Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter för de
ändamål som avses i 8 eller 9 § hos Läkemedelsverket och
E-hälsomyndigheten i ärenden angående ansökan om licens för
läkemedel, om behandlingen av personuppgifterna är helt eller
delvis automatiserad eller om uppgifterna ingår i eller är
avsedda att ingå i en strukturerad samling av personuppgifter
som är tillgängliga för sökning eller sammanställning enligt
särskilda kriterier.
2 § Med licens avses i denna lag ett tillstånd enligt 4
kap. 10 § läkemedelslagen (2015:315) för öppenvårdsapotek att
sälja läkemedel för att tillgodose behovet av läkemedel för
en viss patient, ett visst djur eller djurslag eller en viss
djurbesättning.
Med öppenvårdsapotek avses i denna lag en inrättning för
detaljhandel med läkemedel som bedrivs med tillstånd enligt
2 kap. 1 § lagen (2009:366) om handel med läkemedel.
Lag (2018:489).
3 § I denna lag har de uttryck som också förekommer i
läkemedelslagen (2015:315) samma betydelse som i den lagen.
Vad som i denna lag föreskrivs i fråga om läkemedel ska också
gälla sådana varor och varugrupper för vilka det med stöd av
18 kap. 2 § läkemedelslagen har föreskrivits att
läkemedelslagen helt eller delvis ska gälla.
4 § Denna lag innehåller bestämmelser som kompletterar
Europaparlamentets och rådets förordning (EU) 2016/679 av den
27 april 2016 om skydd för fysiska personer med avseende på
behandling av personuppgifter och om det fria flödet av
sådana uppgifter och om upphävande av direktiv 95/46/EG
(allmän dataskyddsförordning), här benämnd EU:s
dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller
lagen (2018:218) med kompletterande bestämmelser till EU:s
dataskyddsförordning och föreskrifter som har meddelats i
anslutning till den lagen, om inte annat följer av denna lag
eller föreskrifter som har meddelats i anslutning till
lagen.
Lag (2018:453).
5 § Personuppgifter ska behandlas så att den registrerades
personliga integritet respekteras.
Dokumenterade personuppgifter ska hanteras och förvaras så
att obehöriga inte får tillgång till dem.
Den registrerades inställning till
personuppgiftsbehandlingen
6 § Behandling av personuppgifter som är tillåten enligt
denna lag får utföras även om den registrerade motsätter sig
behandlingen.
7 § Läkemedelsverket är personuppgiftsansvarigt för
myndighetens personuppgiftsbehandling i ärenden om ansökan om
licens.
E-hälsomyndigheten är personuppgiftsansvarig för myndighetens
personuppgiftsbehandling i ärenden om ansökan om licens.
8 § Personuppgifter får behandlas enligt denna lag om det är
nödvändigt för att
1. Läkemedelsverket ska kunna fatta beslut i ärenden om
ansökan om licens och bevara uppgifter i sådana beslut,
2. Läkemedelsverket enligt 12 § ska kunna lämna ut
uppgifter,
3. E-hälsomyndigheten ska kunna ta emot och bevara uppgifter
i ärenden om ansökan om licens,
4. E-hälsomyndigheten ska kunna sammanföra handlingar i
ärenden om ansökan om licens, och
5. E-hälsomyndigheten enligt 13-15 §§ ska kunna lämna ut
uppgifter.
9 § Personuppgifter som behandlas enligt 8 § får behandlas
även för andra ändamål, under förutsättning att uppgifterna
inte behandlas på ett sätt som är oförenligt med det ändamål
för vilket uppgifterna samlades in.
Lag (2018:453).
9 a § Personuppgifter som avses i artikel 9.1 i EU:s
dataskyddsförordning (känsliga personuppgifter) får behandlas
med stöd av artikel 9.2 h i förordningen under förutsättning
att kravet på tystnadsplikt i artikel 9.3 i förordningen är
uppfyllt.
Lag (2018:453).
10 § Vid behandling av personuppgifter får förskrivningsorsak
inte användas som sökbegrepp.
11 § Får en personuppgift lämnas ut, får det ske på medium
för automatiserad behandling.
12 § Läkemedelsverket ska till E-hälsomyndigheten lämna ut
uppgifter i ärenden om ansökan om licens.
13 § E-hälsomyndigheten ska till Läkemedelsverket lämna ut
uppgifter i ärenden om ansökan om licens.
14 § E-hälsomyndigheten ska lämna ut uppgifter i ärenden om
ansökan om licens till expedierande personal på
öppenvårdsapotek som i sin verksamhet har behov av sådana
uppgifter.
15 § E-hälsomyndigheten ska lämna ut uppgifter i ärenden om
ansökan om licens till den som är behörig att förordna
läkemedel och som i sin verksamhet har behov av sådana
uppgifter.
16 § Expedierande personal på ett öppenvårdsapotek får, med
den sökbegränsning som följer av 10 §, ha direktåtkomst till
sådana personuppgifter i ärenden om ansökan om licens hos
E-hälsomyndigheten som personalen i sin verksamhet har behov
av.
Den som är behörig att förordna läkemedel får, med den
sökbegränsning som följer av 10 §, ha direktåtkomst till
personuppgifter i sådana ärenden om ansökan om licens hos
E-hälsomyndigheten som innehåller personuppgifter som han
eller hon själv har lämnat till myndigheten.
Patienten får ha direktåtkomst till personuppgifter om sig
själv i ärenden om ansökan om licens hos
E-hälsomyndigheten.
Behörighetstilldelning
17 § Den personuppgiftsansvarige ska bestämma villkor för
tilldelning av behörighet för åtkomst till personuppgifter
som helt eller delvis behandlas automatiskt. Behörigheten ska
begränsas till vad som behövs för att den som arbetar på
Läkemedelsverket eller E-hälsomyndigheten ska kunna fullgöra
sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om tilldelning av behörighet för åtkomst
till personuppgifter som helt eller delvis behandlas
automatiskt.
18 § Den personuppgiftsansvarige ska se till att åtkomst till
personuppgifter som helt eller delvis behandlas automatiskt
dokumenteras så att åtkomsten kan kontrolleras i efterhand.
Den personuppgiftsansvarige ska systematiskt och återkommande
kontrollera om någon obehörigen kommer åt sådana uppgifter.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om dokumentation och kontroll.
19 § Personuppgifter som bevaras ska gallras hos
Läkemedelsverket och E-hälsomyndigheten senast 36 månader
efter Läkemedelsverkets beslut i ärendet.
Personuppgifter som lämnats till E-hälsomyndigheten av någon
som är behörig att förordna läkemedel ska, om uppgifterna
inte sammanförts med en ansökan om licens, gallras hos
E-hälsomyndigheten senast 12 månader efter det att
uppgifterna har kommit in till myndigheten.
20 § Har upphävts genom
lag (2018:453).
21 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s
dataskyddsförordning ska den som är personuppgiftsansvarig
enligt denna lag lämna information till den registrerade om
1. den uppgiftsskyldighet som kan följa av lag eller
förordning,
2. de sekretess- och säkerhetsbestämmelser som gäller för
uppgifterna och behandlingen,
3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7
kap. 1 § lagen (2018:218) med kompletterande bestämmelser
till EU:s dataskyddsförordning till skadestånd vid behandling
av personuppgifter i strid med denna lag, och
4. vad som gäller i fråga om sökbegränsningar.
Lag (2018:453).