdirektivet finns motsvarande reglering om undantag i artikel 13. Undantag med stöd av den bestämmelsen tas ofta in i sektorsspecifik lagstiftning, Dataskyddsförordningens bestämmelser är dock mer omfattande än direktivets bl.a. när det gäller tillämpningsområden för de skyldigheter och rättigheter som kan begränsas.

Utredaren ska
- undersöka om det behövs anpassningar i nuvarande författningar avseende de rättigheter som dataskyddsförordningen ger den registrerade vad gäller dennes rätt att göra invändningar mot behandling av personuppgifter och att inte bli föremål för automatiserat individuellt beslutsfattande,
- analysera om det finns behov av att anpassa eller införa nationella begränsningar av vissa andra skyldigheter och rättigheter, och
- lämna behövliga och lämpliga författningsförslag.

Behov av kompletterande regler om behandling av personuppgifter hos vissa myndigheter och verksamheter

som saknar särskilda registerförfattningar?

För några av de myndigheter och verksamheter som hör till Socialdepartementet saknas i dag särskilda registerförfattningar med bestämmelser för den personuppgiftsbehandling som dessa utför. Detta gäller exempelvis Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen (ISF), Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten som därmed tillämpar personuppgiftslagen vid sin personuppgiftsbehandling.

I fråga om ISF:s personuppgiftsbehandling har Utredningen om personuppgiftsbehandling vid ISF i betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67) bl.a. lämnat ett förslag till ny lag om behandling av personuppgifter inom ISF:s verksamhet. Betänkandet bereds inom Regeringskansliet. Utredaren bör överväga vilka anpassningar som till följd av dataskyddsförordningen kan behöva göras av de förslag som lämnats i betänkandet SOU 2014:67.

Utredaren ska
- undersöka om det till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar, och
- lämna behövliga och lämpliga författningsförslag.

Övriga frågor

Utredaren är oförhindrad att inom de ramar som anges i de allmänna riktlinjerna belysa även andra frågeställningar och lämna förslag som är relevanta för uppdraget.

Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande bestämmelser i andra delar än de som ska utredas särskilt, får sådana föreslås.

Konsekvensbeskrivningar

Ekonomiska och andra konsekvenser för enskilda personer, för företag och för det allmänna av de förslag som lämnas ska redovisas. Förslagens konsekvenser ska redovisas enligt 14 15 a §§ kommittéförordningen (1998:1474). Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för den personliga integriteten.

Samråd och redovisning av uppdraget

Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Utredaren ska därför hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU. Detta innebär bl.a. att utredaren ska följa och i lämplig omfattning samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk.

Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också inhämta synpunkter och upplysningar från de myndigheter och andra organisationer som kan vara berörda av aktuella frågor.

Uppdraget ska redovisas senast den 31 augusti 2017.

     (Socialdepartementet)