|
Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning
Sammanfattning
Utskottet föreslår att riksdagen, med ett par mindre ändringar av redaktionell karaktär, antar regeringens lagförslag som syftar till att anpassa lagar inom Socialdepartementets verksamhetsområde till EU:s nya dataskyddsförordning. Förslagen innebär att lagarna om personuppgiftsbehandling i de berörda verksamheterna ska utgöra kompletteringar till EU:s dataskyddsförordning och den nya generella dataskyddslagen.
Lagändringarna föreslås träda i kraft den 25 maj 2018.
Behandlade förslag
Proposition 2017/18:171 Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning.
Utskottets förslag till riksdagsbeslut
Propositionens huvudsakliga innehåll
Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Utskottets förslag till riksdagsbeslut
Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning |
Riksdagen antar regeringens förslag till
1. lag om ändring i socialförsäkringsbalken,
2. lag om ändring i lagen (1996:1156) om receptregister,
3. lag om ändring i lagen (1998:543) om hälsodataregister,
4. lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten med den ändringen att uttrycket ”artikel 9.2 h i förordningen” i 7 § tredje stycket ska bytas ut mot ”artikel 9.2 h i EU:s dataskyddsförordning”,
5. lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.,
6. lag om ändring i lagen (2005:258) om läkemedelsförteckning,
7. lag om ändring i lagen (2006:351) om genetisk integritet m.m.,
8. lag om ändring i lagen (2006:496) om blodsäkerhet,
9. lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa,
10. lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
11. lag om ändring i patientdatalagen (2008:355) med den ändringen att
– en punkt ska införas i den numrerade listan i 2 kap. 8 § andra stycket efter ”1”,
– uttrycket ”artikel 9.2 h i förordningen” i 7 kap. 8 § fjärde stycket ska bytas ut mot ”artikel 9.2 h i EU:s dataskyddsförordning”,
12. lag om ändring i apoteksdatalagen (2009:367),
13. lag om ändring i lagen (2010:111) om införande av socialförsäkrings-balken,
14. lag om ändring i alkohollagen (2010:1622),
15. lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ,
16. lag om ändring i lagen (2012:453) om register över nationella vaccina-tionsprogram,
17. lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel.
Därmed bifaller riksdagen proposition 2017/18:171 punkterna 1–17.
Stockholm den 19 april 2018
På socialutskottets vägnar
Emma Henriksson
Följande ledamöter har deltagit i beslutet: Emma Henriksson (KD), Anna-Lena Sörenson (S), Camilla Waltersson Grönvall (M), Lennart Axelsson (S), Katarina Brännström (M), Catharina Bråkenhielm (S), Per Ramhorn (SD), Amir Adan (M), Mikael Dahlqvist (S), Jan Lindholm (MP), Kristina Nilsson (S), Carina Ståhl Herrstedt (SD), Barbro Westerholm (L), Karin Rågsjö (V), Hans Hoff (S), Ann-Britt Åsebol (M) och Staffan Danielsson (C).
I betänkandet behandlar utskottet regeringens proposition 2017/18:171 Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. I propositionen finns en redogörelse för ärendets beredning fram till regeringens beslut om proposition.
Ingen motion har väckts med anledning av propositionen.
Regeringens förslag till riksdagsbeslut finns i bilaga 1, och regeringens lagförslag finns i bilaga 2. Lagförslagen har granskats av Lagrådet.
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Förordningen utgör en ny generell reglering av personuppgiftsbehandlingen inom EU och ska börja tillämpas den 25 maj 2018.
Dataskyddsförordningen ersätter Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) och tillhörande förordning.
Trots att dataskyddsförordningen, till skillnad från dataskyddsdirektivet, är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges även att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.
Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018. Behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas antingen av dataskyddsförordningen eller av det nya dataskyddsdirektivet.
Riksdagen antog den 18 april 2018 regeringens förslag till ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning (prop. 2017/18:105, bet. 2017/18:KU23, rskr. 2017/18:224). Den nya dataskyddslagen kommer att vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar. Vidare innehåller den nya lagen vissa bestämmelser om begränsning av de registrerades rättigheter samt om skadestånd och överklagande av bl.a. tillsynsmyndighetens beslut. Det anges även att dataskyddsförordningen och den nya lagen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Den nya lagen och övriga lagändringar träder i kraft den 25 maj 2018.
Vidare föreslår regeringen i lagrådsremissen Brottsdatalag att EU:s nya dataskyddsdirektiv i huvudsak ska genomföras med en ny ramlag, brottsdatalagen. Den föreslagna ramlagen gäller vid behandling som utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den nya lagen och övriga lagändringar föreslås träda i kraft den 1 augusti 2018.
Proposition 2017/18:171 Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning innehåller förslag som syftar till att anpassa lagar inom Socialdepartementets verksamhetsområde till EU:s nya dataskyddsförordning. Förslagen innebär att lagarna om personuppgiftsbehandling i de berörda verksamheterna ska utgöra kompletteringar till EU:s dataskyddsförordning och den nya generella dataskyddslagen. Hänvisningar till personuppgiftslagen tas bort och ersätts i vissa fall av hänvisningar till EU:s dataskyddsförordning och dataskyddslagen. Vidare föreslås t.ex. att bestämmelser om rättelse och skadestånd ska tas bort eftersom sådant i stället kommer att regleras av EU:s dataskyddsförordning och dataskyddslagen.
Lagändringarna föreslås träda i kraft den 25 maj 2018.
Utskottets förslag i korthet
Riksdagen antar regeringens lagförslag med vissa redaktionella ändringar.
Propositionen
Utgångspunkter för lagstiftningsärendet
Regeringen konstaterar att EU:s dataskyddsförordning innebär en ytterligare harmonisering av dataskyddsreglerna inom EU men uppmärksammar samtidigt att förordningen till stora delar har en direktivliknande karaktär. Ett förhållandevis stort antal artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Detta gäller enligt regeringen särskilt behandling av personuppgifter som sker inom den offentliga sektorn. Regeringen framhåller därför att dataskyddsförordningens direktivliknande karaktär innebär att det kommer att finnas ett betydande utrymme för att behålla och införa ytterligare registerförfattningar om så anses behövligt eller nödvändigt.
Vidare bedömer regeringen att det är angeläget att den behandling av personuppgifter som i dag förekommer och är laglig bör kunna fortsätta även när dataskyddsförordningen börjar tillämpas. Regeringen anför att det sannolikt kommer att uppmärksammas personuppgiftsbehandling som kommer att behöva ytterligare författningsstöd. Sådana ändringar, och andra ändringar i förutsättningar för behandling av personuppgifter, får dock enligt regeringen övervägas i annan ordning. Det aktuella lagstiftningsärendet avgränsas därför till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av EU:s dataskyddsförordning.
Föreslagna författningsändringar
Av propositionen framgår att de förslag till författningsändringar som lämnas avser att så långt det är möjligt behålla, dvs. varken inskränka eller utöka, befintliga möjligheter att behandla personuppgifter. I övrigt föreslås ändringar av lagteknisk karaktär eller i upplysande syfte. De flesta av förslagen lämnas till följd av att EU:s dataskyddsförordning ska börja tillämpas och att personuppgiftslagen upphävs. Det gäller t.ex. förslag om att upphäva hänvisningar till personuppgiftslagen och bestämmelser om sådant som regleras direkt i EU:s dataskyddsförordning eller i den nya dataskyddslagen. Enligt regeringen bidrar dessa förslag, och de förslag som anger författningarnas förhållande till dataskyddsförordningen och dataskyddslagen, till att minska eventuell dubbelreglering, och de klargör även de olika regleringarnas förhållande till varandra.
Sammanfattningsvis föreslår regeringen ändringar i följande lagar:
– socialförsäkringsbalken
– lagen (1996:1156) om receptregister
– lagen (1998:543) om hälsodataregister
– lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
– lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
– lagen (2005:258) om läkemedelsförteckning
– lagen (2006:351) om genetisk integritet m.m.
– lagen (2006:496) om blodsäkerhet
– lagen (2006:1570) om skydd mot internationella hot mot människors hälsa
– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
– patientdatalagen (2008:355)
– apoteksdatalagen (2009:367)
– lagen (2010:111) om införande av socialförsäkringsbalken
– alkohollagen (2010:1622)
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
– lagen (2012:453) om register över nationella vaccinationsprogram
– lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel.
Registerförfattningarnas förhållande till annan dataskyddsreglering
När det gäller registerförfattningarna föreslår regeringen att de bör innehålla en upplysning om att författningarna kompletterar EU:s dataskyddsförordning. Registerförfattningarna kommer enligt regeringen endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet.
Regeringen föreslår även att det i registerförfattningarna bör upplysas om att den nya dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den. Dataskyddslagen och föreskrifter som meddelas i anslutning till den lagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå. Om registerförfattningarna innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.
Vidare konstateras i propositionen att EU:s dataskyddsförordning inte ska tillämpas när det är fråga om personuppgiftsbehandling som en behörig myndighet utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna ordningen (artikel 2.2 d i dataskyddsförordningen). Regeringen föreslår därför att det i patientdatalagen respektive lagen om behandling av personuppgifter inom socialtjänsten ska införas en bestämmelse om att lagen inte ska tillämpas vid sådan personuppgiftsbehandling som avses i den ursprungliga lydelsen av artikel 2.2 d i EU:s dataskyddsförordning. Sådan behandling av personuppgifter kommer därmed att omfattas av den kommande brottsdatalagen som föreslås träda i kraft den 1 augusti 2018.
Finalitetsprincipen m.m.
Den s.k. finalitetsprincipen innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Finalitetsprincipen finns således reglerad i dataskyddsförordningen som kommer att vara direkt tillämplig.
Mot den bakgrunden föreslår regeringen att registerförfattningarnas bestämmelser som hänvisar till personuppgiftslagens bestämmelse om finalitetsprincipen tas bort. Vidare föreslår regeringen att det av tydlighetsskäl bör införas en bestämmelse i registerförfattningarna om att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
I fråga om bestämmelser om bevarandet av personuppgifter för historiska, statistiska eller vetenskapliga ändamål föreslår regeringen att terminologin anpassas till EU:s dataskyddsförordning (artikel 89.1 i dataskyddsförordningen). Registerförfattningarnas bestämmelser om bevarande av personuppgifter bör därmed ändras till att avse behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Känsliga personuppgifter
EU:s dataskyddsförordning innebär att fler kategorier av uppgifter blir att betrakta som s.k. känsliga personuppgifter än vad som i dag gäller enligt dataskyddsdirektivet. Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning har tillkommit som nya kategorier (artikel 9.1 i dataskyddsförordningen). Regeringen konstaterar emellertid att uppgifter om sexuell läggning i svensk rätt har ansetts ingå i begreppet ”sexualliv” varför införandet av det begreppet i förordningen inte innebär någon egentlig utvidgning från ett svenskt perspektiv.
Huvudregeln enligt dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras dock med ett antal undantag som anger när behandling av känsliga personuppgifter trots allt kan tillåtas. Regeringens bedömning är att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvård samt inom social omsorg är förenliga med EU:s dataskyddsförordning med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen. Dessa bestämmelser kan och bör därför enligt regeringen behållas.
En ytterligare förutsättning för behandling är dock att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt. Regeringen föreslår därför att registerförfattningarna kompletteras med en bestämmelse som påminner om att behandling av känsliga personuppgifter får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.
Uppgifter om lagöverträdelser
I fråga om uppgifter om lagöverträdelser gör regeringen bedömningen att bestämmelser i registerförfattningar som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör behållas. Myndigheters möjligheter att behandla sådana uppgifter påverkas enligt regeringen inte av EU:s dataskyddsförordning.
Bestämmelser som reglerar behandling av uppgifter om lagöverträdelser finns i patientdatalagen och socialförsäkringsbalken. Regeringen föreslår att hänvisningen till personuppgiftslagen tas bort och att det i stället uttryckligen anges i patientdatalagen och socialförsäkringsbalken vilka uppgifter om lagöverträdelser som får behandlas.
Information till registrerade
När det gäller krav på information till registrerade framhåller regeringen att dataskyddsförordningens bestämmelser om information är mer utförliga än de som finns i det nuvarande dataskyddsdirektivet. Den registrerade kommer således att ha rätt att få mer information än vad som nu gäller enligt dataskyddsdirektivet. Regeringen föreslår därför att registerförfattningarnas bestämmelser om information till registrerade som motsvarar eller begränsar krav på information som finns i artiklarna 13 och 14 i dataskyddsförordningen tas bort. Registerförfattningarna bör dock enligt regeringen kompletteras med en upplysning om att information till den registrerade ska lämnas enligt dataskyddsförordningen. Bestämmelser i registerförfattningar kan i vissa fall även komplettera reglerna om information i dataskyddsförordningen såtillvida att de reglerar att den information som ska lämnas till registrerade ska innehålla fler uppgifter än som följer av EU:s dataskyddsförordning.
Rätten till rättelse, radering och begränsning av behandling
Av artikel 16 i dataskyddsförordningen framgår att den registrerade har rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade och, med beaktande av ändamålet med behandlingen, även rätt att komplettera ofullständiga personuppgifter. Rätten till komplettering är ny i förhållande till dataskyddsdirektivet. Rätten till radering, även kallad rätten att bli bortglömd, följer av artikel 17 i dataskyddsförordningen. Vidare har den registrerade enligt artikel 18 i förordningen rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, vilket har ersatt den åtgärd som enligt dataskyddsdirektivet benämns som blockering.
Eftersom dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga och inte specifikt begränsade till behandling i strid med dataskyddsförordningen, behövs det enligt regeringen ingen hänvisning till dessa bestämmelser. Regeringen föreslår därför att registerförfattningarnas bestämmelser med hänvisningar till personuppgiftslagens bestämmelser om rättelse bör upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.
Bestämmelser om skadestånd och överklagande
I fråga om bestämmelserna i registerförfattningar som hänvisar till personuppgiftslagens bestämmelser om skadestånd föreslår regeringen att dessa bör upphävas. I dataskyddsförordningen finns bestämmelser om ansvar och rätt till ersättning i artikel 82. Enligt regeringen är dataskyddsförordningen, inom sitt tillämpningsområde, direkt tillämplig även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde, och det behövs av den anledningen ingen hänvisning till förordningens bestämmelser. Dessutom kommer det i den nya dataskyddslagen finnas en hänvisning till dataskyddsförordningens skadeståndsbestämmelse, som omfattar alla författningar som kompletterar dataskyddsförordningen.
Vidare föreslår regeringen att bestämmelserna om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör upphävas. Regeringen anser att det inte finns något skäl att reglera överklagandemöjligheten på annat sätt än vad som kommer att följa av dataskyddslagen. Dataskyddslagen kommer att gälla om inte annat följer av registerförfattningarna eller föreskrifter som har meddelats i anslutning till dessa. Det innebär enligt regeringen att bestämmelserna i dataskyddslagen om överklagande av personuppgiftsansvariga myndigheters beslut kommer att vara tillämpliga även inom registerförfattningarnas tillämpningsområde under förutsättning att det inte finns avvikande bestämmelser i registerförfattningarna.
Ikraftträdande- och övergångsbestämmelser
Författningsändringarna till följd av EU:s dataskyddsförordning föreslås träda i kraft den 25 maj 2018. Regeringen anser inte att det behövs några särskilda övergångsbestämmelser.
Utskottets ställningstagande
Propositionen har inte lett till några motionsyrkanden eller andra invändningar under utskottsbehandlingen. Utskottet finner att regeringens lagförslag är ändamålsenligt utformade och att de bör antas. Med detta föreslår utskottet att riksdagen antar de lagförslag som läggs fram i propositionen, dock med vissa mindre ändringar av redaktionell karaktär.
Bilaga 1
Förteckning över behandlade förslag
1.Riksdagen antar regeringens förslag till lag om ändring i socialförsäkringsbalken.
2.Riksdagen antar regeringens förslag till lag om ändring i lagen (1996:1156) om receptregister.
3.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:543) om hälsodataregister.
4.Riksdagen antar regeringens förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
5.Riksdagen antar regeringens förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
6.Riksdagen antar regeringens förslag till lag om ändring i lagen (2005:258) om läkemedelsförteckning.
7.Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:351) om genetisk integritet m.m.
8.Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:496) om blodsäkerhet.
9.Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa.
10.Riksdagen antar regeringens förslag till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
11.Riksdagen antar regeringens förslag till lag om ändring i patientdatalagen (2008:355).
12.Riksdagen antar regeringens förslag till lag om ändring i apoteksdatalagen (2009:367).
13.Riksdagen antar regeringens förslag till lag om ändring i lagen (2010:111) om införande av socialförsäkringsbalken.
14.Riksdagen antar regeringens förslag till lag om ändring i alkohollagen (2010:1622).
15.Riksdagen antar regeringens förslag till lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ.
16.Riksdagen antar regeringens förslag till lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram.
17.Riksdagen antar regeringens förslag till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel.
Bilaga 2