Personuppgiftsbehandling för forskningsändamål

Delbetänkande av Forskningsdatautredningen

Stockholm 2017

SOU 2017:50

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN978-91-38-24625-2

ISSN 0375-250X

Till statsrådet

Helene Hellmark Knutsson

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utre- dare med uppdrag att med anledning av EU:s dataskyddsförord- ning föreslå en kompletterande reglering av behandling av person- uppgifter för forskningsändamål, med syftet att möjliggöra en ända- målsenlig behandling av personuppgifter för forskningsändamål sam- tidigt som den enskildes fri- och rättigheter skyddas (dir. 2016:65). Den 16 mars 2017 beslutade regeringen tilläggsdirektiv till utred- ningen (dir. 2017:29) med uppdrag att analysera vilka rättsliga för- utsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, samt beslutade att uppdraget ska slutredovisas senast den 27 april 2018.

Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg.

Som huvudsekreterare anställdes den 1 september 2016 Linda Stridsberg. Samma dag anställdes Staffan Malmgren som utrednings- sekreterare. Den 26 september anställdes Magnus Stenbeck som utredningssekreterare.

Som experter att biträda utredningen förordnades den 10 november 2016 professor Johan Askling, enhetschef Anna Bennet Bark, jurist Ulrika Harnesk, professor Peter Höglund, chefsjurist Anna Hörnlund, verksjurist Jonas Jeppson, avdelningschef Petra Otterblad. Den 15 november 2016 förordnades även professor Robert Erikson som expert.

Som sakkunniga i utredningen förordnades den 10 november 2016 kansliråden Olle Sundberg, Maria Wästfelt och Tyri Öhman. Maria Wästfelt entledigades från uppdraget den 28 februari 2017 och förordnades samma dag som expert i utredningen. Den 23 mars 2017

förordnades även departementssekreterare Thomas Neidenmark som sakkunnig i utredningen.

Utredningen, som har tagit sig namnet Forskningsdatautred- ningen, överlämnar härmed delbetänkandet Personuppgiftsbehand- ling för forskningsändamål (SOU 2017:50).

Stockholm i maj 2017

Cecilia Magnusson Sjöberg

/Linda Stridsberg

Staffan Malmgren

Magnus Stenbeck

Innehåll

Sammanfattning ................................................................

15

Summary ..........................................................................

29

1

Författningsförslag.....................................................

43

1.1

Förslag till forskningsdatalag .................................................

43

1.2Förslag till lag om ändring i lagen (2003:460) om

etikprövning av forskning som avser människor ..................

47

1.3Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för

människors hälsa .....................................................................

49

1.4Förslag till lag om ändring i lagen (1999:353) om

 

rättspsykiatriskt forskningsregister .......................................

54

2

Vårt uppdrag och arbete .............................................

57

2.1

Utredningsuppdraget..............................................................

57

 

2.1.1

Reglering av personuppgiftsbehandling för

 

 

 

forskningsändamål...................................................

57

 

2.1.2

Vissa anpassningar av registerförfattningar ...........

59

 

2.1.3

Fortsatta uppdrag ....................................................

59

2.2

Anknytande utredningar ........................................................

59

 

2.2.1

Dataskyddsutredningen ..........................................

60

 

2.2.2

Samordningsgruppen...............................................

60

 

2.2.3

Övriga kontakter .....................................................

61

5

Innehåll SOU 2017:50

2.3

Utredningsarbetet ..................................................................

61

 

2.3.1

Expertgruppsmöten ................................................

61

 

2.3.2

Referensgruppsmöten.............................................

61

 

2.3.3

Hearing ....................................................................

62

 

2.3.4

Övriga möten ..........................................................

62

2.4

Betänkandets disposition m.m...............................................

63

3

Bakgrund, rättsliga utgångspunkter och begrepp ...........

65

3.1

Inledning .................................................................................

65

3.2

Rättsliga utgångspunkter .......................................................

66

 

3.2.1

Internationell reglering ...........................................

67

 

3.2.2

Nationell lagstiftning ..............................................

73

3.3

Bakgrund utifrån ett forskningsperspektiv...........................

76

 

3.3.1

EU:s dataskyddsreform ..........................................

76

 

3.3.2

Frågor för forskningen vid

 

 

 

dataskyddsförordningens tillkomst .......................

78

 

3.3.3

Sammanfattning ......................................................

86

3.4

Begreppsdefinitioner ..............................................................

87

 

3.4.1

Inledning..................................................................

87

 

3.4.2

Begreppsanvändning i dataskyddsregleringen.......

88

 

3.4.3

Begreppet forskning................................................

90

 

3.4.4

Begreppet forskningsändamål ................................

99

 

3.4.5

Begreppet akademiskt skapande...........................

107

 

3.4.6

Sammanfattning ....................................................

113

4

En forskningsdatalag................................................

115

4.1

Inledning ...............................................................................

115

4.2En kompletterande lag vid personuppgiftsbehandling

för forskningsändamål ska införas.......................................

116

4.2.1

Överväganden och förslag ....................................

116

4.3Forskningsdatalagens förhållande till annan

dataskyddsreglering..............................................................

118

4.3.1

Överväganden och förslag ....................................

119

4.4 Sammanfattning....................................................................

120

6

SOU 2017:50 Innehåll

5

Fastställande av rättslig grund ..................................

121

5.1

Inledning ...............................................................................

121

5.2

Rättsliga förutsättningar.......................................................

121

 

5.2.1

Nuvarande reglering ..............................................

121

 

5.2.2

Dataskyddsförordningen ......................................

122

5.3

Rättslig grund utifrån forskningsaktör................................

133

 

5.3.1

Inledning ................................................................

133

 

5.3.2

Offentligrättsliga forskningsaktörer ....................

134

 

5.3.3

Privaträttsliga forskningsaktörer ..........................

138

 

5.3.4

Överväganden ........................................................

141

5.4Ytterligare behandling av personuppgifter för

forskningsändamål ................................................................

145

5.4.1

Inledning ................................................................

145

5.4.2

Nuvarande reglering ..............................................

145

5.4.3

Dataskyddsförordningen ......................................

146

5.4.4

Sammanfattande analys .........................................

146

5.5 Överväganden och förslag ....................................................

148

5.5.1

Inledning ................................................................

148

5.5.2Fastställande av den rättsliga grunden allmänt

 

 

intresse ...................................................................

150

 

5.5.3

Inledande upplysningsbestämmelse .....................

152

5.6

Sammanfattning ....................................................................

153

6

Behandling av personuppgifter med samtycke ............

155

6.1

Inledning ...............................................................................

155

6.2

Rättsliga förutsättningar.......................................................

156

 

6.2.1

Nuvarande reglering ..............................................

156

 

6.2.2

Dataskyddsförordningen ......................................

158

6.3

Samtycke och känsliga personuppgifter ..............................

159

6.4Samtyckets innehåll och de krav som ställs på giltigt

samtycke ................................................................................

161

6.4.1

Inledning ................................................................

161

6.4.2

Frivillig viljeyttring................................................

163

6.4.3

Specifik viljeyttring ...............................................

168

7

Innehåll

 

SOU 2017:50

6.4.4

Otvetydig viljeyttring ...........................................

171

6.4.5

Informerad viljeyttring .........................................

173

6.4.6

Uttrycklig viljeyttring gällande känsliga

 

 

personuppgifter .....................................................

175

6.4.7

Överväganden........................................................

176

6.5Ytterligare behandling av personuppgifter som lämnats

med stöd av samtycke ..........................................................

177

6.5.1

Inledning................................................................

177

6.5.2

Personuppgiftslagen..............................................

177

6.5.3

Dataskyddsförordningen ......................................

179

6.5.4

Överväganden........................................................

180

6.6 Samtycke tillsammans med annan rättslig grund ...............

180

6.6.1

Inledning................................................................

180

6.6.2Samtidig förekomst av de rättsliga grunderna

 

 

samtycke och allmänt intresse..............................

181

6.7

Sammanfattning....................................................................

182

7

Känsliga personuppgifter ..........................................

185

7.1

Inledning ...............................................................................

185

 

7.1.1

Terminologi ...........................................................

185

7.2

Rättsliga förutsättningar ......................................................

187

 

7.2.1

Nuvarande reglering..............................................

187

 

7.2.2

Dataskyddsförordningen ......................................

190

 

7.2.3

Dataskyddsutredningens förslag..........................

192

7.3

Behandling av känsliga personuppgifter..............................

194

7.3.1Gränsdragningen mellan känsliga och övriga

 

personuppgifter .....................................................

194

7.3.2

Krav på lagstiftning om undantag ........................

195

7.4 Överväganden och förslag ...................................................

200

7.4.1Tillåten behandling av känsliga

personuppgifter .....................................................

200

7.5 Sammanfattning....................................................................

200

8

SOU 2017:50 Innehåll

8

Personuppgifter om lagöverträdelser m.m. .................

201

8.1

Inledning ...............................................................................

201

8.2

Rättsliga förutsättningar.......................................................

202

 

8.2.1

Nuvarande reglering ..............................................

202

 

8.2.2

Dataskyddsförordningen ......................................

204

 

8.2.3

Regleringen i 2016 års dataskyddsdirektiv ...........

205

 

8.2.4

Dataskyddsutredningens förslag ..........................

206

8.3

Kraven på behandlingen och lagstiftningen ........................

206

8.4

Överväganden och förslag ....................................................

208

8.5

Sammanfattning ....................................................................

209

9

Personnummer och samordningsnummer ...................

211

9.1

Inledning ...............................................................................

211

9.2

Rättsliga förutsättningar.......................................................

212

 

9.2.1

Nuvarande reglering ..............................................

212

 

9.2.2

Dataskyddsförordningen ......................................

212

 

9.2.3

Dataskyddsutredningens förslag ..........................

212

9.3

Överväganden .......................................................................

213

9.4

Sammanfattning ....................................................................

213

10

Vissa begränsningar av registrerades rättigheter ..........

215

10.1

Inledning ...............................................................................

215

 

10.1.1

Utredningens uppdrag ..........................................

215

 

10.1.2

Dataskyddsutredningens förslag ..........................

216

10.2

Rättsliga förutsättningar.......................................................

217

10.2.1Möjligheter att göra undantag från vissa

 

rättigheter i nationell rätt ......................................

217

10.2.2

Direkt tillämpliga möjligheter att göra

 

 

undantag från den registrerades rättigheter .........

219

10.2.3

Rättigheter när den enskilde inte kan

 

 

identifieras..............................................................

220

10.2.4Andra möjligheter till undantag för särskilda

ändamål...................................................................

220

9

Innehåll SOU 2017:50

10.3

De aktuella rättigheterna, och behov av att göra

 

 

undantag från dem................................................................

 

221

 

10.3.1 Artikel

15

– Rätt till tillgång (registerutdrag)

..... 221

 

10.3.2 Artikel

16

– Rätt till rättelse .................................

224

 

10.3.3 Artikel

18

– Rätt till begränsning av

 

 

behandling .............................................................

227

 

10.3.4 Artikel

21

– Rätt att göra invändningar ...............

230

10.4

Sammanfattning

....................................................................

 

234

11

Tillsyn och sanktioner ..............................................

235

11.1

Inledning ...............................................................................

 

 

235

11.2

Tillsyn....................................................................................

 

 

235

11.3

Sanktioner .............................................................................

 

 

239

 

11.3.1 Skadestånd .............................................................

239

11.4

Sammanfattning....................................................................

 

 

240

12

Skyddsåtgärder........................................................

 

 

243

12.1

Inledning ...............................................................................

 

 

243

12.2

Rättsliga förutsättningar ......................................................

243

 

12.2.1 Allmän .....................reglering av skyddsåtgärder

244

12.2.2Reglering av skyddsåtgärder i samband med

 

 

forskningsändamål ................................................

245

 

12.2.3 Allmän reglering av säkerhetskrav .......................

245

12.3

Skyddsåtgärder för personuppgiftsbehandling...................

246

 

12.3.1

Skyddsåtgärder enligt

 

 

 

dataskyddsförordningen .......................................

246

 

12.3.2

Begrepp ..................................................................

252

 

12.3.3 Tekniska och organisatoriska skyddsåtgärder.....

258

 

12.3.4

Rättsliga skyddsåtgärder .......................................

271

 

12.3.5

Säkerhet .................................................................

278

12.4

Överväganden och förslag ...................................................

282

 

12.4.1

Lämplig normgivningsnivå ...................................

282

 

12.4.2

Förslag till skyddsåtgärder ...................................

285

 

12.4.3

Övriga överväganden ............................................

291

12.5

Sammanfattning....................................................................

292

10

SOU 2017:50 Innehåll

13

En proportionerlig lagstiftning...................................

295

13.1

Inledning ...............................................................................

295

13.2

Rättsliga förutsättningar.......................................................

296

 

13.2.1

Dataskyddsförordningen ......................................

296

 

13.2.2

Regeringsformen ...................................................

297

 

13.2.3

Övriga rättsliga instrument...................................

299

13.3

Integritetsanalys och proportionalitetsbedömning ............

300

13.3.1Kartläggning av den föreslagna

personuppgiftsbehandlingen.................................

300

13.3.2 Proportionalitetsbedömning.................................

306

13.3.3De föreslagna bestämmelserna kräver

 

 

reglering i lagform .................................................

311

13.4

Överväganden .......................................................................

312

13.5

Sammanfattning ....................................................................

312

14

Etikprövning av personuppgiftsbehandling för

 

 

forskningsändamål ..................................................

315

14.1

Vårt uppdrag i denna del ......................................................

315

14.2

Rättsliga förutsättningar.......................................................

316

 

14.2.1

Inledning ................................................................

316

 

14.2.2

Personuppgiftslagens relation till

 

 

 

etikprövningslagen ................................................

317

14.3

Etikprövning som skyddsåtgärd ..........................................

326

 

14.3.1

Inledning ................................................................

326

 

14.3.2 Etikprövning som befintlig skyddsåtgärd............

327

 

14.3.3

Dataskyddsförordningens krav ............................

329

 

14.3.4

Överväganden ........................................................

332

14.4

Tillämpningsområdet för kravet på etikprövning ...............

335

 

14.4.1

Inledning ................................................................

335

14.4.2Etikprövningslagens ursprungliga

tillämpningsområde ...............................................

336

14.4.3Etikprövningslagens nuvarande

 

tillämpningsområde ...............................................

338

14.4.4

Ett utvidgat tillämpningsområde? ........................

342

14.4.5

Överväganden och förslag ....................................

346

11

Innehåll

SOU 2017:50

14.5 Behov av fortsatt översyn

.................................................... 353

14.5.1 Inledning................................................................

353

14.5.2Etikprövning vid lägre risk för intrång i den

 

 

enskildes integritet ................................................

354

 

14.5.3

Överväganden........................................................

361

14.6

Anpassningar av etikprövningslagen till

 

 

dataskyddsförordningen ......................................................

363

 

14.6.1

Inledning................................................................

363

 

14.6.2

Överväganden och förslag ....................................

364

14.7

Sammanfattning....................................................................

373

15

Anpassningar av vissa registerförfattningar .................

375

15.1

Vårt uppdrag i denna del ......................................................

375

15.2

Rättsliga förutsättningar ......................................................

376

15.3

Lag (2013:794) om vissa register för forskning om vad

 

 

arv och miljö betyder för människors hälsa ........................

378

 

15.3.1

Inledning................................................................

378

15.3.2Dataskyddsförordningens utrymme för nationell lagstiftning – övergripande

 

 

överväganden .........................................................

380

 

15.3.3

Överväganden och förslag ....................................

383

15.4

Lag (1999:353) om rättspsykiatriskt forskningsregister....

401

 

15.4.1

Inledning................................................................

401

 

15.4.2

Dataskyddsförordningens utrymme för

 

 

 

nationell lagstiftning – övergripande

 

 

 

överväganden .........................................................

402

 

15.4.3

Överväganden och förslag ....................................

404

16

Ikraftträdande- och övergångsbestämmelser ...............

423

16.1

Inledning ...............................................................................

423

16.2

Ikraftträdande- och övergångsbestämmelser i

 

 

dataskyddsförordningen ......................................................

423

16.3

Ikraftträdande- och övergångsbestämmelser i

 

 

dataskyddslagen ....................................................................

424

12

SOU 2017:50 Innehåll

16.4

Överväganden och förslag ....................................................

425

 

16.4.1

Ikraftträdande ........................................................

425

 

16.4.2

Övergångsbestämmelser .......................................

425

17

Konsekvenser..........................................................

427

17.1

Inledning ...............................................................................

427

 

17.1.1 Förändringar som följer av våra förslag ...............

427

17.2

Utredningens förslag ............................................................

429

 

17.2.1

Problem- och målbeskrivning...............................

429

 

17.2.2

Alternativa lösningar .............................................

430

 

17.2.3 Vem berörs av våra förslag? ..................................

431

 

17.2.4 Förslagens förenlighet med EU-rätten ................

431

 

17.2.5 Tidpunkt och information inför

 

 

 

ikraftträdande.........................................................

432

17.3

Ekonomiska konsekvenser ...................................................

432

 

17.3.1 Vår bedömning av förslagen .................................

432

 

17.3.2 Ekonomiska konsekvenser av alternativa

 

 

 

lösningar.................................................................

433

17.4

Andra konsekvenser enligt kommittéförordningen ...........

433

17.5

Konsekvenser för den personliga integriteten ....................

434

17.6

Sammanfattning ....................................................................

434

18

Författningskommentar ............................................

437

18.1

Förslaget till forskningsdatalag ............................................

437

18.2

Förslaget till lag om ändring av lagen (2003:460) om

 

 

etikprövning av forskning som avser människor ................

445

18.3

Förslaget till lag om ändring av lagen (2013:794) om

 

 

vissa register för forskning om vad arv och miljö

 

 

betyder för människors hälsa ...............................................

447

18.4

Förslaget till lag om ändring av lagen (1999:353) om

 

 

rättspsykiatriskt forskningsregister .....................................

450

13

Innehåll

 

SOU 2017:50

Bilagor

 

 

 

Bilaga 1

Kommittédirektiv 2016:65...........................................

 

453

Bilaga 2

Kommittédirektiv 2017:29...........................................

 

475

Bilaga 3 Strukturerad begreppsgenomgång av

 

 

 

Europaparlamentets och rådets förordning

 

 

 

(EU) 2016/679 (allmän dataskyddsförordning) ........

479

14

Sammanfattning

Uppdraget

I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförord- ningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författningsförslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i upp- drag att överväga och eventuellt föreslå anpassningar i viss närligg- ande lagstiftning.

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förord- ningen är direkt tillämplig i alla medlemsstater och gäller i stället för motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet (95/46/EG) och dess svenska implementering genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångs- punkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgifts- biträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpnings- område.

15

Sammanfattning

SOU 2017:50

Begreppet forskningsändamål

Förordningens återkommande uttryck ”vetenskapliga eller histo- riska forskningsändamål” innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedöm- ning likställas.

Personuppgiftsbehandling för forskningsändamål bör vidare kunna omfatta hela eller delar av forskningsprocessen. Iordning- ställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är således att de enskilda delarna av denna process ska kunna betecknas som behandling för forskningsändamål utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitu- dinella studier där förlopp studeras över tidsperioder som ibland omfattar många år.

En forskningsdatalag

Utredningen har identifierat ett behov av att införa en forsknings- datalag med syfte att möjliggöra personuppgiftsbehandling för forsk- ningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsi- diär i förhållande till andra lagar och förordningar. Av tydlighets- skäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdata- lagen. En registerförfattning, eller en bestämmelse i en registerför- fattning, som specifikt är tillämplig på personuppgiftsbehandling för ändamålet forskning ska ha företräde framför avvikande be- stämmelser i forskningsdatalagen.

16

SOU 2017:50

Sammanfattning

Rättslig grund

Fastställande av allmänt intresse som rättslig grund

Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framför allt kan komma ifråga för forsknings- ändamål är, enligt utredningens bedömning, samtycke enligt arti- kel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavväg- ning enligt artikel 6.1 f.

Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forsk- ningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komplettera dataskyddsförord- ningen.

Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den sär- skilda behandlingen. Det är således möjligt enligt dataskyddsförord- ningen att införa särskilda bestämmelser i nationell rätt som specifi- cerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

Kravet enligt artikel 6.3 på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forsk- ningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av för- fattningsstöd att basera tillämpningen på.

I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga

17

Sammanfattning

SOU 2017:50

som privata aktörer att utföra uppgifter av allmänt intresse i data- skyddsförordningens mening.

Om inga nationella lagstiftningsåtgärder vidtas innebär förord- ningens bestämmelser att offentliga forskningsaktörer framför allt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forsk- ningsändamål. Privata forskningsaktörer har framför allt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresse- avvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så bety- dande skillnader i möjligheterna att åberopa de olika rättsliga grun- derna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, i praktiken beroende på vilken organisations- form aktören har, är enligt utredningens bedömning rimligen inte avsiktligt.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till sam- verkan och att bedriva forskning som kan komma att få nytta för all- mänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå obero- ende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en be- stämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförord- ningen för behandling av personuppgifter för forskningsändamål.

Ytterligare behandling

Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med

18

SOU 2017:50

Sammanfattning

stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar.

I samband med utlämnande av personuppgifter till annan person- uppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgifts- ansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Samtycke

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Data- skyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som god- känns som samtycke har lagts till i definitionen jämfört med i person- uppgiftslagen.

Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är möjligt att behandla känsliga person- uppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etik- prövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförordningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här

19

Sammanfattning

SOU 2017:50

om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhållanden, dvs. när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas.

Ytterligare behandling av personuppgifter för forskningsända- mål insamlade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny person- uppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt.

Känsliga personuppgifter

Av artikel 9.1 i dataskyddsförordningen framgår att det är förbju- det att behandla personuppgifter som avslöjar ras eller etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens definition av den här kategorin av personuppgifter är något utökad jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförordningen används vidare benämningen särskilda kategorier av personuppgifter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi dock att även fortsatt benämna dessa slags personuppgifter som känsliga personuppgifter.

För att behandling av känsliga personuppgifter ska vara tillåten under vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personupp- giftsbehandling när denna är nödvändig för att uppnå forsknings- ändamålet. Som huvudsaklig skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etikprövningslagen ska kvarstå.

20

SOU 2017:50

Sammanfattning

Personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter om lagöverträdelser m.m. regleras i artikel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personupp- giftsbehandling när denna är nödvändig för att uppnå forsknings- ändamålet.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades rättigheter och friheter. Utredningen föreslår att etikprövning enligt etikprövnings- lagen fortsatt ska vara den huvudsakliga skyddsåtgärden.

Personnummer och samordningsnummer

Den reglering som Dataskyddsutredningen föreslår för behandling av personnummer eller samordningsnummer innehåller samma direkt tillämpliga villkor som återfinns i nuvarande lagstiftning. Dessa vill- kor torde vara uppfyllda i vissa forskningssammanhang.

Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten och regeringen samt tillsynsmyn- digheten har samma möjligheter som tidigare att meddela special- reglering i form av registerförfattningar för vissa typer av behand- lingar. Något behov av ytterligare kompletterande nationell regler- ing finns därmed inte.

Begränsningar av registrerades rättigheter

I dataskyddsförordningens tredje kapitel (artiklarna 12–23) anges den registrerades rättigheter i samband med att dennes personupp- gifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas. Dataskyddsutredningen har föreslagit vissa generella begränsningar i dessa rättigheter.

21

Sammanfattning

SOU 2017:50

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med för- behåll för de villkor och skyddsåtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forsk- ningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen.

Rätten till rättelse (artikel 16) ska inte gälla för sådana person- uppgifter som behandlats för forskningsändamål om de enbart be- varas i arkiveringssyfte. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätt till begränsning av behandling (artikel 18) ska inte gälla när den registrerade bestrider uppgifternas korrekthet under den ut- redningstid som krävs för att kontrollera om personuppgifterna är korrekta, om detta medför att forskningen inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Det saknas behov av ytterligare undantag från rätten till tillgång (artikel 15) samt rätten att göra invändningar (artikel 21) när per- sonuppgifter behandlas för forskningsändamål, utöver vad Data- skyddsutredningen har föreslagit.

Tillsyn och sanktioner

Utredningen har översiktligt behandlat frågor om tillsyn och sanktio- ner i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet, och ha befogenheter enligt dataskyddsförord- ningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen.

Eftersom den föreslagna forskningsdatalagen kompletterar data- skyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen-

22

SOU 2017:50

Sammanfattning

heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som stadgar att rätten till ersättning enligt artikel 82 i data- skyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kom- pletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forsknings- datalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

Skyddsåtgärder

Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forsknings- ändamål och hur åtgärderna bör vara utformade. För känsliga person- uppgifter samt personuppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmel- ser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför analyserat centrala begrepp, som exempelvis person- uppgift, pseudonymisering och anonymisering, för att därefter gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättig- heter, särskilt mot bakgrund på dataskyddsförordningens säkerhets- krav.

Med beaktande av befintliga möjligheter att reglera skyddsåtgär- der när personuppgifter behandlas för forskningsändamål gör vi be- dömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkän- nande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vid- tas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen föreslår att personuppgiftslagens befintliga bestäm- melse som anger att uppgifter som samlats in för forskningsända-

23

Sammanfattning

SOU 2017:50

mål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Vidare föreslår vi att en bestämmelse införs i forskningsdata- lagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis.

Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forsknings- ändamål. Om det visar sig vara omöjligt eller medföra en oproportio- nerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.

En proportionerlig lagstiftning

Utredningen har analyserat de föreslagna bestämmelserna i forsk- ningsdatalagen utifrån de krav på framför allt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förut- sättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen.

Den föreslagna regleringen måste uppfylla krav på proportionali- tet som ställs i flera olika rättsliga sammanhang. Utredningens be- dömning, utifrån den integritetskartläggning som gjorts, de skydds- åtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportio- nell utifrån samtliga dessa proportionalitetskrav.

Etikprövning

Utredningen har analyserat vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras inför att dataskyddsförordningen börjar tillämpas. Utred-

24

SOU 2017:50

Sammanfattning

ningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för person- uppgiftsbehandling för forskningsändamål av känsliga personuppgif- ter eller personuppgifter om lagöverträdelser m.m.

Utredningen har därpå analyserat om etikprövningslagens tillämp- ningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgif- ter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de ytterligare uppgifter som i dagsläget fram- går av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde.

Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Ett differentierat etikprövningsförfarande framstår som mer ända- målsenligt inom framför allt viss samhällsvetenskaplig och rätts- vetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efter- följande behandlingen endast innebär en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.

Slutligen har utredningen analyserat vilka ändringar av etikpröv- ningslagen som i övrigt behöver göras med anledning av att data- skyddsförordningen börjar tillämpas och lämnar behövliga författ- ningsförslag i dessa delar.

Anpassningar av vissa registerförfattningar

Vi har i uppdrag att i utredningens nästa skede bereda Registerforsk- ningsutredningens (U 2013:01) förslag i betänkandet Unik kunskap genom registerforskning (SOU 2014:45) vidare. Eftersom det är

25

Sammanfattning

SOU 2017:50

kort tid tills dataskyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen föreslår, som be- höver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskyddsförord- ningen ska börja tillämpas.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska an- passningar av registerlagarna i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskydds- förordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagarna ska kunna tillämpas även efter att dataskyddsförordningen börjar tilläm- pas och att de befintliga förutsättningarna för att behandla person- uppgifter i enlighet med registerlagarna i vart fall inte ska försämras.

Ikraftträdande

Enligt artikel 99 i dataskyddsförordningen ska förordningen tilläm- pas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstift- ning på generell nivå, ska träda i kraft samma dag och att person- uppgiftslagen samtidigt ska upphöra att gälla. Eftersom forsknings- datalagen utgör kompletterande nationell lagstiftning till dataskydds- förordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.

Av dataskyddsförordningen framgår att hänvisningar till data- skyddsdirektivet ska anses som hänvisningar till dataskyddsförord- ningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på

26

SOU 2017:50

Sammanfattning

plats när förordningen börjar tillämpas. Det är utredningens upp- fattning att det därmed inte finns utrymme för några övergångs- bestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål till- lämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.

Konsekvenser

Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgifts- lagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den person- liga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.

Utredningen bedömer att förslagen inte medför några kostnads- förändringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen över- lag innebär en förstärkning av den personliga integriteten.

27

Summary

Remit

In this interim report, we present our analysis of what regulation of personal data processing for research purposes is possible and may be required given that the Data Protection Regulation (EU 2016/679) is to be applied from 25 May 2018, and submit the legislative proposals required. The proposals refer to regulation in addition to the general provisions proposed by the Data Protection Inquiry (Ju 2016:04) in its report (SOU 2017:39). In addition, we have been tasked with considering, and where necessary proposing, amendments to certain related legislation.

Background, legal position and terms

The Data Protection Regulation entered into force on 24 May 2016, but under Article 99(2) is to apply from 25 May 2018. The Regulation is directly applicable in all Member States and will apply instead of equivalent national regulation. The Data Protection Regulation thus replaces the current Data Protection Directive (95/46/EC) and its implementation in Sweden by means of the Personal Data Act (1998:204). Under Article 2, the Regulation will constitute a legal starting point for the research that uses personal data and is carried out in the context of the activities of an establishment of a controller or a processor in the European Union, regardless of whether the processing takes place in the Union or not (Article 3). Research that does not encompass processing of personal data falls outside the scope of the Regulation as defined in Article 2.

29

Summary

SOU 2017:50

The term “research purposes”

In the view of the Committee, the phrase “scientific or historical research purposes”, used repeatedly in the Regulation, covers research without the need to draw any particular distinctions in meaning between these two aspects in terms of personal data pro- cessing. The Committee judges that the terms “research” and “research purposes” can be considered equivalent.

Personal data processing for research purposes should addition- ally be able to encompass all or parts of the research process. Organising personal data in databases for research purposes should be covered by what is meant by research in a broad sense. The judgment of the Committee is thus that the individual parts of this process could be designated processing for research purposes with- out all the parts having to be included. This is particularly im- portant in longitudinal studies in which subjects are studied over periods of time that sometimes span many years.

A Research Data Act

The Committee has defined a need to introduce a Research Data Act with the purpose of enabling personal data to be processed for the purpose of research and to protect the freedoms and rights of the individual in conjunction with such processing of personal data. The proposed Research Data Act must be applicable to all processing of personal data for research purposes irrespective of the legal basis for such processing.

The proposed Research Data Act is to apply in addition to that set out by the Data Protection Regulation. The general supple- mentary Data Protection Act proposed by the Data Protection Inquiry is to be subsidiary in relation to other acts and ordinances. For reasons of clarity, the Committee proposes that the Research Data Act state that the Data Protection Act applies unless stated otherwise in the Research Data Act. A statute on a specific data register or a provision in such a statute which is specifically appli- cable to processing personal data for research purposes shall take precedence over provisions to the contrary in the Research Data Act.

30

SOU 2017:50

Summary

Legal basis

Establishing public interest as a legal basis

Article 6 of the Data Protection Regulation sets out the conditions that must be met for the processing of personal data to be lawful. In the view of the Committee, the legal grounds that tend to be most relevant for research purposes are consent under Article 6(1)(a), necessary processing for the performance of a task carried out in the public interest under Article 6(1)(e) and (for private actors) balance of interests under Article 6(1)(f).

However, regarding the legal grounds under Article 6(1), the Regulation requires additional national regulation regarding Article 6(1)(e) (processing necessary for the performance of a task carried out in the public interest). Considering that Article 6(1)(e) is central in a research context, because research in general is to be considered a task carried out in the public interest, the Committee has been charged with particularly analysing and, where necessary, supplementing the Data Protection Regulation.

These requirements are set out in Article 6(2) and Article 6(3), which enable and require national provisions to determine and specify the application of the legal grounds in Article 6(1)(e). The legal basis may as an element in such specification also contain general conditions governing the specific processing, for example. Under the Data Protection Regulation, it is thus possible to intro- duce specific provisions in national law that specify when and how personal data processing for research purposes is to take place.

The requirement under Article 6(3) that the basis for the pro- cessing under Article 6(1)(e) must be laid down by Member State law creates a tangible distinction between different categories of re- search actors regarding the legal conditions for processing personal data.

As far as private actors are concerned, the research task is rarely or never laid down as prescribed by the Regulation. However, it is generally accepted that private research may also be considered to constitute a task carried out in the public interest. In order for private actors to be able to cite Article 6(1)(e), statutory provisions need to be introduced on which application can be based.

Recital 45 of the Regulation states that Member States should state which actors, including private ones, are able to perform a

31

Summary

SOU 2017:50

task carried out in the public interest, which shows that it is possible for both public and private actors to perform tasks carried out in the public interest in the sense of the Data Protection Regulation.

If no national legislative measures are taken, the provisions of the Regulation mean that public research actors predominantly have to use tasks carried out in the public interest, under Article 6(1)(e) when processing personal data for research purposes. Private research actors predominantly have to use consent, under Article 6(1)(a), or weighing up interests under Article 6(1)(f) when processing personal data for the same purposes. In the view of the Committee, the fact that the Data Protection Regulation entails such significant differences in opportunities to cite the different legal grounds in Article 6(1) when processing personal data for equivalent research purposes, in practice depending on the organisational form of the actor concerned, is unintentional.

It is necessary to have a coherent fundamental regulatory frame- work for processing personal data for research purposes, not least so as to attain protection for the personal privacy of the individual under the rule of law that is also adequate in other respects. The opportunities of different research actors to collaborate and carry out research that may benefit the public at large should be placed on as equal a footing as possible. Protection of personal privacy must remain equally high irrespective of the category into which the research actor falls. This should be achieved through safe- guards. The Committee therefore proposes that a provision be intro- duced in the Research Data Act that enables both public and private research actors to cite “task carried out in the public interest” as the legal basis for processing personal data for research purposes.

Further processing

The provisions of the Data Protection Regulation mean that personal data for research purposes may be processed further by the same controller without a new legal basis having to be cited, provided that the data was originally collected citing a legal basis under Article 6(1). This differs from the application of the Personal Data Act, in which all processing must be justified under Section 10. When the personal data was originally gathered with consent, how-

32

SOU 2017:50

Summary

ever, it is not as clear-cut whether further processing may be carried out without a new legal basis for doing so.

When transferring personal data to another controller for pro- cessing for research purposes, the new processing is still to be seen as compatible with the original processing, provided that the new purpose is research. However, the new controller must have their own legal basis for their processing for research purposes once the personal data has been transferred to them. This means that re- search actors that collect personal data for research purposes that was previously collected for other purposes, for example, by an- other agency, must cite a legal basis under Article 6(1) for the new processing. Such a legal basis may be research carried out in the public interest under Article 6(1)(e).

Consent

The definition of consent in the Data Protection Regulation essen- tially matches the provisions of the Personal Data Act. The intro- duction of the Data Protection Regulation thus entails no signifi- cant changes to the meaning of consent. Consent must be freely given, specific, informed and for sensitive personal data, explicit, and must be given by means of a statement or an unambiguously confirming document. The latter wording of the type of activity approved as consent has been added to the definition compared with the Personal Data Act.

The Committee judges that Article 9(2)(a) of the Regulation together with the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) means that it is possible to also process sensitive personal data for research pur- poses with consent as the legal basis if consent exists together with ethical approval under the Ethical Review Act.

Recital 33 of the Data Protection Regulation involves expanding the potential scope of consent where the purpose of the research concerned cannot be described precisely at the time of data collection. At the same time, Recital 43 of the Data Protection Regulation in- volves restrictions, for public authorities, regarding the opportunity to use consent as the legal basis for processing personal data. Here,

33

Summary

SOU 2017:50

it is of particular importance whether the legal basis of public interest exists concurrently with consent being obtained.

The Data Protection Regulation offers no final solution to the hybrid circumstances already highlighted by the Article 29 Working Party and which mean that the validity of consent may be questioned.

Further processing of personal data for research purposes should normally be covered by obtaining new consent, irrespective of whether this is carried out by the same or a new controller. This should apply irrespective of the wording of Article 5(1)(b) second sentence if it is possible in practical terms and not inappropriate on ethical grounds.

Sensitive personal data

Article 9(1) of the Data Protection Regulation states that pro- cessing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union member- ship, and the processing of genetic data, biometric data for the pur- pose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. The Data Protection Regulation’s definition of this category of personal data is somewhat expanded compared with that in the Data Protection Directive. Furthermore, Article 9 of the Data Protection Regulation uses the term special categories of personal data. However, in line with the view of the Data Protection Inquiry, we are choosing to continue to term this kind of data sensitive personal data.

For processing of sensitive personal data to be permitted under certain conditions, support must be provided in Member State law with suitable and specific safeguards. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research. As the main safeguard, the Committee proposes that the ethical review requirement in line with the Ethical Review Act remains.

34

SOU 2017:50

Summary

Personal data that concern criminal offences, etc.

Processing of personal data relating to criminal convictions and offences is regulated in Article 10 of the Data Protection Regulation. Under the Data Protection Regulation, supplementary regulation in Member State law is required for bodies other than an official authority to be able to process data that concern criminal offences, etc. for research purposes. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research.

Such regulation must furthermore contain provisions on suitable measures to safeguard the fundamental rights and interests of the data subject. The Committee proposes that ethical review under the Ethical Review Act should continue to be the main safeguard.

Personal identity numbers and coordination numbers

The regulation proposed by the Data Protection Inquiry for the processing of personal identity numbers and coordination numbers contains the same directly applicable conditions as found in current legislation. These conditions are likely to be met in certain research contexts.

The Committee judges that the legal position regarding the use of personal identity numbers for research purposes will not be changed by the provisions proposed by the Data Protection Inquiry. Compared with today, the same conditions must be met to permit processing of personal identity numbers, and the Government and the supervisory authority have the same opportunities as before to issue special provisions in the form of statutes on specific data registers for certain types of processing. There is thus no need for additional supplementary national regulation.

Restrictions on the rights of the data subject

Chapter III of the Data Protection Regulation (Articles 12–23) sets out the rights of the data subject in conjunction with the pro- cessing of his or her personal data. These rights may be restricted

35

Summary

SOU 2017:50

under certain circumstances. The Data Protection Inquiry has pro- posed certain general restrictions to these rights.

According to Article 89(2) of the Data Protection Regulation, where personal data are processed for scientific or historical re- search purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of Article 89. We have therefore analysed the effect of these rights on research and propose certain restrictions in the Research Data Act.

The right to rectification (Article 16) shall not apply to such personal data as is processed for research purposes if this is only preserved for archiving purposes. The right to rectification shall otherwise apply without derogations.

The right to restriction of processing (Article 18) shall not apply where the data subject contests the accuracy of the data during the verification period required in order to verify the accuracy of the personal data if this means that the research cannot be carried out or would be crucially delayed or impeded. The same shall apply when the data subject has objected to processing, pending the veri- fication whether the legitimate grounds of the controller override those of the data subject.

There is no need for further derogations from the right of access (Article 15) or the right to object (Article 21) where personal data is processed for research purposes, in addition to that proposed by the Data Protection Inquiry.

Monitoring and sanctions

The Committee has addressed issues of monitoring and sanctions in a general sense in relation to the processing of personal data for research purposes.

The Data Protection Inquiry proposes that the Swedish Data Protection Authority be appointed as a supervisory authority and have the powers under the Data Protection Regulation over the national Data Protection Act that supplements the Data Protection Regulation at a general level and the other national statutes that supplement the Data Protection Regulation.

36

SOU 2017:50

Summary

Because the proposed Research Data Act supplements the Data Protection Regulation, it is the view of the Committee that the provision proposed by the Data Protection Inquiry thus also covers the Research Data Act regarding the powers of the super- visory authority. Therefore there is no need to introduce a separate provision on monitoring in the Research Data Act.

The Data Protection Inquiry proposes a provision in the Data Protection Act that provides that the right to compensation under Article 82 of the Data Protection Regulation also applies to in- fringement of the provisions of this act, i.e. the Data Protection Act, and other statutes supplementing the Data Protection Regulation. It is the view of the Committee that the provision proposed by the Data Protection Inquiry thereby also covers the right to com- pensation in the event of infringement of the Research Data Act. There is therefore no need to introduce a specific provision on compensation in the Research Data Act.

Safeguards

Our mandate was to analyse the safeguards that should apply to all processing of personal data for research purposes and the form these safeguards should take. Regarding sensitive personal data and personal data relating to criminal offences, etc, our mandate was to analyse the need for supplementary provisions in order to be able to process this data at all, and to determine which suitable and specific measures such a regulation should contain.

We have therefore analysed key concepts, such as personal data, pseudonymisation and anonymisation, so as to subsequently examine the requirements in the Data Protection Regulation regarding safeguards. Furthermore, we have analysed a selection of organi- sational, technical and legal measures to safeguard the fundamental rights of the data subject, particularly in the light of the security requirements of the Data Protection Regulation.

Bearing in mind existing opportunities to regulate safeguards when personal data is processed for research purposes, we judge that it is possible and appropriate to introduce such regulation in the form of a statute. Compared with conditions set in conjunction with ethical approval and codes of conduct, statutory regulation

37

Summary

SOU 2017:50

can provide greater clarity in application and ensure that suitable measures are also taken regarding processing that does not cover sensitive personal data or personal data that concerns criminal offences, etc.

The Committee proposes that the existing provision in the Personal Data Act, which states that data gathered for research purposes may not normally be used to take measures regarding the data subject, be transferred to the Research Data Act.

Furthermore, we propose that a provision be introduced in the Research Data Act stating that personal data must be pseudonymised or protected in an equivalent manner when processed for research purposes provided that the purpose can be attained by doing so.

Finally, we propose that the individual be given an opportunity to contest their personal data being processed for research pur- poses. If providing the data subject with the opportunity to contest the processing of their data proves to be impossible or involves disproportionate effort, or if the purposes of the research cannot otherwise be attained, the data may, however, be processed never- theless.

Proportionate legislation

The Committee has analysed the proposed provisions of the Research Data Act on the basis of the requirements predominantly of proportionality laid down in the Data Protection Regulation, the Instrument of Government and other relevant legal instruments. The analysis has been carried out on the assumption that the pro- posed Act is a form of framework legislation which is unable to regulate the processing of personal data at a detailed level, and that the actual processing of personal data carried out in research projects must be examined on the basis of the same proportionality requirement. Here, the proposed safeguards constitute a basis for ensuring that the infringement that the processing of personal data in question involves is proportionate to the expected benefit of the research.

The proposed regulation must meet requirements of propor- tionality laid down in several different legal contexts. The view of the Committee, on the basis of the survey of privacy carried out,

38

SOU 2017:50

Summary

the safeguards proposed and the value of the processing of personal data enabled by the regulation, is that the Research Data Act is pro- portionate on the basis of all these proportionality requirements.

Ethical review

The Committee has analysed the modifications that need to be made to the Act (2003:460) concerning the Ethical Review of Research Involving Humans before the Data Protection Regulation starts to be applied. Initially, the Committee has addressed the issue of ethical review as a safeguard in line with the requirements of the Data Protection Regulation and reached the conclusion that ethical review constitutes such a suitable and specific safeguard as required by the Data Protection Regulation to process for research purposes sensitive personal data or personal data that concerns criminal offences, etc.

The Committee subsequently analysed whether the area of application of the Ethical Review Act should be expanded to apply to all processing of personal data for research purposes and reached the conclusion that this would be far too invasive a measure that is disproportionate for its purpose. The Committee therefore pro- poses that the requirement for ethical review, also in the future, cover the processing for research purposes of sensitive personal data or personal data that concerns criminal offences, etc. in line with the definitions set out in Articles 9(1) and 10 of the Data Protection Regulation, and that the ethical review requirement regarding the additional data currently set out in Section 21 of the Personal Data Act should continue to be covered by the area of application in the Ethical Review Act in the future.

The Committee has further found that there is reason to further investigate the need for changes to the ethical review procedure. A differentiated ethical review procedure appears to be more fit for purpose predominantly in certain sociological and legal research. We submit several examples of such needs in conjunction with pro- cessing personal data for research purposes being based on data that is already published and where subsequent processing merely involves a minor privacy risk. In the light of restrictions to our

39

Summary

SOU 2017:50

mandate and frameworks in general, we propose that this be in- vestigated further in a separate form.

Finally, the Committee has analysed the amendments to the Ethical Review Act that otherwise need to be made as the Data Protection Regulation starts to be applied and submits the necessary statutory proposals in this regard.

Modifications to certain register statutes

In the next stage of the inquiry we have been charged with further preparing the proposals of the Register-based Research Inquiry (U 2013:01) in the report Unik kunskap genom registerforskning

(Unique knowledge through register-based research) (SOU 2014:45). As it is not long until the Data Protection Regulation starts to be applied, 25 May 2018, no general regulation governing research databases will be in place by then. Therefore, in an initial phase, an analysis needs to be carried out regarding which adaptations in respect to the Data Protection Regulation and the general regulation proposed by the Data Protection Inquiry that need to be carried out to the Act (2013:794) on certain registers for research into the impact of genetics and environment on people’s health and the Act (1999:353) on a forensic psychiatric research register until the Data Protection Regulation starts to be applied.

Because the Committee has a mandate in a second phase to in- vestigate and propose long-term regulation of research databases, this first part of the mandate has focused solely on technical legal modifications to the register statutes in relation to the provisions of the Data Protection Regulation. This means that, in present phase, the Committee has assumed that considerations already made and its views on this matter should be adopted where these are compatible with the Data Protection Regulation. The analysis is thus focused on such amendments as are necessary due to the Data Protection Regulation. The overall purpose of the mandate in this phase is to ensure that the legislation on registers can also be applied after the Data Protection Regulation starts to be applied on 25 May 2018, and that the existing conditions for processing personal data in line with legislation on registers will not in any case be watered down.

40

SOU 2017:50

Summary

Entry into force

According to Article 99 of the Data Protection Regulation, the Regulation is to be applied from 25 May 2018. The Data Protection Inquiry proposes that the Data Protection Act, which constitutes supplementary national legislation at a general level, is to enter into force the same day and that the Personal Data Act cease to apply at the same time. Because the Research Data Act constitutes supple- mentary national legislation to the Data Protection Act in the research sector, we also propose that it should enter into force the same day.

The Regulation states that references to the Data Protection Directive must be construed as references to the Data Protection Regulation as this starts to be applied and the Directive is thus repealed. Recital 171 of the Data Protection Regulation further- more states that adaptations in Member States should be in place when the Regulation starts to be applied. It is the view of the Committee that there is thereby no scope for any transitional provisions in the Research Data Act. From 25 May 2018 all pro- cessing of personal data for research purposes must thus apply the Data Protection Regulation and, where this is supplemented, the Research Data Act and at a general level also the Data Protection Act.

Consequences

The Commission has been charged with analysing the consequences of our proposals on the basis of certain specifically stated aspects. Our proposals are simultaneously primarily caused by other changes, mainly the abolition of the Personal Data Act and the entry into force of the Data Protection Regulation, but also the proposals sub- mitted by the Data Protection Inquiry. We have therefore limited the analysis to such consequences that we have an opportunity to influence in any real sense, and operated on the basis of the aim of retaining the opportunities for research and protection of personal privacy that follow from current regulation. We will therefore not analyse the consequences of the Data Protection Regulation starting to be applied.

41

Summary

SOU 2017:50

The Committee judges that the proposals will not involve any changes in costs for the actors referred to in the Swedish Committees Ordinance (1998:1474). Furthermore, it is the view of the Committee that the proposals in general will reinforce personal privacy.

42

1 Författningsförslag

1.1Förslag till forskningsdatalag

Inledande bestämmelser

1 § Syftet med denna lag är att möjliggöra personuppgiftsbehand- ling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

2 § Denna lag kompletterar Europaparlamentet och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskydds- förordningen.

3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen).

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som av- viker från denna lag ska de bestämmelserna gälla.

Lagens tillämpningsområde

4 § Denna lag tillämpas vid behandling av personuppgifter för forskningsändamål.

43

Författningsförslag

SOU 2017:50

Behandling av personuppgifter för forskningsändamål

Rättslig grund

5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

6 § Personuppgifter får med stöd av artikel 6.1 e i dataskydds- förordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndig- heter, kommuner och landsting, andra juridiska personer och en- skilda näringsidkare.

Generella skyddsåtgärder

7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8–10 §§ denna lag.

8 § Vid personuppgiftsbehandling för forskningsändamål ska personuppgifterna pseudonymiseras eller vara skyddade på likvär- digt sätt, om ändamålet kan uppfyllas på det viset.

9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.

Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att mot- sätta sig behandlingen, eller om ändamålet annars inte kan upp- fyllas, får personuppgiftsbehandling ändå utföras.

10 § Personuppgifter som behandlas för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

44

SOU 2017:50

Författningsförslag

Känsliga personuppgifter

11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etik- prövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.

Personuppgifter om lagöverträdelser m.m.

12 § Personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etik- prövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forsk- ningsändamål.

Undantag från registrerades rättigheter

13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskydds- förordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgif- ter behandlas för forskningsändamål om utövandet av rätten med- för att forskningen inte kan utföras, eller på ett avgörande sätt för- senas eller försvåras.

45

Författningsförslag

SOU 2017:50

Utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut för att behandlas för forsk- ningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forsk- ning som avser människor får avse den information som ska lämnas till den registrerade.

Denna lag träder i kraft den 25 maj 2018.

46

behandling av personupp- gifter: sådan behandling som anges i artikel 4.2 i Europaparla- mentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförord- ningen.
47

SOU 2017:50

Författningsförslag

1.2Förslag till

lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikpröv- ning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskole- utbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personupp- gifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

1 Senaste lydelse SFS 2008:192.

Författningsförslag

SOU 2017:50

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling

av

1.känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2.personuppgifter om lag- överträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförord- ningen (känsliga personuppgifter), eller

2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse SFS 2008:192.

48

SOU 2017:50

Författningsförslag

1.3Förslag till

lag om ändring i lagen (2013:794) om vissa register för forskning om

vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13 och 17 §§ ska upphöra att gälla,

dels att 2, 3, 12, 14 och 16 §§ och rubriken närmast före 3 § och 16 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §3

Lagen gäller behandling av personuppgifter som utförs av så- dana statliga universitet och högskolor som omfattas av högskole- lagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1§ 1.

Lagen gäller bara om behand- lingen är helt eller delvis automa- tiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.

3 Senaste lydelse SFS 2013:794.

49

3 §4
Personuppgiftslagen (1998:204) Denna lag kompletterar Europa- gäller vid behandling av person- parlamentets och rådets förordning uppgifter, om inte annat följer av (EU) 2016/679 av den 27 april denna lag. 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförord-
ningen.
3 a §
Lagen (2018:XX) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (dataskydds- lagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har med- delats med stöd av denna lag eller lagen med kompletterande bestäm- melser till EU:s dataskyddsförord- ning.
12 §5
Personuppgifter som inte Personuppgifter som inte längre behövs för de ändamål längre behövs för de ändamål som avses i 5 § 1 och 2 ska gall- som avses i 5 § 1 och 2 ska gall- ras, om inte regeringen eller den ras, om inte regeringen eller den myndighet som regeringen be- myndighet som regeringen be- stämmer har meddelat föreskrif- stämmer har meddelat föreskrif-
4 Senaste lydelse SFS 2013:794.
5 Senaste lydelse SFS 2013:794.
50
Författningsförslag
Förhållandet till personuppgiftslagen

SOU 2017:50

Förhållandet till

annan dataskyddsreglering

SOU 2017:50 Författningsförslag

ter om eller i ett enskilt fall be-

ter om eller i ett enskilt fall be-

slutat att uppgifter får bevaras

slutat att uppgifter får bevaras

för historiska, statistiska eller

för

arkivändamål av allmänt

vetenskapliga ändamål.

intresse, vetenskapliga eller histo-

 

riska

forskningsändamål eller

 

statistiska ändamål.

14 §6

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personupp-

gifter behandlas enligt denna lag.

 

 

 

 

 

 

Innan en person lämnar sitt

Utöver vad som framgår av

samtycke enligt första stycket ska

artiklarna 13 och 14 i dataskydds-

han eller hon ha informerats om

förordningen ska en person innan

 

 

 

 

 

 

han eller hon lämnar sitt samtycke

 

 

 

 

 

 

enligt första stycket ha informerats

 

 

 

 

 

 

om

 

 

 

 

 

1. att

det

är

frivilligt

att

1. att

det

är

frivilligt

att

lämna uppgifter,

medverka

till

lämna uppgifter,

medverka

till

upptagningar

eller

genomgå

upptagningar

eller

genomgå

undersökningar i syfte att upp-

undersökningar i syfte att upp-

gifter om detta förs in i registret

gifter om detta förs in i registret

samt att den registrerade när

samt att den registrerade när

som helst kan avbryta sitt upp-

som helst kan avbryta sitt upp-

giftslämnande,

sin

medverkan

giftslämnande,

sin

medverkan

eller sitt deltagande helt eller

eller sitt deltagande helt eller

delvis,

 

 

 

 

 

delvis,

 

 

 

 

 

2. för vilka ändamål behand-

2. vilka uppgifter som

får

ling kan ske enligt 5–7 §§ och vilka

registreras enligt 9 §,

 

 

uppgifter

som

får

registreras

 

 

 

 

 

 

enligt 9 §,

 

 

 

 

 

 

 

 

 

 

3. de

sekretess-

och säker-

3. de

sekretess-

och säker-

hetsbestämmelser som gäller för

hetsbestämmelser som gäller för

registret,

 

 

 

 

 

registret,

 

 

 

 

 

6 Senaste lydelse SFS 2013:794.

51

Författningsförslag

SOU 2017:50

4.vem som är personuppgifts- ansvarig,

5.hur länge uppgifterna sparas,

6.rätten till rättelse av upp- gifterna,

7.rätten till information en- ligt 15 § denna lag och 26 § per- sonuppgiftslagen (1998:204),

8.vilken myndighet som har tillsyn över att denna lag följs,

9.rätten till skadestånd, och

10.rätten att få uppgifter ut- plånade.

4.rätten till information en- ligt 15 § denna lag och artikel 15

idataskyddsförordningen,

5.vilken myndighet som har tillsyn över att denna lag följs, och

6.rätten till skadestånd.

Utplåning av uppgifter

Radering av uppgifter

16 §7

 

 

 

Den registrerade har rätt att

I

artikel 17

i dataskyddsför-

när som helst begära att uppgifter

ordningen finns bestämmelser om

i registret om honom eller henne

rätt till radering. En begäran om

ska utplånas. En sådan begäran

radering

ska

göras skriftligen

ska göras skriftligen hos den

hos

den

personuppgiftsansva-

personuppgiftsansvarige och vara

rige och vara undertecknad av

undertecknad av den registrerade

den registrerade själv. Om begä-

själv. Om begäran innefattar ut-

ran innefattar radering av sådana

plåning av sådana uppgifter som

uppgifter som avses i 9 § första

avses i 9 § första stycket 7 ska

stycket 7 ska detta särskilt anges.

detta särskilt anges.

 

 

 

 

Den personuppgiftsansvarige

Den personuppgiftsansvarige

ska inom två månader från det

ska inom två månader från det

att begäran gjordes utplåna upp-

att begäran gjordes radera upp-

gifterna i enlighet med begäran

gifterna i enlighet med begäran

och sända den registrerade en

och sända den registrerade en

bekräftelse på att så har skett.

bekräftelse på att så har skett.

Om den enskilde inte har be-

Om den enskilde inte har be-

gärd utplåning även av uppgifter

gärd radering även av uppgifter

som avses i 9 § första stycket 7

som avses i 9 § första stycket 7

7 Senaste lydelse SFS 2013:794.

52

SOU 2017:50

Författningsförslag

ska en kopia på dessa uppgifter bifogas bekräftelsen med en på- minnelse om att den enskilde har rätt att begära att även få dem utplånade.

ska en kopia på dessa uppgifter bifogas bekräftelsen med en på- minnelse om att den enskilde har rätt att begära att även få dem raderade.

Denna lag träder i kraft den 25 maj 2018.

53

Vid behandling av personupp- gifter för det rättspsykiatriska forsk- ningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad data- skyddsförordningen.
2 a §
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (dataskydds-

Författningsförslag

SOU 2017:50

1.4Förslag till

lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykia- triskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

2 §8

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykia- triska forskningsregistret.

8 Senaste lydelse SFS 1999:353.

54

SOU 2017:50

Författningsförslag

lagen) gäller vid behandling av personuppgifter för det rättspsykia- triska forskningsregistret, om inte annat följer av denna lag eller före- skrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

 

 

12 §9

 

 

 

När personuppgifter i ett mål

När personuppgifter i ett mål

första gången registreras i det

första gången registreras i det

rättspsykiatriska

forsknings-

rättspsykiatriska

forsknings-

registret skall

Rättsmedicinal-

registret

ska

Rättsmedicinal-

verket lämna

den

registrerade

verket lämna

den

registrerade

information om behandlingen.

information om behandlingen.

Informationen skall innehålla

Utöver vad som framgår av

upplysningar om

 

artikel 14

i

dataskyddsförord-

1.att Rättsmedicinalverket är ningen ska informationen inne- personuppgiftsansvarigt för be- hålla upplysningar om handlingen,

2.ändamålen med behand-

lingen,

 

 

 

3. vilken typ av uppgifter be-

 

 

 

handlingen avser,

 

 

 

4. mottagarna av uppgifterna,

 

 

 

5. de sekretess- och säkerhets-

1. de sekretess- och säkerhets-

bestämmelser som gäller för be-

bestämmelser som gäller för be-

handlingen,

handlingen,

 

 

6. bestämmelserna i person-

2. bestämmelserna

i

data-

uppgiftslagen (1998:204) om infor-

skyddsförordningen

och

data-

mation som skall lämnas efter an-

skyddslagen om den

registrerades

sökan samt om rättelse och skade-

rätt till skadestånd, samt

 

stånd, samt

 

 

 

9 Senaste lydelse SFS 1999:353.

55

Författningsförslag SOU 2017:50

7. de begränsningar i fråga

3. de begränsningar i fråga

om tillgång till uppgifter, utläm-

om tillgång till uppgifter, utläm-

nande av uppgifter på medium

nande av uppgifter på medium

för automatiserad behandling och

för automatiserad behandling och

bevarande av uppgifter som gäller

bevarande av uppgifter som gäller

för behandlingen.

för behandlingen.

Denna lag träder i kraft den 25 maj 2018.

56

2 Vårt uppdrag och arbete

2.1Utredningsuppdraget

Vårt övergripande uppdrag (dir. 2016:65, se bilaga 1) har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen1 börjar tillämpas den 25 maj 2018, dels lämna nödvändiga författningsförslag. Förslagen ska gälla regler- ing utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning. Det uppdrag som nu redovisas har bestått av två huvudsakliga delar: reglering av personuppgiftsbehand- ling för forskningsändamål samt anpassningar av vissa registerförfatt- ningar.

2.1.1Reglering av personuppgiftsbehandling för forskningsändamål

Den första delen av vårt uppdrag har varit att föreslå komplette- rande reglering i förhållande till de anpassningar av svensk lagstift- ning som Dataskyddsutredningen (Ju 2016:04) föreslår. Syftet med denna kompletterande reglering är att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Uppdraget inne- fattar huvudsakligen följande:

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning).

57

Vårt uppdrag och arbete

SOU 2017:50

Att lämna förslag på lämpliga skyddsåtgärder för den registrera- des fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av.

Att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Att, vid en sådan eventuell utvidgning av kravet på etikprövning, analysera vilka anpassningar som kan behöva göras i de bestäm- melser i etikprövningslagen som reglerar handläggningen av ären- dena, samt att överväga om det bör införas ett enklare förfar- ande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den en- skildes integritet.

Att se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår.

Att analysera om det, utöver den generella reglering som Data- skyddsutredningen föreslår och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som regle- rar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka be- stämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla.

Att analysera om det utöver den generella reglering som Data- skyddsutredningen föreslår även finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och histo- riska forskningsändamål och lämna förslag på hur sådana undan- tag i så fall bör utformas, samt

Att lämna de författningsförslag som behövs.

58

SOU 2017:50

Vårt uppdrag och arbete

2.1.2Vissa anpassningar av registerförfattningar

Eftersom det är kort tid tills dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser då inte kommer att kunna vara på plats, behöver det i ett första skede analyseras vilka anpassningar som behöver göras i viss lagstiftning som reglerar specifika forskningsdatabaser. De författningar som anges i utredningens direktiv är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister.

2.1.3Fortsatta uppdrag

I tilläggsdirektiv (dir. 2017:29, se bilaga 2) har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskydds- förordningen, kan behövas för att personuppgifter ska kunna be- handlas på ett ändamålsenligt sätt i Kungliga bibliotekets verksam- het. Detta deluppdrag ska redovisas senast den 13 oktober 2017.

Utöver ovanstående har utredningen även i uppdrag att i ett nästa skede föreslå långsiktiga regleringar av forskningsdatabaser, analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning samt lämna för- slag till en reglering av Nationella biobanksregistret. Detta deluppdrag ska redovisas senast den 27 april 2018.

2.2Anknytande utredningar

Det framhålls i utredningens direktiv att en enhetlig tolkning bör eftersträvas vid anpassningen av svensk rätt till den nya EU-regler- ingen. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Behovet av planering och samordning när det gäller utrednings- och lagstift- ningsarbetet på detta område har även uppmärksammats av Justitie- kanslern.2

Utredningen har därför på flera sätt samverkat med andra utred- ningar vars uppdrag berör dataskyddsförordningen.

2 Remissyttrande över betänkandet Hur står det till med den personliga integriteten? (SOU 2016:41), dnr 4260-16-80.

59

Vårt uppdrag och arbete

SOU 2017:50

2.2.1Dataskyddsutredningen

Av utredningsdirektiven framgår på flera ställen att vi ska förhålla oss till den reglering som Dataskyddsutredningen (Ju 2016:04) haft i uppdrag att föreslå. Vi har därför löpande hållit oss uppdaterade om Dataskyddsutredningens arbete och utgått från dess förslag när vi bedömt vilken ytterligare reglering som behövs för personuppgifts- behandling för forskningsändamål.

Av Dataskyddsutredningens direktiv (dir. 2016:15) framgår att den utredningen har att analysera vilka övriga kompletterande be- stämmelser om behandling av personuppgifter för arkivering i all- mänhetens intresse samt för vetenskapliga eller historiska forsk- ningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. Eftersom våra utredningsdirektiv beslutades efter ovanstående direktiv resulterade detta i ett delvis överlapp- ande uppdrag för dessa båda utredningar. Mot denna bakgrund har vi i samråd med Dataskyddsutredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdata- utredningen är bäst lämpad att göra den analys och de övervägan- den som krävs i detta sammanhang. Dataskyddsutredningen har därför på eget initiativ avstått från att i sitt betänkande behandla frågan om behandling av personuppgifter för forskningsändamål.

2.2.2Samordningsgruppen

Dataskyddsförordningen har föranlett ett stort antal utrednings- initiativ, både i form av uppdrag för särskilda utredare såväl som departementsinterna utredningar. Uppdragen har handlat om såväl anpassning av befintlig lagstiftning inom en viss sektor för att vara förenlig med dataskyddsförordningen, som annat lagstiftnings- arbete som måste beakta dataskyddsförordningens krav.

Av direktiven framgår att utredningen ska hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, i syfte att uppnå en enhetlig nationell reglering. Mångfalden utredningar som haft anledning att utforska dataskyddsförordningen ur ett svenskt perspektiv föranledde bildandet av en informell samord- ningsgrupp. Gruppen har haft tio möten under hösten 2016 och

60

SOU 2017:50

Vårt uppdrag och arbete

våren 2017, och har utgjort ett forum för dialog om gemensamma frågor om terminologi, avgränsningar, rättsliga bedömningar m.m. i arbetet med att anpassa den nationella lagstiftningen till dataskydds- förordningen.

Sammanlagt har representanter för ett femtontal utredningar deltagit i gruppens möten.

2.2.3Övriga kontakter

Utöver arbetet i samordningsgruppen har utredningen genom en- skilda möten hållit sig särskilt informerad om och beaktat arbetet i Dataskyddsutredningen (Ju 2016:04), Utbildningsdatautredningen (U 2016:03), Socialdataskyddsutredningen (S 2016:05), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), Utred- ningen om översyn av etikprövningen (U 2016:02) och Integritets- kommittén (Ju 2014:09).

2.3Utredningsarbetet

Arbetet har utgått från utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och två övriga sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga.

2.3.1Expertgruppsmöten

Utredningens expertgrupp (inbegripet de sakkunniga) har hittills sammanträtt sammanlagt sex gånger, inklusive ett internatsamman- träde. I samband med dessa möten har ett antal promemorior pre- senterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utred- ningen vid särskilda möten och i dialog om specifika frågor m.m.

2.3.2Referensgruppsmöten

Utöver expertgruppen har utredningen bildat en referensgrupp med närmare tjugo deltagare. Syftet med denna grupp har varit att komplettera utredningens perspektiv och ta tillvara kompetens i

61

Vårt uppdrag och arbete

SOU 2017:50

utredningens frågor som deltagarna besitter. Personerna i referens- gruppen har medverkat i arbetet utan ersättning och i mån av tid.

Utredningen har hittills haft två möten med referensgruppen i sin helhet för att diskutera uppdraget och anknytande frågor av särskild betydelse för utredningen, samt flera mindre möten med delar av referensgruppen för att närmare diskutera tekniska och organisatoriska skyddsåtgärder.

2.3.3Hearing

Utredningen har uppmärksammats på vissa behov av översyn av etikprövningslagens nuvarande krav avseende bland annat forsk- ning som innefattar behandling av personuppgifter ur offentligt material. Med anledning av detta anordnade utredningen den 2 mars 2017 en hearing. Deltagare var företrädare för rättsveten- skaplig forskning från Linköpings universitet, Lunds universitet, Stockholms universitet, Umeå universitet, Uppsala universitet och Örebro universitet, som delgav utredningen synpunkter på dagens etikprövningskrav och behovet av en översyn i vissa delar.

2.3.4Övriga möten

Utredningen har i olika sammanhang träffat representanter från Stockholms läns landsting, Kungliga biblioteket, Rättsmedicinal- verket och Finansdepartementets utredning om mikrosimulerings- modellen FASIT. Utredningen har även presenterat pågående arbete på ett möte med nätverket för EU:s dataskyddsförordning, organi- serat av Pensionsmyndigheten.3 Utredningen har också deltagit i det årliga nationella mötet med SUNET4 som i år varit inriktat på konsekvenserna av förordningens införande för svenska universitet.

Utredningen har utöver detta tillsammans med utbildnings- departementets representant medverkat vid två möten i ett nor- diskt samarbete mellan företrädare för regeringar och myndigheter

3Nätverket för EU:s dataskyddsförordning arbetar med att bevaka den nationella rätts- utvecklingen och tolka bestämmelserna i dataskyddsförordningen.

Se http://www.esamverka.se/om-esam/organisation-och-forum/natverket-for-eus- dataskyddsforordning.html

4Swedish University computer Network, se http://www.sunet.se

62

SOU 2017:50

Vårt uppdrag och arbete

kring förberedelser inför dataskyddsförordningens införande. Utred- ningen har dessutom deltagit i ett möte med representanter för forskarintressen i de nordiska länderna.

2.4Betänkandets disposition m.m.

Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till dataskyddsförordningen och den nuvarande regleringen, med ett särskilt fokus på villkoren för forskning.

Kapitel 4 behandlar förslaget till forskningsdatalag och lagens tillämpningsområde. Kapitel 5 redogör för utredningens bedöm- ning och förslag avseende fastställande av den rättsliga grunden all- mänt intresse. Kapitel 6 behandlar samtycke till personuppgifts- behandling för forskningsändamål. Kapitel 7, 8 och 9 redogör för särskilda regler för känsliga personuppgifter, personuppgifter om lag- överträdelser m.m. samt personnummer och samordningsnummer. Kapitel 10 behandlar vissa begränsningar av registrerades rättig- heter och kapitel 11 rör frågor om tillsyn och sanktioner.

Eftersom dataskyddsförordningen särskilt kräver skyddsåtgär- der för behandling av personuppgifter i flera sammanhang inne- håller kapitel 12 en översiktlig analys av förordningens krav, tänk- bara skyddsåtgärder av olika slag samt författningsförslag till vissa skyddsåtgärder.

I kapitel 13 bedöms den föreslagna lagstiftningens proportiona- litet gentemot de grundläggande rättigheter som framgår ur bl.a. regeringsformen och Europakonventionen.

Frågor om etikprövning avhandlas i kapitel 14, bl.a. hur etik- prövningen ska regleras för att uppfylla förordningens krav på sär- skilda och lämpliga skyddsåtgärder och frågan om etikprövnings- lagens tillämpningsområde.

Den del av utredningens uppdrag som rör översyn av befintliga registerförfattningar för att föreslå nödvändiga förändringar i sam- band med dataskyddsförordningen redovisas i kapitel 15.

Nödvändiga ikraftträdandebestämmelser avhandlas i kapitel 16. Konsekvensbedömningar finns i kapitel 17. Författningsförslagen kommenteras i kapitel 18.

Utredningens direktiv återges i bilaga 1 och 2. Avslutningsvis finns även en strukturerad genomgång av dataskyddsförordningen

63

Vårt uppdrag och arbete

SOU 2017:50

med betoning på de bestämmelser som är av vikt för forskning i bilaga 3.

Till sist kan noteras att betänkandetexten är utformad med an- vändning av ”vi-form” omfattande utredningen i sin helhet. Arbetet har bedrivits med aktivt deltagande av och i samverkan med experter och sakkunniga. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika special- områden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

64

3Bakgrund, rättsliga utgångspunkter och begrepp

3.1Inledning

Dataskyddsutredningen (Ju 2016:04) har i uppdrag att redogöra för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen1 börjar tillämpas.2 Utöver detta ska ett antal sektorsspecifika utred- ningar analysera konsekvenserna för specifika samhällssektorer. Forskningsdatautredningen har i uppdrag att analysera vilken regler- ing av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella kompletterings- lagstiftning som Dataskyddsutredningen föreslår, samt komma med lämpliga författningsförslag.3 I detta kapitel presenteras utgångs- punkterna för arbetet i form av bakgrund, rättsliga utgångspunkter och centrala begrepp.

Kapitlet inleds med en kort redogörelse för den reglering som för närvarande gäller med avseende på personuppgiftsbehandling för forskningsändamål. Därefter följer en redogörelse för EU:s data- skyddsreform utifrån ett forskningsperspektiv, där utvecklingen fram till den slutgiltiga förordningstexten vad gäller några för forsk- ningen särskilt viktiga frågor beskrivs.

För att avgränsa konsekvenserna av dataskyddsförordningens införande, och kunna lämna de författningsförslag som behövs, krävs som utgångspunkt en genomgång av några centrala begrepp. Därför följer också en allmänt hållen analys av vad som i detta sam- manhang avses med begreppet forskning och vad som avses med

1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

2Dir. 2016:15.

3Dir. 2016:65.

65

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

förordningens uttryck ”vetenskapliga och historiska forsknings- ändamål”. Även överväganden om behovet av att skilja mellan vetenskapliga och historiska forskningsändamål samt om det finns behov av att skilja på begreppen forskning och forskningsändamål behandlas. Slutligen görs en bedömning av vad som avses med personuppgiftsbehandling för forskningsändamål, som därmed utgör avgränsningen för det materiella tillämpningsområdet av dataskydds- förordningens bestämmelser och de kompletterande bestämmelser som föreslås i detta betänkande.

3.2Rättsliga utgångspunkter

Persondataskydd regleras på många nivåer, av olika aktörer. FN:s allmänna förklaring om de mänskliga rättigheterna, Europakonven- tionen och EU:s rättighetsstadga innehåller alla någon form av skydd för privatlivet, i vilket ingår ett skydd för den enskildes personliga integritet och personuppgifter. I anslutning till sådana allmänna rättighetsförklaringar finns ofta även mer detaljerade konventioner eller andra rättsliga instrument som närmare behandlar persondata- skydd.

I det följande ger vi en inledande översikt av de rättsliga instru- ment som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Det nuvarande dataskyddsdirektivet och data- skyddsförordningen behandlas löpande genom hela betänkande- texten. Övriga rättsliga instrument behandlas mer ingående i vissa avsnitt, exempelvis i kapitlen om proportionerlig lagstiftning och etikprövning. Genomgången utgår delvis från liknande översikter i framför allt SOU 2014:45 samt SOU 2016:41.4

4 SOU 2014:45 – Unik kunskap genom registerforskning (Registerforskningsutredningen) respektive SOU 2016:41 – Hur står det till med den personliga integriteten? (Integritets- kommittén).

66

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

3.2.1Internationell reglering

I det följande behandlas reglering som härstammar från Förenta nationerna, Europarådet samt Europeiska unionen, i den ordningen.

FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Artikel 12 i FN:s allmänna förklaring om mänskliga rättigheter stadgar att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för an- grepp på sin heder eller sitt anseende. Var och en har rätt till lagligt skydd mot sådana ingripanden och angrepp. FN:s allmänna förklar- ing om de mänskliga rättigheterna är inte rättsligt bindande men ses som ett uttryck för sedvanerättsliga regler.

Sverige är ansluten till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i ovan- nämnda artikel 12 i den allmänna förklaringen. Konventionen är till skillnad från förklaringen bindande för anslutna stater.

FN:s generalförsamling antog den 14 december 1990 riktlinjer om datoriserade register med personuppgifter.5 Riktlinjerna anger tio grundläggande principer rörande minimigarantier som medlems- staternas lagstiftning ska uppfylla. Dessa principer rör bland annat uppgifters korrekthet, ändamålsbeskrivningar, insyn i behandlingen och för vilka skäl undantag från dessa principer kan tillåtas.

Europakonventionen m.m.

En utgångspunkt för all personuppgiftsbehandling är den Europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen in- korporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.6 Av 2 kap. 19 § regeringsformen framgår att lag

5”Guidelines concerning computerized personal data files”, resolution 45/95.

6Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna.

67

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

eller annan föreskrift inte får meddelas i strid med Sveriges åtagan- den på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för personuppgiftsbehandling. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikel 8 innebär att staten ska avhålla sig från in- grepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär.

Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utvecklingen och relationer till andra individer. Det krävs inte att det är fråga om rent privata relationer, utan skyddet kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv. Skyddet gäller även mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden. Vidare omfattar rätten till respekt för privatlivet ett skydd mot registrer- ing och utlämnande av uppgifter ur allmänna register.7

Dataskyddskonventionen

Europarådets konvention (nr 108) till skydd för enskilda vid automa- tisk databehandling av personuppgifter (dataskyddskonventionen) från år 1981 har till syfte att säkerställa respekten för grundlägg- ande fri- och rättigheter, särskilt rätten till personlig integritet, i samband med automatisk databehandling av personuppgifter. Kon- ventionens tillämpningsområde är automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen har ändrats år 1999 och ett tilläggsproto- koll (nr 181) har antagits år 2001.

Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10, antagen den 23 september 1983, till skydd för personuppgifter som används för vetenskaplig forskning

7 Se SOU 2016:41 s. 151 och där refererade rättsfall.

68

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

och statistik. Rekommendationerna är, till skillnad från konventio- nen, inte direkt bindande.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår. De övergripande syftena med översynen är att bemöta utmaningar för den personliga integriteten som en följd av användning av ny informations- och kommunikationsteknik, samt att stärka konventionens uppföljningsmekanism.

Första fasen av detta arbete slutfördes år 2014. Den andra fasen, som inleddes år 2016, syftar till att ta fram ett slutligt förslag som även ska säkerställa överensstämmelse med dataskyddsförordningen.8

Europarådets konvention om mänskliga rättigheter och biomedicin

Europarådet antog år 1996 en konvention om mänskliga rättigheter och biomedicin. Konventionen skyddar människor i samband med hälso- och sjukvård och medicinsk forskning, och innehåller bl.a. principer om information och samtycke, ställföreträdare för icke beslutskompetenta personer, gendiagnostik och genterapi, forsk- ning och försök på människor, tagande och användning av biolo- giskt material från människor.

Europeiska unionens stadga om de grundläggande rättigheterna m.m.

Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) antogs år 2000. Lissabonfördraget har medfört att stadgan numera är rättligt bindande när EU-institutionerna och medlems- länderna tillämpar EU:s regelverk.

Vad gäller skyddet för den personliga integriteten anger stadgan att var och en har rätt till fysisk och mental integritet (artikel 3), respekt för sitt privatliv och familjeliv, sin bostad och sina kommu- nikationer (artikel 7) samt skydd av de personuppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att person- uppgifter ska behandlas lagenligt för bestämda ändamål och på

8 Se även http://www.coe.int/en/web/portal/28-january-data-protection-day-factsheet för en beskrivning av översynsarbetet.

69

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till in- samlade uppgifter och att få rättelse av dem.

Även artikel 16.1 i fördraget om Europeiska unionens funktions- sätt anger att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Dataskyddsdirektivet och dataskyddsförordningen

Det nuvarande dataskyddsdirektivet9 har införts i svensk lagstift- ning i form av personuppgiftslagen (1998:204). Dataskyddsdirekti- vet utgör en precisering och en förstärkning av principerna i data- skyddskonventionen.

Dataskyddsförordningen, som ersätter dataskyddsdirektivet och vars tillkomst behandlas ingående i de olika delarna av detta betän- kande, utgår från och respekterar de grundläggande friheter som erkänns i stadgan.

Det nya dataskyddsdirektivet

Parallellt med de nationella anpassningarna till dataskyddsförord- ningen sker arbete med införlivande av det nya dataskyddsdirekti- vet.10 Enligt artikel 63 i det nya dataskyddsdirektivet ska medlems- staterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att efterleva detta direktiv. Det är Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) som har i uppdrag att föreslå en sådan reglering.11 Utredningen har lämnat ett delbetänkande den 5 april 201712 och lämnar slutbetän- kande senast den 30 september 2017. Utredningens förslag till brotts- datalag syftar till att genomföra dataskyddsdirektivet i svensk rätt.

9Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

10Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

11Dir. 2016:21.

12SOU 2017:29 Brottsdatalag.

70

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsdirektivets mål är att fastställa bestämmelser om skydd för fysiska personer med avseende på behandling av person- uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straff- rättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1).

Dataskyddsdirektivets tillämpningsområde är därmed snävare än dataskyddsförordningens, som syftar till att fastställa bestäm- melser om skydd för fysiska personer med avseende på behand- lingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1). Gränsdragningen mellan direktivet och förordningen kan dock behöva tydliggöras, särskilt avseende personuppgifts- behandling för vetenskapliga forskningsändamål.

Behandling av personuppgifter för vetenskapliga ändamål inom dataskyddsdirektivets tillämpningsområde

Principer för behandling av personuppgifter framgår av artikel 4 i dataskyddsdirektivet. Artikel 4.3 anger att behandling som utförs av en personuppgiftsansvarig kan inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och fri- heter. Utredningen om 2016 års dataskyddsdirektiv föreslår en be- stämmelse i 2 kap. 5 § brottsdatalagen som föreskriver att en behörig myndighet får behandla personuppgifter för vetenskapliga, statis- tiska eller historiska ändamål inom denna lags tillämpningsområde.

Detta gäller således behandling av personuppgifter för veten- skapliga ändamål inom direktivets och den föreslagna brottsdata- lagens tillämpningsområde, dvs. för ändamålen att förebygga, för- hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller behandling i syfte att upprätthålla allmän ordning och säkerhet (förslag till 1 kap. 2 § brottsdatalagen).

71

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Behandling av personuppgifter för vetenskapliga forskningsändamål utanför dataskyddsdirektivets tillämpningsområde

Regleringen i dataskyddsdirektivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde, vilket innebär att om personuppgifter behandlas för något annat ändamål än brotts- bekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet ska direktivet, och den föreslagna brottsdatalagen, inte tillämpas. En myndighet kan således ha såväl verksamhet som faller inom direktivets tillämpningsområde som utanför det. Det är de faktiska aktiviteterna som styr när direktivet blir tillämpligt. Detta innebär att behandling av personuppgifter som omfattas av unionsrätten faller in under tillämpningsområdet för antingen direktivet eller förordningen. Direktivet och förord- ningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan såväl direk- tivet som förordningen vara tillämpliga parallellt.13

I artikel 9.1 i dataskyddsdirektivet anges att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska data- skyddsförordningen tillämpas, om behandlingen omfattas av unions- rätten.

Artikel 9.2 anger vidare att om myndigheter som omfattas av direktivet har andra verksamhetsuppgifter än dem som anges i arti- kel 1.1 ska dataskyddsförordningen tillämpas på behandling för sådana andra ändamål. Det gäller även behandling för arkivändamål av allmänt intresse eller för historiska eller vetenskapliga forsk- ningsändamål eller för statistiska ändamål, om behandlingen om- fattas av unionsrätten.

Detta gäller således för personuppgiftsbehandling för ändamål utanför direktivets tillämpningsområde. Prövningen av om sådan behandling är tillåten ska därmed enbart göras utifrån bestämmel- serna i dataskyddsförordningen och nationell kompletterade lag- stiftning.

13 SOU 2017:29 s. 171 f.

72

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Av artikel 2.1 d i dataskyddsförordningen framgår att förord- ningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dessa bestämmelser i direktivet och förordningen mynnar ut i att Utredningen om 2016 års dataskyddsdirektiv föreslår en upplysande bestämmelse i 2 kap. 21 § brottsdatalagen med följande lydelse:

Behandling för ändamål utanför denna lags tillämpningsområde

21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med av- seende på behandling av personuppgifter och om det fria flödet av så- dana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), i den ursprungliga lydelsen, framgår att dataskydds- förordningen ska tillämpas när en behörig myndighet behandlar person- uppgifter för ändamål utanför denna lags tillämpningsområde.

Detta innebär sammanfattningsvis att personuppgiftsbehandling för vetenskapliga ändamål i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verk- ställa straffrättsliga påföljder eller i syfte att upprätthålla allmän ordning och säkerhet faller inom dataskyddsdirektivets, och den föreslagna brottsdatalagens, tillämpningsområde. En ytterligare förutsättning är att behandlingen också utförs av en behörig myndig- het enligt direktivet.

All annan personuppgiftsbehandling för vetenskapliga forsk- ningsändamål ska tillämpa dataskyddsförordningen och komplette- rande nationell rätt.

3.2.2Nationell lagstiftning

Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. I för- arbetena till denna bestämmelse anförs bl.a. att kränkningar av den

73

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

personliga integriteten utgör intrång i den fredade sfär som den en- skilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.

I 2 kap. 6 § RF föreskrivs ett skydd mot bl.a. husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtro- lig försändelse och mot hemlig avlyssning eller upptagning av telefon- samtal eller annat förtroligt meddelande.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestäm- melsen anges nu även att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes per- sonliga förhållanden.

Offentlighet och sekretess

Offentlighetsprincipen, som framgår av 2 kap. tryckfrihetsförord- ningen (TF), medför en grundläggande rätt för alla att ta del av allmänna handlingar hos en myndighet. Med handling avses enligt 2 kap. 3 § TF framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tek- niskt hjälpmedel. Rätten att ta del av allmänna handlingar får endast begränsas om det är påkallat med hänsyn till något av de intressen som framgår av 2 kap. 2 § TF första stycket, där sjätte punkten (skyddet för enskilds personliga eller ekonomiska förhållanden) är av särskilt intresse vad gäller personuppgiftsbehandling.

I offentlighets- och sekretesslagen (2009:400) finns undantag från huvudregeln om handlingsoffentlighet som medför att möjlig- heterna att ta del av allmänna handlingar begränsas. Lagen inne- håller bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar, gemensamt betecknat som sekretess. Bestämmelserna om offentlighet och sekretess är så- ledes av avgörande betydelse för möjligheten att få ta del av myndig- heters handlingar. Bestämmelserna reglerar också skyddet för de uppgifter myndigheter förvarar hos sig.

74

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Personuppgiftslagen

Personuppgiftslagen är, som ovan nämnts, resultatet av det svenska genomförandet av det nuvarande dataskyddsdirektivet. Personupp- giftslagen följer i stort sett dataskyddsdirektivets text och disposi- tion och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den regi- strerade, säkerhet och sanktioner.14 Det angivna syftet med person- uppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Etikprövningslagen

I syfte att bland annat uppfylla de krav som ställdes i Europarådets konvention om mänskliga rättigheter och biomedicin infördes den 1 januari 2004 lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestäm- melser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestäm- melser om samtycke till sådan forskning.

Registerspecifika författningar

Utöver generell lagstiftning finns ett antal författningar som regle- rar personuppgiftsbehandling för forskningsändamål i specifika verksamheter. Nedan presenteras ett par författningar av detta slag.

Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”) tillkom för att ge ett tyd- ligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att

14 Sedan år 2007 (SFS 2006:398) har dock den hanteringsmodell som framgår av dataskydds- direktivet i personuppgiftslagen kompletterats av en missbruksmodell, med omfattande undantag när personuppgifter i s.k. ostrukturerat material behandlas.

75

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjuk- domar och för människors hälsa i övrigt. Lagens giltighet tidsbegrän- sades i avvaktan på beredningen av den översyn av förutsättning- arna för registerbaserad forskning som gjordes av Registerforsk- ningsutredningen (SOU 2014:45). Efter förlängning gäller lagen till och med den 31 december 2017. Förslag om ytterligare förlängning bereds för närvarande inom Regeringskansliet. Nödvändiga anpass- ningar av denna lag inför att dataskyddsförordningen börjar tilläm- pas behandlas i kapitel 15.

Lag (1999:353) om rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts en- ligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin (ut- vecklingsarbete). Registret regleras i lagen (1999:353) om rätts- psykiatriskt forskningsregister. Nödvändiga anpassningar av denna lag inför att dataskyddsförordningen börjar tillämpas behandlas i kapitel 15.

3.3Bakgrund utifrån ett forskningsperspektiv

3.3.1EU:s dataskyddsreform

EU-kommissionen initierade den 1 maj 2009 en konsultation riktad till allmänheten rörande skyddet för personuppgifter inom EU.15 Utgångspunkter för det kommande arbetet presenterades genom ett bidrag av den s.k. artikel 29-gruppen,16 publicerat den 1 december

15Se http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm

16Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.

76

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

samma år.17 Den 25 januari 2012 presenterade EU-kommissionen ett förslag till ny allmän uppgiftsskyddsförordning för Europa.18 Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) arbetade under år 2012 och 2013 fram ett ändringsförslag som i sina huvuddrag antogs av parla- mentet efter den s.k. första läsningen i mars 2014.19 Ministerrådet antog en i väsentliga delar annan ståndpunkt i sitt ändringsförslag av den 11 juni 2015.20 Som resultat av den därpå följande trilogen21 antogs en gemensam ståndpunkt den 15 december 2015. Det slut- liga förslaget till allmän dataskyddsförordning antogs av minister- rådet den 8 april 2016 och av parlamentet den 14 april samma år.

Dataskyddsförordningen publicerades den 4 maj och trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas först från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och ersätter motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande data- skyddsdirektivet och dess svenska implementering genom person- uppgiftslagen. Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av person- uppgifter och bedrivs av en personuppgiftsansvarig eller person- uppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens materiella tillämpningsområde.

17The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. 02356/09/EN WP 168.

18COM (2012) 11 final av den 11 januari 2012. Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).

19P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).

20Note 9565/15 from the Presidency to the Council, 11 June 2015. Annex: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).

21Trepartsförhandlingar mellan kommissionen, ministerrådet och parlamentet.

77

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

3.3.2Frågor för forskningen vid dataskyddsförordningens tillkomst

Två grundläggande syften bakom den nya dataskyddsförordningen är:22

Att skydda fysiska personers fundamentala rättigheter och fri- heter med avseende på skyddet för personuppgifter mot bak- grund av den snabba utveckling av teknik och organisation som har gjort att kommersiella företag och myndigheter har allt större möjligheter att samla in, lagra och samutnyttja personlig infor- mation från olika källor.

Att underlätta den fria rörligheten vad gäller personuppgifter inom den Europeiska unionen genom likformig lagstiftning i alla medlemsstater. Härigenom avses att även inom de områden där personuppgifter används komma närmare förverkligandet av artikel 179 i EUF-fördraget23 som verkar för att skapa ett gemen- samt europeiskt forskningsområde.

Dataskyddsförordningen kommer att få central betydelse för forsk- ning inom EU. I Sverige liksom i några andra länder är möjligheten att använda personuppgifter i stora befolkningsbaserade register av särskilt intresse. Förekomsten av register som täcker flera generatio- ner av hela befolkningen, deras omfattning vad gäller olika samhälls- sektorer, samt existensen av ett nationellt personnummer ger sär- skilda möjligheter för forskning och ställer samtidigt höga krav på ett starkt integritetsskydd för fysiska personer. Det nuvarande svenska regelverket utgör en implementering av dataskyddsdirektivet från år 1995 som kan sägas ha tagit hänsyn till behovet av att balan- sera dessa motstående intressen.

Under den process som ledde fram till den slutliga utformningen av dataskyddsförordningen gjordes ansträngningar från den svenska regeringens företrädare, med stöd från olika forskningsaktörer, att klargöra dessa för Sverige speciella förutsättningar och värdera de förslag till förordningstexter som lades fram utifrån ett forsknings-

22Se skäl 1–7 i dataskyddsförordningen.

23Fördraget om Europeiska Unionens funktionssätt EUT C 326, 26.10.2012 s. 47.

78

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

perspektiv. De nordiska länderna och andra länder med motsvar- ande behov samverkade i detta arbete.

En viktig fråga för forskningen hade att göra med forskningens möjligheter att använda personuppgifter hämtade från andra verk- samheter än de som har forskning som primärt syfte. En annan fråga hade att göra med samtyckets roll som rättslig grund för person- uppgiftsbehandling när mängden personuppgifter är så stor att in- hämtandet av individuella samtycken försvåras. En tredje fråga rörde de rättsliga möjligheterna att kombinera uppgifter från olika datakällor och över långa tidsperioder med användning av person- nummer eller motsvarande personbundna identifikatorer.

Med detta som allmän utgångspunkt framstod tre frågor som särskilt betydelsefulla för forskningen:

Det s.k. forskningsundantagets24 plats i förordningstexten (i den slutliga förordningen i artikel 5 b).

Förslag till särskilda regler om obligatoriskt samtycke vid forsk- ning med användning av personuppgifter om hälsa (tidigare för- slag till skrivning av artikel 81).

Förslag om pseudonymisering som skyddsåtgärd (i den slutliga förordningen i artikel 89.1).

Med avseende på de två första frågorna fanns skillnader mellan Europaparlamentets position25 efter första läsningen26 och minister- rådets uppfattning.27 Den sista punkten, som rör pseudonymiser- ingens ställning, diskuterades mellan representanter för medlems- länderna under hela processen fram till den överenskommelse som träffades som resultat av trilogen den 15 december 2015.

24Artikel 5 b i dataskyddsförordningen, andra meningen: ”Ytterligare behandling för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ända- målen.”

25P7_TA(2014)0212.

26Beslutet togs den 12 mars 2014 efter den inledande parlamentsbehandlingen. Beslut efter den andra läsningen i parlamentet var det konsoliderade förslaget (nuvarande förordnings- text) efter trilogen som antogs den 14 april 2016.

27Note 9565/15 from the Presidency to the Council, 11 June 2015.

79

201228

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Forskningsundantaget

I 9 § andra stycket personuppgiftslagen anges (med hänvisning till be- stämmelsen om den i första stycket föreskrivna finalitetsprincipen):

I fråga om första stycket d gäller dock att en behandling av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samla- des in.

Denna särställning för bland annat forskning benämns ibland

”forskningsundantaget”.

I dataskyddsförordningen finns de allmänna principerna för personuppgiftsbehandling i artikel 5. Ytterligare behandling för forskning regleras genom att sådan behandling enligt 5 b inte ska betraktas som oförenlig med det ursprungliga ändamålet för in- samlingen av personuppgifter. Formuleringen av denna bestäm- melse är således parallell till det nuvarande dataskyddsdirektivet och dess implementering i personuppgiftslagen.

Forskningsundantaget fanns varken med i kommissionens ur- sprungliga förslag till ny uppgiftsskyddsförordning från januari eller i parlamentets förslag till modifikationer från mars 2014.29 I stället för ett generellt undantag fanns i kommissionens förslag skäl 4030 där formuleringen föreföll tillåta forskning för ändamål som inte står i motsättning till det ursprungliga ändamålet. Detta torde ha utgjort en inskränkning av den nuvarande regeln där inte något nytt ändamål för ytterligare behandling behöver anges utan ett generellt undantag görs för behandling för forsknings- ändamål utförd av samma personuppgiftsansvarig. Dessutom åter- fanns formuleringen om forskning i ett skäl och inte i den artikel

som beskriver ändamålsbegränsning och finalitetsprincip. Parlamentet tog ett ytterligare steg i denna riktning genom att

helt stryka skäl 40 från förslaget31 utan att införa undantaget i artikel- texten. Den förändring i förhållande till gällande rätt det skulle medföra att forskningsundantaget saknas i förordningen skulle enligt den dåvarande svenska bedömningen kraftigt kunna begränsa forskningen. Möjligheten att i forskning återanvända personuppgif-

28COM (2012) 11 final av den 25 januari 2012.

29P7_TA(2014)0212.

30COM (2012) 11 final av den 25 januari 2012, skäl 40.

31P7_TA(2014)0212.

80

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

ter från administrativa register eller verksamhetsregister, samt att återanvända data insamlade för vissa forskningsändamål för annan forskning är av central betydelse. Det skulle därmed också påverka möjligheten att dela information mellan forskargrupper, och att använda sig av historiska uppgifter, exempelvis för retrospektiva kohortstudier.32

Förslaget att eliminera undantaget från texten torde ha varit ett led i att förstärka skyddet för enskilda mot bakgrund av de allt större tekniska möjligheterna att samla in och samutnyttja stora mängder av personuppgifter som i skäl 6 beskrivs som ett av de grundläggande motiven för dataskyddsreformen.

Forskningsfrågorna upptog en viktig plats i ministerrådets arbete, bland annat var det en av de frågor som prioriterades av den svenska regeringen under förhandlingsarbetet. De framsteg inom bland annat den medicinska forskningen som ytterligare behand- ling av personuppgifter från befolkningsregister har inneburit ut- gjorde ett tungt vägande skäl för att behålla forskningsundantaget.

Ministerrådet kompletterade kommissionens förslag genom att i artikel 5 b lägga till undantaget för arkivändamål, forskning och statistik med samma ordalydelse som återfinns i det nuvarande dataskyddsdirektivet, och man omformulerade skäl 40 i enlighet med detta. Tillägget ingår nu som andra mening i artikel 5 b till- sammans med ett förtydligande i skäl 50.

Samtycke för uppgifter om hälsa

Artikel 9.2 j (i kommissionens förslag artikel 9.2 i33) fastställer att behandling av särskilda kategorier av personuppgifter (”känsliga personuppgifter” i nuvarande lagtext) är tillåten för vetenskapliga eller historiska forskningsändamål under förutsättning att behand- lingen är nödvändig enligt artikel 89.1 (tidigare artikel 83), att det i unionsrätten eller den nationella rätten finns ett rättsligt grundat

32Studier där en population följs under lång tid, baserad på uppgifter som samlats in för många år sedan och sedan används i efterhand av forskare.

33COM(2012) 11 final av den 25 januari 2012, s. 47.

81

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

skydd för uppgifterna, och att proportionalitetsprincipen34 beak- tats. I definitionen innefattas enligt artikel 9.1 uppgifter om hälsa.

Utöver detta föreslog kommissionen särskilda bestämmelser om hälsa i artikel 81.35 Kommissionen föreslog att personuppgifter om den registrerades hälsotillstånd enligt artikel 81 får behandlas för forskningsändamål i enlighet med bestämmelser i (dåvarande) arti- kel 83.

Parlamentet gick även i detta avseende längre än kommissionen när det gällde att föreslå skydd genom att i artikel 81.2 som huvud- princip lägga till ett krav på samtycke när uppgifterna behandlas för forskningsändamål.36 Ett ytterligare tillägg (artikel 81.2 a) möjlig- gjorde dock undantag från denna restriktion “with regard to research that serves a high public interest, if that research cannot possibly be carried out otherwise”.37 Utöver detta innebar parlamentsförslaget krav på anonymisering eller pseudonymisering38 och att den regi- strerade skulle ha rätt att motsätta sig behandlingen när som helst under processen. Vad som är “high public interest” skulle enligt förslaget avgöras av kommissionen efter konsultation med den Europeiska dataskyddsstyrelsen39 (dåvarande artikel 81.3). De tillägg som föreslogs av parlamentet skulle innebära ett särskilt förstärkt skydd för personuppgifter om hälsa utöver vad som stadgas i artikel 9 om särskilda kategorier av personuppgifter.

Mot detta ska vägas de konsekvenser ett sådant tillägg skulle kunna få för forskning och statistikverksamhet. Forskning om hälsa

34Den europeiska unionsrätten anger att åtgärden för att vara proportionerlig ska vara ägnad att tillgodose ändamålet, nödvändig för att uppnå ändamålet samtidigt som mindre inskränk- ande alternativ saknas, och den fördel som uppnås med åtgärden ska stå i rimlig proportion till den eventuella skada den kan orsaka för de berörda.

35COM(2012) 11 final av den 25 januari 2012, s. 96–97.

36P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), s. 305

37A.a., s. 307.

38I dataskyddsförordningens terminologi är pseudonymisering enligt artikel 4.5 person- uppgifter som inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Anonymisering är enligt skäl 26 information som inte hänför sig till en identifierad eller identifierbar fysisk person. Förordningen är inte tillämpbar på anonyma uppgifter. Terminologin i förordningen kan avvika något från i Sverige etablerade uppfatt- ningar om dessa termers betydelse.

39Se dataskyddsförordningens avsnitt 3 där denna styrelse inrättas som ett unionsorgan med uppgift att se till att förordningen tillämpas enhetligt. Styrelsen ersätter den nuvarande artikel 29-gruppen som haft en liknande uppgift i relation till det nuvarande dataskyddsdirektivet.

82

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

använder sig i Skandinavien ofta av hundratusentals uppgifter från befolkningsomfattande hälsodataregister. Registerbaserade studier utgör en betydelsefull del av den europeiska epidemiologin. Det föreslagna kravet på samtycke skulle i praktiken förhindra denna forskning.

Från forskare framhålls också ofta att samtycke kan medföra snedvridning i forskningsresultaten. Att söka aktivt samtycke med- för ofta överrepresentation av personer med bättre hälsa, under- representation av personer i vissa åldersgrupper, etc. Om syftet exempelvis är att undersöka förekomsten av hälsoproblem kan detta medföra att problemens förekomst undervärderas. I vilken riktning en icke representativ selektion snedvrider resultaten av forskningen kan inte generellt värderas och är därför svårt att kompensera för i resultatredovisningen.

Eftersom det av parlamentet föreslagna tillägget till artikel 81.2 tog sikte också på statistiska ändamål skulle myndigheter som en- bart använder personuppgifterna för statistikproduktion antingen bli skyldiga att inhämta samtycke från samtliga, eller i det fall undantaget i artikel 81.2 a gällde, erbjuda den registrerade möjlig- heten att bli struken från registret. I samband med kravet på sam- tycke uppkom därför frågan om hur de grundläggande nationella personnummerbaserade populationstäckande registren vid Statistiska Centralbyrån, Socialstyrelsen, Försäkringskassan, Folkhälsomyndig- heten och andra myndigheter med uppgifter om hälsa skulle påver- kas av krav på samtycke som grundprincip och en absolut rätt att motsätta sig behandling i efterhand. Den nuvarande svenska lag- stiftningen rörande obligatoriska hälsodataregister skulle då behöva modifieras, och förändringar skulle också bli nödvändiga i vissa registerförfattningar, som i särskilda fall innefattar möjligheten att motsätta sig behandling med andra formuleringar än de föreslagna.40

Ministerrådet föreslog strykning av de särskilda regler om hälso- uppgifter som fanns i artikel 81. Man ansåg att den reglering som enligt artikel 9 erbjuder ett förhöjt skydd för särskilda kategorier av personuppgifter och som innefattar uppgifter om hälsa skulle vara tillräcklig. Detta vann gehör i trilogen. Därmed upphävdes den före- slagna artikel 81 i sin helhet.

40 Exempelvis enligt 7 kap. 2 § patientdatalagen som reglerar kvalitetsregister i hälso- och sjuk- vården.

83

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Pseudonymiseringens ställning som skyddsåtgärd

Frågan om pseudonymiseringens ställning som skyddsåtgärd var föremål för diskussion mellan medlemsstaterna under hela för- handlingsprocessen. Pseudonymisering innebär att uppgifter som möjliggör identifiering av personer hålls separerade från andra upp- gifter. Pseudonymiserade uppgifter är personuppgifter, vilket inne- bär att uppgifterna kan återidentifieras med tillförande av komplette- rande uppgifter (artikel 4.5 i dataskyddsförordningen). Pseudo- nymisering innebär enligt förordningen “tekniska eller organisato- riska åtgärder”, men regleringen identifierar inte vad detta innebär i detalj. Artikel 29-gruppen har gjort en genomgång av de vanligaste metoderna.41

Det kan vara personuppgifter som är indirekt identifierbara och/eller data som försetts med en kodnyckel av mer eller mindre avancerat slag. Pseudonymiseringen kan även innebära att indirekt identifiering ska försvåras. Eftersom indirekt identifiering ofta kan åstadkommas med hjälp av relativt få uppgifter (t.ex. ålder, kön, diagnosdatum, diagnoskod och geografisk region) skulle många så- dana uppgifter komma att behöva elimineras eller omkodas för att uppnå erforderligt skydd.

Pseudonymisering har framhållits som en av de viktigaste skydds- åtgärderna för forskningsdata. Kommissionens förslag till reglering av forskning i artikel 83 löd som följer:42

Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

a)dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

b)uppgifter som gör det möjligt att hänföra information till en identi- fierad eller identifierbar registrerad person hålls åtskilda från övrig infor- mation så länge som dessa ändamål kan uppfyllas på det sättet.

410829/14/EN WP216. Yttrande 05/2014 om avidentifieringsmetoder, avsnitt 4 s. 20 f.

42COM(2012) 11 final av den 25 januari 2012, s. 97.

84

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Parlamentet föreslog som ett led i att öka personuppgiftsskyddet en förstärkning av formuleringarna i artikel 83 b genom att stryka bisatsen ”så länge som dessa ändamål kan uppfyllas på det sättet”.43

Man föreslog således i praktiken ett obligatoriskt krav på pseudo- nymisering för statistik och forskningsändamål.

I ministerrådets behandling av frågan fanns skilda meningar om pseudonymiseringens roll i förhållande till andra skyddsåtgärder. En synpunkt var att pseudonymisering borde likställas med andra skyddsåtgärder och att en dominerande ställning för denna speci- fika skyddsåtgärd skulle medföra en reglering som inte var teknik- neutral. Ministerrådets slutförslag innehöll en formulering som lyfte fram pseudonymisering utan krav på obligatorium och med ett liknande undantag som kommissionen hade föreslagit:

The appropriate safeguards referred to in paragraphs 1 and 1a shall be laid down in Union or Member State law and be such to ensure that technological and/or organisational protection measures pursuant to this Regulation are applied to the personal data (…), to minimise the processing of personal data in pursuance of the proportionality and necessity principles, such as pseudonymising the data, unless those measures prevent achieving the purpose of the processing and such purpose cannot be otherwise fulfilled within reasonable means.44

Ett långtgående krav skulle för forskningens del kunna leda till att de uppgiftssamlingar som är tillräckligt pseudonymiserade i prakti- ken inte kan användas av forskare som avser att sambearbeta upp- gifter från olika källor och där insamlingen av uppgifter försiggår under långa tidsperioder.

Användning av pseudonymer vid påförande av nya data medför också sannolikt fel i matchningsproceduren. De kan orsakas både av rena datafel och av att de data som används som grund för pseudo- nymiseringen ändras för en individ över tid. Pseudonymisering kommer därför att resultera i förlust av datakvalitet i datamängder som förs över tid och behöver uppdateras.45 I vissa sammanhang,

43P7_TA (2014)0212, s. 316.

44COM(2012) 11 final av den 25 januari 2012, s. 195.

45Felkällor som uppstår med användning av pseudonymiserade data illustreras närmare i en jämförelse mellan skandinavisk och tysk cancerstatistik: Andersen MR, Storm HH, on behalf of the Eurocourse Work Package G. Cancer registration, public health and the reform of the European data protection framework: Abandoning or improving European public health research? European journal of cancer. 2013. doi:10.1016/j.ejca.2013.09.005.

85

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

t.ex. vad avser uppgifter i biobanker, kan det vara svårt att åstad- komma en tillräcklig eliminering av uppgifter för att tillgodose kravet på pseudonymisering enligt artikel 4.5.

Ett krav på pseudonymisering skulle påverka såväl uppgifts- samlingar för forskningsändamål som registerhållningen hos stati- stik- och arkivmyndigheter. Ett exempel kan vara Statistiska central- byråns (SCB) register över totalbefolkningen (RTB) som är ett ut- drag från Skatteverkets grunduppgifter. RTB används för befolk- ningsstatistiken och utgör en viktig bas i snart sagt alla populations- baserade studier eller i urvalsstudier där uttag och samkörningar mot andra uppgifter behöver göras. Möjligheten att behandla person- nummer har således avgörande betydelse för den svenska forskningen.

Kravet på pseudonymisering kvarstod under hela trilogen. I slut- skedet av förhandlingen föreslogs obligatorisk pseudonymisering om ändamålet ändå skulle kunna uppfyllas med användning av denna skyddsåtgärd. Till slut modifierades dock skrivningen i artikel 89.1 till att skyddsåtgärderna ”får inbegripa pseudonymisering under förutsättning att dessa ändamål kan uppfyllas på det sättet” (vår kursivering). Pseudonymiseringen kvarstår därmed som en i för- ordningen prioriterad skyddsåtgärd, men förutsätts bara användas när så är möjligt med hänsyn till personuppgiftsbehandlingens syfte.

3.3.3Sammanfattning

Några frågor som diskuterades som särskilt viktiga för forskningen under den slutliga processen var finalitetsprincipen och forsknings- undantaget, samtycke som grundprincip för hälsoinriktad forsk- ning, och obligatorisk pseudonymisering av forskningsdata.

Efter att ha varit frånvarande från kommissionens förslag och parlamentets modifieringsförslag efter första läsningen togs ett undantag från finalitetsprincipen, för bland annat personuppgifts- behandling för forskningsändamål, med i artikel 5 b i dataskydds- förordningen. Det har i princip samma lydelse som det undantag som finns i 9 § personuppgiftslagen.

De särskilda regler som kommissionen föreslog för personuppgif- ter om hälsa, och som genom parlamentets tillägg innebar mycket strikta begränsningar i forskningens möjlighet att utnyttja person- uppgifter utan att samtycke inhämtats, upphävdes i sin helhet i den

86

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

slutliga förordningstexten där känsliga personuppgifter innefatt- ande uppgifter om hälsa regleras genom artikel 9 tillsammans med andra känsliga personuppgifter.

Kravet på obligatorisk pseudonymisering om inte detta förhind- rar att forskningen kan utföras fanns med sent under förhandlingen mellan ministerrådet, parlamentet och kommissionen, men ersattes slutligen med en formulering som innebär att pseudonymisering får användas om syftet med personuppgiftsbehandlingen ändå kan upp- nås.

I flera fall innebar förhandlingarna att heterogeniteten mellan olika materiella tillämpningsområden och delar av det territoriella tillämpningsområdet (t.ex. mellan medlemsstaterna) var så stor att den slutliga texten innehåller en rad bestämmelser om att medlems- staterna kan eller ska instifta nationella regler som kompletterar förordningen.

3.4Begreppsdefinitioner

3.4.1Inledning

Forskningsdatautredningen har, till skillnad från Utredningen om översyn av etikprövningen (U 2016:02),46 inte fått särskilda direktiv att se över definitionen av forskningsbegreppet. Eftersom särskilda regler kommer att gälla för personuppgiftsbehandling för veten- skapliga och historiska forskningsändamål finner utredningen ändå ett behov av att adressera gränsdragningen mellan sådan behandling och annan behandling av personuppgifter. För forskningsändamål finns i dataskyddsförordningen möjlighet till undantag från flera bestämmelser som avser att skydda fysiska personer. Det är därför väsentligt att forskningsändamål ges en innebörd som möjliggör nuvarande och framtida forskning, men inte omfattar mer än vad som behövs och är tillåtligt enligt dataskyddsförordningen.47

I detta avsnitt görs först en genomgång av de begrepp och ut- tryck som används i dataskyddsdirektivet, personuppgiftslagen och

46Dir. 2016:45.

47Detta motiveras också genom de grundläggande friheter och rättigheter som fastställs i regeringsformens andra kapitel och i de internationella överenskommelser om mänskliga rättigheter som har Sverige anslutit sig till.

87

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

dataskyddsförordningen för att beskriva forskning. Därefter dis- kuteras hur en avgränsning av begreppet ”forskning” lämpligen kan göras och dess relation till begreppet ”forskningsändamål”, samt hur det närliggande begreppet ”akademiskt skapande” förhåller sig till forskning.

3.4.2Begreppsanvändning i dataskyddsregleringen

Nuvarande reglering

I det nuvarande dataskyddsdirektivet förekommer begreppet ”forsk- ning” i artikel 13.2 i uttrycket ”ändamål som har med vetenskaplig forskning att göra”, i artikel 32.3 där ”historisk forskning” omnämns, samt i skäl 34 där uttrycket ”vetenskaplig forskning” används. På flera ställen förekommer uttrycket ”vetenskapliga ändamål” (arti- kel 6 b och e samt skäl 29 och 40) och i ett fall ”vetenskapliga forsk- ningsändamål” (artikel 11.2). Formuleringarna i de olika delarna av direktivet är således inte identiska eller konsekventa.

I 9 § andra stycket personuppgiftslagen används, i överensstäm- melse med motsvarande artikel 6 b i direktivet, uttrycket ”veten- skapliga ändamål” för att beskriva de undantag från 9 c § som med- ges för bland annat forskning och i 26 § om den registrerades rätt till information efter ansökan. När det gäller forskning med käns- liga personuppgifter används i 19 § uttrycket ”forskningsändamål”.

Dataskyddsförordningen

I bilaga 3 finns en detaljerad genomgång av alla de termer i data- skyddsförordningens skäl och artiklar som berör forskning. Några av dessa termer har definierats i dataskyddsförordningens artikel 4. Denna artikel innehåller dock inga definitioner av just forskning eller forskningsändamål. Begreppet ”forskning” förekommer över huvud taget inte i artiklarna, där man genomgående använder det sammansatta uttrycket ”vetenskapliga eller historiska forsknings- ändamål”.

När det gäller ”forskning” får man därför vända sig till skälen för att få vägledning. ”Forskning” eller ”vetenskaplig forskning” omnämns i skälen 33, 157, 159, 160 och 161. De fyra senare ger viss

88

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

vägledning om vad som bör innefattas i forskningsbegreppet när det omfattar personuppgiftsbehandling.

I skäl 159 ges en allmän vägledning till vad forskning ska anses innefatta. Skälet inleds med att fastställa att personuppgiftsbehand- ling för forskningsändamål omfattas av förordningen. Därefter anges att denna typ av personuppgiftsbehandling bör ges en vid tolkning som innefattar:

Teknisk utveckling och demonstration.

Grundforskning.

Tillämpad forskning.

Privatfinansierad forskning.

Studier som utförs av ett allmänt intresse inom folkhälsoområdet.

Skäl 160 tillägger att forskning för historiska och genealogiska48 ändamål ska innefattas, dock med beaktande av att förordningen inte gäller för avlidna. Vad gäller vetenskaplig forskning inom ramen för kliniska prövningar hänvisar skäl 161 till Europaparlamentets och rådets förordning (EU) nr 536/2014.49 Forskning som inne- fattar kliniska prövningar torde dock även omfattas av den uppräk- ning som görs i skäl 159.

Uppräkningarna i de angivna skälen förefaller ange en viljeinrikt- ning snarare än att vara heltäckande. Det bör därför finnas utrymme för att i nationell reglering skapa, alternativt behålla, en avgränsning av forskningsbegreppet som är relevant för den forskning som an- vänder personuppgifter. En sådan avgränsning ska överensstämma med den i skäl 159 uttryckta viljeinriktningen att forskning ska ges en vid tolkning.

48Vetenskaplig släktforskning.

49Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG (EUT L 158,27.5.2014, s. 1).

89

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

3.4.3Begreppet forskning

Begreppets definition i närliggande sammanhang

Det huvudsakliga arbetet i Sverige med att definiera forskning har skett inom ramen för etikprövningssystemets utveckling. Diskussio- nen har dominerats av överväganden som har att göra med etik- prövningens syften, nämligen att utgöra ett skydd mot otillbörligt utnyttjande av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Forskning som enbart omfattar teoretiska överväganden utan att använda uppgifter som härrör från enskilda personer ska inte omfattas av etikprövning. Forskning som inte omfattar känsliga personuppgifter ska inte heller etikprövas. Sådan forskning som inte berörs av etikprövningen kan således ha givits mindre uppmärksamhet i arbetet med att definiera forskning i etik- prövningslagen.

Eftersom känsliga personuppgifter ofta förekommer i hälso- inriktad forskning har de exempel lagstiftaren utgått ifrån troligen ofta härrört från medicinsk och epidemiologisk empirisk forskning med användning av denna kategori av känsliga personuppgifter.

Forskningsdatautredningen har i uppdrag att föreslå den kom- pletterande reglering till dataskyddsförordningen som behövs för all slags behandling av personuppgifter för forskningsändamål. Utöver detta ska utredningen i sin senare fas ta ställning till en lång- siktig generell reglering av forskningsdatabaser.

Utredningen ska således framöver lämna förslag på ett bredare område än det som i dag omfattas av etikprövning, men den ska inte ta ställning till forskning som inte innefattar personuppgifts- behandling. Avgränsningen till behandling av personuppgifter för forskningsändamål är således gemensam. Etikprövningslagens forskningsdefinition och de bedömningar som föregick dess för- ändring från och med år 200850 utgör därmed en relevant bakgrund.

Den lydelse av forskningsdefinitionen som gällde före 1 januari 2008 enligt 2 § etikprövningslagen var:

Vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund.51

50SFS 2008:192.

51SOU 2005:78, s. 23.

90

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

En anledning till den utredning som föregick 2008 års ändring i etikprövningslagens definition var att den äldre formuleringen innehöll ett cirkelresonemang (forskning definierades som veten- skaplig forskning) och var dessutom alltför allmänt hållen för att utgöra en väl fungerande vägledning för etikprövningsnämndernas arbete.52

Den äldre definitionen inkluderade såväl grundläggande veten- skaplig verksamhet (grundforskning) som utvecklingsarbete (tilläm- pad forskning), men uteslöt utvecklingsarbete som inte vilade på vetenskaplig grund. Detta synsätt får anses överensstämma med intentionerna i dataskyddsförordningen såsom de uttrycks i skäl 159.

Inför revideringen av etikprövningslagen efterfrågades också en tydligare avgränsning mellan forskning och lärosätenas utbildnings- verksamhet. Detta har tillgodosetts genom en kompletterande bi- sats i 2008 års formulering som undantar utbildning på grund- och avancerad nivå från forskningsdefinitionen. I propositionen anges att forskning som utförs av studenter på forskarnivå ska genomgå etikprövning om den faller inom ramen för lagens tillämpnings- område.53 Den avgränsning som görs avser därmed utbildning på grundnivå samt avancerad nivå enligt högskolelagen54, men inte ut- bildning på forskarnivå. Denna avgränsning mot utbildning åter- finns inte uttryckligen i dataskyddsförordningen, men står enligt utredningens bedömning inte i motsättning till formuleringarna i skäl 159 som genomgående använder uttrycket ”vetenskapliga forsk- ningsändamål”.

Etikprövningsutredningen fann vid sin genomgång att Centrala etikprövningsnämnden (CEPN) i praktiken har definierat verk- samheter som forskning utifrån företrädesvis två aspekter:55

Utförarnas egenskaper eller anställning (”kvalificerade forskare”).

Forskarnas/utförarnas intentioner (framför allt att publicera arbetet i vetenskaplig tidskrift).

52SOU 2005:78, s. 55 f.

53Prop. 2007/08:44, s. 20.

541 kap. 7 § högskolelagen (1992:1434) samt lag (2006:173) om ändring i högskolelagen.

55SOU 2005:78 s. 50.

91

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Regelrätta definitioner av forskning saknas i andra förarbeten till lagstiftning om personuppgiftsbehandling, men forskning diskuteras i olika sammanhang. Efter 2008 hänvisar 19 § personuppgiftslagen till etikprövningslagen.56 För tiden före denna förändring sägs i Etikprövningsutredningen:

Före den nu nämnda förändringen av 19 § PUL beskrevs forsknings- begreppet i litteraturen på följande sätt. Begreppet forskning i 19 § sades i första hand avse den verksamhet som bedrevs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletable- rade forskningsinstitut. Även sådana epidemiologiska undersökningar som utfördes vetenskapligt omfattades. Släktforskning föll utanför, lik- som annan forskning eller utredningsverksamhet av mera privat natur. Det krävdes ett samhällsintresse av att forskningen bedrevs, och den behövde vara vetenskaplig i någon mening.57

Här hänvisades således huvudsakligen till vem som är forsknings- aktör.

Man kan alltså urskilja tre huvudlinjer i resonemangen. I de teoretiska övervägandena görs försök att definiera forskning ut- ifrån verksamhetens karaktär och inriktning. När man ser till de praktiska överväganden som görs i etikprövningsnämnderna eller av forskningsfinansiärer så spelar verksamhetens organisatoriska inramning en större roll, samt de rent praktiskt närliggande målen för verksamheten, såsom vetenskaplig publicering.

Utifrån detta resonemang skulle man kunna utveckla en ”check- lista” för forskning som har liknande karaktär som de just citerade praktiskt tillämpade kriterierna. Således skulle en verksamhet kunna betecknas som forskning exempelvis om:

Den som är ansvarig för forskningen har avslutad forskarutbild- ning.

Den som är ansvarig för forskningen är aktiv forskarstuderande.

Arbetet avses publiceras i vetenskaplig tidskrift. (Vad som menas med en vetenskaplig tidskrift kan diskuteras och varierar mellan olika discipliner).

56Personuppgiftslagens 19 § anger att personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål är tillåten om den godkänts enligt lagen (2003:460) om etikprövning av forskning.

57SOU 2005:78, s. 50.

92

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Arbetet avses publiceras i annat vetenskapligt alster (exempelvis monografi, doktorsavhandling, datorprogram, konstinstallation, bildmaterial, bearbetade rådata i digital form, andra media).

Arbetet bedrivs inom universitet, högskola eller privat forsknings- institut och betecknas där som forskning.

Arbetet finansieras av budget avsedd för forskning i privat närings- verksamhet och betecknas där som forskning.

Arbetet finansieras av eller drivs inom ideell organisation och betecknas där som forskning.

Arbetet finansieras av ett etablerat statligt eller privat forsknings- råd.

Arbetet finansieras av annan forskningsaktör som betecknar aktiviteten som forskning.

Arbetet finansieras av ett offentligt anslag avsett för forskning i offentlig budget.

Exemplen ovan gör inte anspråk på att vara heltäckande eller ha någon prioritetsordning, men där ingår kriterier som grundar sig på:

Finansiering av forskningen.

Dokumentation av forskningen.

Vem som utför forskningen.

Forskningens organisatoriska inramning.

Inget av dessa kriterier tar på ett tillfredsställande sätt fasta på den vägledning som ges i förordningens skäl 159. I detta skäl anges att

”privatfinansierad forskning” ska inräknas, dock utan att offentligt finansierad forskning räknas upp särskilt. Detta torde kunna för- stås som att skäl 159 framhåller att finansieringsformen inte ska vara avgörande för bedömningen.

Inget i skälet aviserar något krav på forskares kvalifikationer eller, utöver finansieringsformen, vilken organisatorisk ram som är acceptabel. Skälet anger som allmän riktlinje att behandling av personuppgifter för forskningsändamål bör ges en vid tolkning och att forskning förekommer i flera olika sammanhang. Utredningens

93

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

bedömning av skälets formulering är att verksamhetens innehåll därför bör vara avgörande.

Etikprövningsutredningen föreslog en forskningsdefinition med inriktning på verksamhetens innehåll. För att undvika styrning av forskningens inriktning och för att lämna öppet för framtida ut- veckling föreslog man efter den genomgång som refererats ovan en nästan lika vid definition av forskning som tidigare:

Vetenskapligt systematiskt sökande efter ny kunskap.58

Av den proposition som följde på denna utredning framgår att flera remissinstanser ansåg att Etikprövningsutredningens förslag var alltför allmängiltigt för att tjäna som användbar avgränsning för etikprövningsnämndernas verksamhet.59 Cirkelresonemanget i den gamla definitionen var visserligen borta, men vidden och osäker- heten i forskningsbegreppet kvarstod. Regeringen ville därför ha en tydligare avgränsning av begreppet.

Organisationen för ekonomiskt samarbete och utveckling (OECD) har som ett led i sitt stöd till olika verksamheter över världen tagit fram den s.k. Frascati-manualen, i vilken man gör ett försök att definiera forsknings- och utvecklingsverksamhet.60 Man urskiljer tre nivåer:

The term R&D covers three activities: basic research, applied research and experimental development; these are described in detail in Chapter 4. Basic research is experimental or theoretical work undertaken primarily to acquire new knowledge of the underlying foundation of phenomena and observable facts without any particular application or use in view. Applied research is also original investigation undertaken in order to acquire new knowledge. It is, however, directed primarily towards a specific practical aim or objective. Experimental development is systematic work, drawing on existing knowledge gained from research and/or practical experience, which is directed to producing new materials, products or devices, to installing new processes, systems and services, or to improving substantially those already produced or installed. R&D covers both formal R&D in R&D units and informal or occasional R&D in other units. (Våra kursiveringar.)

58SOU 2005:78, s. 23.

59Prop. 2007/08:44 s. 17 f.

60OECD (2002) Frascati Manual: Proposed Standard Practice for Surveys on Research and Experimental Development, 6th ed., 2002, Ch 7, p. 30.

94

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Den vida inriktning av forskningsbegreppet som OECD använder motsvarar i stora drag ambitionerna i skäl 159. Dock utgör OECD:s definition en avgränsning av forsknings- och utvecklingsarbete, medan förordningen ska tillämpas på personuppgiftsbehandling för vetenskapliga forskningsändamål. Det får anses som en något smal- are målsättning eftersom det utvecklingsarbete (”teknisk utveckling och demonstration”) som omnämns i skäl 159 fortfarande torde förutsätta att arbetet sker på vetenskaplig grund och har vetenskap- ligt ändamål.

I regeringens proposition om ändring av etikprövningslagen föreslogs ett forskningsbegrepp som nära ansluter till OECD:s, men där indelningen i tre grupper slopats.61 Den nuvarande lydel- sen av 2 § etikprövningslagen är:

Vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Efter ändringen har även denna definition visat sig vara otillräcklig. Detta påpekas av Centrala etikprövningsnämnden i en skrivelse till regeringen.62 Definitionen sägs vara för smal, och i vissa fall även för bred, för att vara tillämplig. Den synes exempelvis utesluta andra vetenskapliga metoder för analys av data än de experimentella.

Etikprövningslagens definition av empirisk forskning63 pekar på den typ av forskning som genererar observationer experimentellt genom att manipulera ett eller flera forskningssubjekt i syfte att studera resultaten på ett kontrollerat sätt. När det gäller människor sker detta ofta genom att slumpmässigt indela försökspersoner i försöksgrupp och kontrollgrupp och studera skillnaden i ett utfall efter manipulering av försöksgruppen (s.k. randomiserad studie).

De vetenskapliga studier som använder personuppgifter och ska bli föremål för etisk prövning domineras av andra metoder än de experimentella. Etikprövningslagen ska tillämpas om forskningen medför fysisk eller psykisk påverkan på försökspersonerna även utan närvaro av någon experimentell manipulering.64 I många fall

61Prop. 2007/08:44 s. 17.

62CEPN dnr A28-2009, RK dnr U2009/4528/F.

63Dvs. forskning som använder data.

643 och 4 §§ lagen (2003:460) om etikprövning av forskning som avser människor.

95

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

studeras människor och processer utan forskarens ingripande. Det gäller exempelvis redan insamlade uppgifter om personer i myndig- hetsregister. Det gäller när biologiska prover tagna inom hälso- och sjukvården även används för forskningsändamål. Inom exempelvis pedagogik kan forskning innebära att undervisning i praktiken studeras, beskrivs och systematiseras av en forskare. Inom etno- grafi kan datainsamling bestå av passiv observation och/eller inspel- ning av ett naturligt skeende, där systematisering av informationen i huvudsak sker i efterhand. Ett liknande förfaringssätt aktualiseras vid studier av dokument, exempelvis i rättsvetenskaplig eller histo- risk forskning.

En samlande beteckning på detta är ”observationsstudier”.65

Observationsstudier innefattar antingen användning av uppgifter insamlade primärt för forskningsändamål eller andrahandsanvänd- ning av uppgifter som samlats in för andra ändamål än forskning. Här utgör de befolkningsbaserade administrativa registren ett sär- skilt viktigt underlag. I denna grupp ingår exempelvis uppgifter från folkbokföringen (SCB), hälsodataregister (Socialstyrelsen), hälso- och sjukvårdens kvalitetsregister (landstingen), register över inkomster (Skatteverket) m.m. Uppgifter som har samlats in pri- märt för forskningsändamål kan innefatta frågeundersökningar, medicinsk provtagning eller fysiska/mentala tester. Slutligen in- ryms i observationsstudier forskningsmaterial som till stor del är ostrukturerat med avseende på forskningssyftet, t.ex. inspelningar av naturlig konversation, bilder och olika slag av textdokument.

Etikprövningslagens nuvarande definition av forskning före- faller därmed inte täcka hela det område etikprövningen har om- fattat. I skrivelsen till regeringen föreslog CEPN att en ny definition av forskning som anpassas till etikprövningsnämndernas ansvars- område införs:

I denna lag avses med

1. forskning: empiriskt vetenskapligt arbete och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå [---]66

65Ett något missvisande begrepp eftersom även experiment genererar observationer. Här avses dock observationer av naturliga fenomen, dvs. de som inte genererats av forskaren.

66CEPN dnr A28-2009, RK dnr U2009/4528/F.

96

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

CEPN:s förslag innefattar observationsstudier och tydliggör dess- utom, liksom Frascatimanualen och skäl 159 i dataskyddsförord- ningen, att visst utvecklingsarbete ska betraktas som forskning. Det tydliggör också att det för etikprövningens del är fråga om att ta ställning till empirisk forskning (som använder personuppgifter) och inte till eventuella etiska aspekter på rent teoretisk forskning.

Överväganden

Utredningens bedömning: Begreppet forskning bör vid person- uppgiftsbehandling för forskningsändamål avgränsas på följande sätt: ”vetenskapligt arbete för att inhämta ny kunskap och ut- vecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå”.

Utredningen föreslår i föreliggande betänkande en forsknings- datalag. Av detta följer att lagens materiella tillämpningsområde behöver avgränsas. Det medför i sin tur behov av att definiera vad som i lagens mening avses med forskning och för vilka typer av forskning lagen ska vara tillämplig.

För utredningen framstår det inte som aktuellt att i lagens tillämpningsområde innefatta rent teoretiskt arbete, dvs. som inte innefattar personuppgiftsbehandling, innebärande utveckling av perspektiv, begreppssystem och förklaringsmodeller utan använd- ning av observationer. CEPN:s förslag till ändrad lydelse av 2 § etikprövningslagen innebär att termen ”teoretiskt arbete” bör ute- slutas från avgränsningen.

CEPN har därutöver påpekat att den nu gällande lydelsen ”veten- skapligt experimentellt arbete” är alltför smal och bör ersättas med den bredare termen ”empiriskt vetenskapligt arbete”. Enligt vår be- dömning omfattar inte begreppet ”empiriskt” med självklarhet all den behandling av personuppgifter för forskningsändamål som är möjlig och som omfattas av dataskyddsförordningen. Det kan exempelvis ifrågasättas om behandling för forskningsändamål av redan insamlade uppgifter i rättsvetenskapliga källor kan betecknas som ”empirisk”.

97

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

En bättre precisering av den forskning som lagen ska tillämpas på skulle åstadkommas genom en avgränsning till ”vetenskapligt arbete … som omfattar personuppgiftsbehandling”. Utredningen konstaterar dock att denna begränsning redan följer av dataskydds- förordningens artikel 2.1 som avgränsar förordningens materiella tillämpningsområde. Eftersom forskningsdatalagen uteslutande ska gälla inom dataskyddsförordningens tillämpningsområde saknas behov av att tydliggöra en sådan avgränsning.

Med hänsyn till ovanstående resonemang anser utredningen att termerna ”experimentellt”, ”teoretiskt” och ”empiriskt” bör undvi- kas, och konstaterar att en avgränsning till personuppgifter redan följer av dataskyddsförordningen. Utredningen bedömer därmed att en anpassad mindre modifikation av CEPN:s förslag behövs i detta avseende. Vidare föreslår utredningen att avgränsningen för- tydligas ytterligare genom att arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå undan- tas. Detta för att tydliggöra gränsdragningen mellan utbildning och forskning. Utredningens bedömning är således att inom forsknings- datalagens tillämpningsområde ska med forskning avses:

Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Den föreslagna formuleringen innefattar utvecklingsarbete på vetenskaplig grund och inbegriper därmed de intentioner som be- skrivs i skäl 159. Den ska betraktas som en fungerande avgränsning av den forskning som omfattas av förordningens särskilda bestäm- melser om personuppgiftsbehandling för vetenskapliga och histo- riska forskningsändamål.

Det är avslutningsvis utredningens bedömning att någon defini- tion av begreppet forskning inte bör införas i den föreslagna forsk- ningsdatalagen. Den avgränsning utredningen här har redogjort för får anses vara en tillräcklig utgångspunkt för hur forskningsbegreppet ska tolkas vid personuppgiftsbehandling för forskningsändamål, samtidigt som arbete pågår i en annan utredning (U 2016:02) med att se över definitionen av forskning i etikprövningslagen.

98

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

3.4.4Begreppet forskningsändamål

Begreppets användning i dataskyddsförordningen

I dataskyddsförordningens artiklar används genomgående och kon- sekvent uttrycket ”vetenskapliga eller historiska forskningsända- mål”. Uttrycket används i artikel 5 som rör principerna för behand- ling av personuppgifter och i artikel 9 som rör känsliga personupp- gifter (i förordningen kallat särskilda kategorier av uppgifter). Det förekommer också i samband med föreskrifter om undantag för forskningsändamål från vissa av de registrerades rättigheter i artik- larna 14, 17 och 21. Det återfinns även i artikel 89.1 som anger att personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder och i artikel 89.2 som lämnar utrymme för att i unionsrätten eller nationell rätt föreskriva undantag från artik- larna 15, 16, 18 och 21. Dessa artiklar behandlar den registrerades rättigheter i det fall personuppgifter behandlas för forskningsända- mål. Undantag från rättigheterna får göras när behoven av skydds- åtgärder är tillgodosedda och när det behövs för att forskningen ska kunna genomföras. För närmare analyser av dessa bestämmel- ser hänvisas till separata avsnitt i detta betänkande.

I artikel 6, som handlar om laglig behandling av personuppgifter, omnämns inte forskningsändamål särskilt. Det ingår här i den mer omfattande grupp ändamål som tillsammans kan (eller förutsätts) bli föremål för medlemsstaternas eller unionens kompletterande reglering (artikel 6.1 e allmänt intresse och 6.1 c rättslig förpliktelse).

Begreppet forskningsändamål förekommer tillsammans med mer eller mindre avgränsade uttryck67 och formuleringar i flera av förordningens skäl. I skäl 26 fastställs exempelvis att anonym infor- mation för forskningsändamål faller utanför förordningens tillämp- ningsområde. I skäl 33 förtydligas att samtycke till personuppgifts- behandling för forskningsändamål kan innefatta avgränsade forsk- ningsområden av bredare karaktär än enskilda projekt. Skäl 50 innehåller ett förtydligande av artikel 5.1 b om vilka krav som ställs på ytterligare behandling av redan insamlade personuppgifter. Skälen 52 och 53 förtydligar att undantag i unionsrätten eller natio- nell rätt från förbudet att behandla särskilda kategorier av person-

67 Se fig. 1 i bilaga 3.

99

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

uppgifter i artikel 9.1 kan göras för forskningsändamål. Skälen 62 och 65 beskriver undantag från de registrerades rättigheter vid personuppgiftsbehandling för forskningsändamål. I skäl 113 anges att hänsyn till samhällets legitima förväntningar om ny kunskap ska tas när överföring till tredje land görs för forskningsändamål. I skäl 156 formuleras riktlinjer för skyddsåtgärder och undantag från de registrerades rättigheter när uppgifter används för forsk- ningsändamål. I skäl 157 framhålls vikten av att den personuppgifts- behandling för forskningsändamål som innebär samkörning av personuppgifter från olika register kan göras. I skälen 159–162 be- skrivs, som diskuterats i föregående avsnitt, vad som ska anses inne- fattas i personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål.

Varken i skälen eller i de bindande artiklarna finns någon väg- ledning vad avser den eventuella distinktionen mellan ”vetenskap- liga forskningsändamål” och ”historiska forskningsändamål”. De förekommer åtskilda från varandra endast i de vägledande skälen 159, som särskilt beskriver vetenskapliga forskningsändamål, och 160, som särskilt behandlar vad som innefattas i historiska forsknings- ändamål. Huruvida de separata formuleringar som finns i dessa skäl är avsett att skilja dem åt med avseende på bestämmelserna om personuppgiftsbehandling framgår inte tydligt. Inte heller finns det någon klart uttalad beskrivning av distinktionen mellan ”forskning” och ”forskningsändamål”.

Dessa två frågeställningar har betydelse för hur förordningen bör tolkas, och analyseras i det följande.

Historiska, statistiska och vetenskapliga forskningsändamål

I kommissionens ursprungliga förslag från januari 2012 förekom- mer uttrycket ”historiska, statistiska och vetenskapliga forsknings-

ändamål”.68 Denna sammanhållna formulering förekommer inte i det nuvarande dataskyddsdirektivet, där motsvarande uttryck i arti- kel 6 b och e är ”historiska, statistiska eller vetenskapliga ändamål”.

Frågan uppstod om den nya sammanhållna satsen i kommissionens

68 COM (2012) 11 final av den 25 januari 2012, s. 97.

100

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

förslag skulle förstås som hänförlig till olika typer av forskning, eller om de två första områdena inte skulle avse forskningsändamål.

Avgränsningsproblemet blev särskilt tydligt i den engelsksprå- kiga versionen genom att uttrycket ”research purposes” kan ges en bredare definition än svenskans ”forskningsändamål”. Avsikten visade sig vara att historiska och statistiska ändamål inte ska avse forskning. Man strök därför ordet ”research” och ändrade ordfölj- den i formuleringen till ”archiving purposes in the public interest or for scientific, historical and statistical purposes”69 varmed det tydliggjordes att de vetenskapliga ändamålen är separerade från övriga ändamål. Förslaget innebar med andra ord att förutom ändringen av ordföljd återgå till den formulering som finns i dataskyddsdirektivet.

Det fanns dock ett önskemål om att tydliggöra att historisk och statistisk forskning inte skulle undantas från de bestämmelser som gäller forskning. För att lösa detta delade man upp begreppet ”histo- riska ändamål” i två beståndsdelar: ”arkivändamål av allmänt intresse” och ”historiska forskningsändamål”. Den formulering som genom- gående används i förordningen blev därmed ”arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Man återinförde därmed termen ”forskning” i formuleringen, men den placerades på ett sätt som inte återskapade den ursprungliga ambivalensen vad gäller historisk forskning. In- förandet av det separata uttrycket ”historiska forskningsändamål” torde därmed inte vara avsett att skilja på historisk och vetenskap- lig forskning. Det är snarare ämnat att särskilja historiska forsk- ningsändamål från arkivändamål av allmänt intresse.

Det bör noteras att motsvarande ändring inte infördes för statis- tisk forskning. Ingen vägledning finns till hur detta ska uppfattas. Utredningens bedömning är att statistisk forskning, snarare än att innefattas i ”statistiska ändamål”, bör omfattas av ”vetenskapliga och historiska forskningsändamål”.

69 Note 9565/15 from the Presidency to the Council, 11 June 2015 s. 195.

101

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Forskning och forskningsändamål

I det följande görs en bedömning av huruvida begreppen ”forskning” och ”forskningsändamål” bör åtskiljas när man bedömer vilken personuppgiftsbehandling för forskningsändamål som är tillåten enligt förordningen. En utförlig genomgång av allmänna principer och rättsliga grunder för forskningens användning av personuppgif- ter görs i kapitel 5. Behandling av personuppgifter för forsknings- ändamål med samtycke och behandling av känsliga personuppgifter för forskningsändamål tas upp i kapitel 6 respektive kapitel 7. Av dessa kapitel framgår att insamling av personuppgifter kan ske för forskningsändamål och att ytterligare behandling för forskningsända- mål av personuppgifter insamlade för andra ändamål än forskning är tillåten. Nedan diskuteras innebörden av detta med avseende på vad som ska förstås som personuppgiftsbehandling för forsknings- ändamål.

Enligt nuvarande bestämmelser i 9 § c personuppgiftslagen ska personuppgifter samlas in för särskilt, uttryckligt angivna och be- rättigade ändamål. Uppgifterna får inte behandlas för ändamål som är oförenliga med dessa ändamål (9 § d) Behandling för vetenskap- liga ändamål ska inte anses som oförenligt med dessa ändamål enligt 9 § andra stycket. Motsvarande formuleringar finns i dataskydds- förordningens artikel 5 b. Personuppgiftsbehandling för vetenskap- liga ändamål ska tillgodose proportionalitetsprincipen och principen om uppgiftsminimering (9 § f personuppgiftslagen och artikel 5 c i förordningen). Syftet med behandlingen för forskningsändamål måste vara tillräckligt beskrivet för att en bedömning enligt dessa kriterier ska kunna göras. Förordningen synes inte innebära någon förändring av bestämmelserna i dessa avseenden.

Begreppet forskningsändamål intar därför en central roll för att avgöra om den avsedda behandlingen avser forskning och därmed ska omfattas av de särskilda regler och undantag som ska gäller för detta. Det är enligt utredningens bedömning lämpligt att person- uppgiftsbehandling för ändamålet forskning och för forsknings- ändamål likställs och omfattas av förordningens regelverk på samma sätt oavsett om den ena eller andra termen används.

I det följande görs en analys av vissa aspekter som aktualiseras av detta ställningstagande. Analysen föranleds av behovet av att avgöra om en personuppgiftsbehandling avser forskningsändamål

102

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

eller inte. En för utredningens fortsatta arbete särskilt intressant frågeställning är huruvida iordningsställande av databaser för breda syften, exempelvis inom ramen för ett forskningsprogram, ska anses ingå i forskningsprocessen och således anses ha forskningsändamål.

Observationsstudier innefattar ofta en lång process där data samlas in över tid och naturliga förlopp studeras. Vanliga beskriv- ningar av den empiriskt inriktade forskningsprocessen innefattar bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, data- insamling (inklusive i förekommande fall prövning enligt offentlig- hets- och sekretesslagen (2009:400)), konstruktion av databas, lag- ring av data, analys av data, manusförfattande, publicering, doku- mentation (bl.a. av data), samt arkivering av data. Detta benämns ibland med termen ”forskningsprotokoll” och ingår som en helhet i forskningen. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt förekommande om forskningen följer ett program med flera enskilda separata forskningsprojekt som ingående delar.

Det kan som sagt ibland vara svårt att exakt definiera enskilda ändamål vid insamlingstillfället. Detta är exempelvis fallet när det gäller forskningsprogram som är utsträckta över en lång tidsperiod. En långvarig process kan här innebära att alla delar av forskningen inte kan vara slutligen planerade. För att arbetet ska kunna beteck- nas som personuppgiftsbehandling för forskningsändamål krävs dock fortfarande en tydlig avgränsning av behandlingens ändamål. Det är enligt utredningens bedömning rimligt att konstruktionen av forskningsdatabaser, under förutsättning att syftet fastställs som ett väl avgränsat forskningsområde, kan bedömas som personuppgifts- behandling för forskningsändamål och därmed utgöra en del av själva forskningen.

I kapitel 6 om behandling av personuppgifter för forskningsända- mål med samtycke redogörs kortfattat för det så kallade LifeGene- projektet70 som av bl. a. Datainspektionen ansågs ha ett alltför brett ändamål för att kunna tillåtas enligt personuppgiftslagen. LifeGene- projektet omfattade under de första åren ett förberedande insam- lingsarbete som behövs för att långt senare kunna formulera när- mare hypoteser och genomföra analyser av de långsiktiga konse-

70 Se http://www.lifegene.se

103

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

kvenserna som arv och miljö har på hälsan. Den centrala etikpröv- ningsnämnden bedömde att detta arbete på grund av att det saknades ett tillräckligt tydligt avgränsat forskningsändamål skulle betraktas som skapande av en infrastruktur för forskning och därmed inte utgjorde sådan forskning som ska etikprövas. Databaser som har denna bredare karaktär har i stället ansetts behöva grundas på sär- skild lagstiftning. Riksdagen har i vissa fall stiftat sådana lagar för insamlingar av forskningsdata. Utöver lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) finns exempelvis lagen (2012:741) om be- handling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen).

Att tillskapa forskningsinfrastrukturer är enligt utredningens preliminära bedömning en integrerad del av forskningsprocessen som i vissa fall är nödvändig och som har bredare formulerade forskningsändamål än de som förekommer i enskilda forsknings- projekt. I dataskyddsförordningens skäl 33 har nu tillkommit en tydligt uttryckt ambition att tillåta bredare samtycken för forsk- ningsändamål.71 Hur artikel 33 ska tolkas med avseende på insam- ling i enlighet med den plan som finns i LifeGene-projektet, utan att stöd måste finnas i särskild författning, utgör en av utredning- ens kommande uppgifter i samband med att vi tar ställning till långsiktig reglering av forskningsdatabaser.72

Forskningsdatabaser som ytterligare behandling av personuppgifter

I det föregående avsnittet har insamling av data i en databas för framtida forskning inom ett specificerat forskningsområde diskute- rats. En näraliggande men separat frågeställning är om myndigheter och andra personuppgiftsansvariga kan iordningsställa personuppgif- ter i databaser för forskningsändamål med hjälp av uppgifter som redan samlats in för andra ändamål.

Två exempel på databaser avsedda helt eller delvis för forsknings- ändamål är Statistiska Centralbyråns av forskare flitigt använda databas Longitudinell Integrationsdatabas för Sjukförsäkrings- och

71För en mer utförlig redogörelse se kapitel 6.

72Se dir. 2016:65.

104

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Arbetsmarknadsstudier (LISA) och Försäkringskassans Mikrodata för analys av sjukförsäkringen (MiDAS). Här har personuppgifter som lagras hos myndigheten iordningställts för forskningsändamål och annat analysarbete. I SCB:s terminologi används begreppet

”studier” och i Försäkringskassans ”analys” i databasernas namn, vilket anger deras syfte. Uppgifter kan begäras ut och användas så- väl för forskningsändamål som för andra ändamål.

Varken LISA eller MiDAS grundas på särskilda registerförfatt- ningar. MiDAS används såväl för myndighetens egen verksamhets- uppföljning som för forskning, företrädesvis vid universiteten. LISA används inte i myndighetens egen verksamhet utan är avsedd att underlätta iordningställandet av uppgifter för externa projekt. Såväl SCB som Försäkringskassan är statistikmyndigheter och har därmed stöd i 14 och 15 §§ lagen (2001:99) om den officiella stati- stiken för behandling av personuppgifter för framställning av statistik inom de områden respektive myndighet ansvarar för enligt förordningen (2001:100) om den officiella statistiken med dess bilaga där statistikområden för respektive myndighet anges.

Det är tveksamt om uppbyggnaden av de beskrivna databaserna för studier och analyser bör grundas på den lagstiftning som avser statistikproduktion. En alternativ tolkning kan vara att söka lagligt stöd för databasernas skapande i 9 § personuppgiftslagen, att be- handling av myndighetens personuppgifter för vetenskapliga ända- mål inte ska anses stå i motsättning till de ändamål för vilka data ursprungligen samlades in. Denna formulering återfinns, som be- skrivits ovan, också i förordningens artikel 5 b.

Sammanställningen av befintliga personuppgifter för forsknings- och analysändamål har hos myndigheterna betraktats som tillåten utan att ett eller flera specifika ändamål måste anges före det att personuppgifterna sammanställts. Först när uppgifterna begärs ut och ska användas i ett specifikt vetenskapligt projekt av en ny person- uppgiftsansvarig har de regler som gäller insamling (i detta fall från sekundär källa) tillämpats.

SCB och Försäkringskassan omfattas av statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Ett läro- säte är i många fall en myndighet. Detta medför bland annat att personuppgifter som skyddas av sekretess och som lämnas ut för

105

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

forskningsändamål vid lärosätet omfattas av den sekretess som gäller för uppgifterna vid den utlämnande myndigheten.73

Vid lärosätet kan uppgifter på ett liknande sätt som LISA och MiDAS med stöd av dataskyddsförordningens artikel 5.1 b och skäl 50 kunna sammanställas för forskningsändamål utan att ett nytt ändamål behöver fastställas.

De allmänna principer som föreskrivs i artikel 5.1 ska dock vara uppfyllda. Enligt artikel 5.2 ska den personuppgiftsansvarige kunna visa att dessa efterlevs. Därutöver ska skyddsåtgärder enligt arti- kel 89.1 finnas och den rättsliga reglering som krävs enligt artik- larna 6.3 och 9.2 j ska vara tillgodosedd. Hur detta kan kombineras med iordningsställande av forskningsdatabaser på ovan angivet sätt kräver ytterligare analys. Utredningen avser att återkomma till detta i vårt slutbetänkande.

Överväganden

Utredningens bedömning: Historiska, statistiska och veten- skapliga forskningsändamål ska betraktas som likställda.

Förordningens återkommande uttryck ”vetenskapliga eller histo- riska forskningsändamål” innefattar enligt utredningens bedöm- ning forskningsändamål utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgifts- behandling.

Vidare bedömer utredningen att statistiska ändamål inte inne- fattar forskning. Statistisk forskning kan därmed i stället innefattas i uttrycket ”vetenskapliga forskningsändamål” och omfattas av samma bestämmelser om personuppgiftsbehandling för forsknings- ändamål som andra vetenskapsområden.

Utredningens bedömning: Personuppgiftsbehandling för ända- målet forskning och för forskningsändamål ska betraktas som likställda.

73 11 kap. 3 § offentlighets- och sekretesslagen (2009:400).

106

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Arbete med forskningsändamål bör kunna omfatta hela eller delar av forskningsprocessen. Iordningsställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i vid bemärkelse. De allmänna principer för personuppgiftsbehandling som föreskrivs i artikel 5 ska gälla för detta arbete. Av särskild betydelse är här bedömningen av hur forskningsdatabaser med bredare ändamål än ett enskilt forsknings- projekt kan tillfredsställa principen om uppgiftsminimering i artikel 5 c. Viss vägledning till detta ges i förordningens skäl 33 som anger att samtycke ska kunna inhämtas för områden för veten- skaplig forskning när det exakta syftet med insamlingen inte fullt ut kan identifieras vid insamlingstillfället.

Utredningen bedömer att det kan finnas visst stöd för att den personuppgiftsansvarige med hänvisning till artikel 5 b i förord- ningen kan behandla redan insamlade personuppgifter för att iord- ningsställa databaser avsedda för forskningsändamål. Att ändamålet är forskning bör vara tydligt för att artikel 5 b ska vara tillämplig.

Utredningens bedömning är att de enskilda delarna av forsk- ningsprocessen ska kunna betecknas som arbete med vetenskapligt ändamål och forskningsändamål var för sig utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier (också kallat kohortstudier) där förlopp studeras över tidsperioder som ibland omfattar många år. Det måste dock stå klart att arbetet är en del av forskningsprocessen och tillgodoser de principer som gäller för all personuppgiftsbehandling enligt förordningens artikel 5.

Utredningen avser att återkomma bland annat till hur begreppet forskningsändamål ska betraktas i relation till uppbyggnaden av forskningsdatabaser i vårt slutbetänkande. Utredningens samman- fattande bedömning i detta skede är att personuppgiftsbehandling för ändamålet forskning och för forskningsändamål ska betraktas som likställda.

3.4.5Begreppet akademiskt skapande

Vårt uppdrag är att utreda och föreslå en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål. Dataskyddsförordningen öppnar för ett flertal möjligheter till sådan nationell reglering genom att direkt hänvisa till personuppgifts-

107

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

behandling för historiska och vetenskapliga forskningsändamål i ett flertal artiklar och skäl, vilka utredningen kommer att behandla i de olika delarna av betänkandet. I ett fall förekommer dock ett begrepp som kan tyckas angränsande till vetenskapliga forskningsändamål. I artikel 85 i dataskyddsförordningen återfinns begreppet akade- miskt skapande. Utredningen kommer i det följande att analysera begreppet akademiskt skapande sett i relation till vårt uppdrag att utreda och föreslå reglering för personuppgiftsbehandling för forsk- ningsändamål.

Rättsliga förutsättningar

I 7 § andra stycket personuppgiftslagen anges att flertalet bestäm- melser i lagen inte ska tillämpas på sådan behandling av person- uppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Denna bestämmelse har sin grund i artikel 9 i det nuvarande dataskyddsdirektivet som anger att medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande ska besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.

I artikel 85 i dataskyddsförordningen återfinns motsvarande be- stämmelse:

Artikel 85

Behandling och yttrande- och informationsfriheten

1.Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

2.Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fast- ställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (obero- ende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

108

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

3. Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Det kan inledningsvis noteras att dataskyddsförordningen, till skillnad från dataskyddsdirektivet och personuppgiftslagen, inte föreskriver att enbart sådan behandling som sker uteslutande för de uppräknade ändamålen får undantas, utan det räcker att det sker för sådant ändamål. Undantagsmöjligheten är således utökad i data- skyddsförordningen.

Vad som dessutom skiljer artikel 85 från artikel 9 i dataskydds- direktivet och 7 § andra stycket personuppgiftslagen är att även personuppgiftsbehandling som sker för akademiskt skapande får undantas. Eftersom begreppet akademiskt skapande är nytt i sam- manhanget uppkommer frågan vad som innefattas i detta begrepp och även hur det förhåller sig till begreppet vetenskapliga forsk- ningsändamål.

Dataskyddsutredningens uppdrag och förslag

Det framgår av Dataskyddsutredningens direktiv att regeringen anser att artikel 85 i dataskyddsförordningen innebär att det blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rätts- liga dataskyddsregleringen inte inkräktar på området för tryckfri- hetsförordningen och yttrandefrihetsgrundlagen. Det ingår inte i Dataskyddsutredningens uppdrag att överväga eller lämna förslag till grundlagsändringar, men utanför grundlagarnas tillämpnings- område är det regeringens bedömning att det även fortsättningsvis torde finnas behov av bestämmelser som, liksom 7 § andra stycket personuppgiftslagen, balanserar personuppgiftsskyddet mot ytt- rande- och informationsfriheten. Det ingår därför i Dataskydds- utredningens uppdrag att analysera hur sådana regler bör utformas och lämna sådana författningsförslag som är behövliga och lämp- liga.74

74 Dir. 2016:15 s. 22.

109

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Av Dataskyddsutredningens betänkande framgår att utredningen föreslår att ett undantag för sådan behandling som sker för journalis- tiska ändamål eller för akademiskt, konstnärligt eller litterärt skap- ande ska införas i den nya dataskyddslag som föreslås komplettera dataskyddsförordningen på nationell generell nivå. Detta undantag föreslås innebära att enbart dataskyddsförordningens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndig- heten, rättsmedel, ansvar och sanktioner ska tillämpas i dessa fall.

Det är Dataskyddsutredningens bedömning att ordalydelsen i artikel 85.2 i dataskyddsförordningen synes ålägga medlemsstat- erna att göra vissa undantag från förordningen under förutsättning att de är nödvändiga för att förena rätten till integritet med ytt- rande- och informationsfriheten. Samma krav på nödvändighet finns i dataskyddsdirektivet, och den befintliga bestämmelsen i 7 § andra stycket personuppgiftslagen bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara förenliga med yttrande- och informationsfriheten. Förslaget till bestämmelse i dataskyddslagen är således utformat med 7 § andra stycket person- uppgiftslagen som förebild.75

Beträffande begreppet akademiskt skapande konstaterar Data- skyddsutredningen att det är nytt och inte närmare definierats i artiklar eller skäl. Dataskyddsutredningen gör vidare bedömningen att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i dataskyddsförordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen, anser Dataskydds- utredningen, skulle behandling i samband med själva färdigställan- det och spridningen av texter med vetenskapligt innehåll kunna avses. Dataskyddsutredningens slutsats är att innebörden av be- greppet akademiskt skapande är oklar och att dess närmare bety- delse får utvecklas i praxis.76

75SOU 2017:39 avsnitt 7.4.

76A.a. avsnitt 7.4.

110

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Överväganden

Utredningens bedömning: Personuppgiftsbehandling för akade- miskt skapande är inte detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål. De två begreppen om- fattar olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritets- skyddande regelverket.

Artikel 85 i dataskyddsförordningen och Dataskyddsutredningens förslag till kompletterande nationell bestämmelse på generell nivå i dataskyddslagen innebär alltså att behandling av personuppgifter för akademiskt skapande undantas från dataskyddsförordningens bestämmelser förutom vad avser bestämmelser om syfte, tillämp- ningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner. Eftersom detta är ett omfattande undantag, vars motsvarighet inte finns i dag, och med tanke på att begreppet akademiskt skapande kan te sig likartat med begreppet vetenskap- liga forskningsändamål är det vår uppfattning att vi behöver göra en något djupare analys av hur dessa begrepp förhåller sig till varandra, än vad som framgår av Dataskyddsutredningens betänkande.

Vi kan inledningsvis konstatera, precis som Dataskyddsutred- ningen gjort, att begreppet akademiskt skapande återfinns i enbart en artikel i dataskyddsförordningen, medan begreppet vetenskap- liga forskningsändamål återfinns i ett flertal artiklar och skäl. Att akademiskt skapande skulle vara detsamma som vetenskapliga forskningsändamål finner vi därför inte troligt. Gränsdragningen mellan dessa begrepp är dock inte alldeles tydlig.

Av skäl 159 i dataskyddsförordningen framgår att om person- uppgifter behandlas för vetenskapliga forskningsändamål bör för- ordningen gälla också denna behandling. Begreppet vetenskapliga forskningsändamål bör enligt skäl 159 ges en vid tolkning och om- fatta till exempel teknisk utveckling och demonstration, grund- forskning, tillämpad forskning och privatfinansierad forskning. Vidare framgår att för att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forsknings- ändamål bör specifika villkor gälla, särskilt vad avser offentliggör-

111

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

ande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.

Inget i detta skäl indikerar således att de undantag som artikel 85.2 öppnar för beträffande akademiskt skapande ska tillämpas på per- sonuppgiftsbehandling för vetenskapliga forskningsändamål. Detta skulle, enligt utredningens uppfattning, också vara en orimlig tolk- ning mot bakgrund av de omfattande undantag som artikel 85.2 och förslaget till bestämmelse i dataskyddslagen möjliggör från data- skyddsförordningens bestämmelser. Att all personuppgiftsbehand- ling för vetenskapliga forskningsändamål skulle undantas från fler- talet av dataskyddsförordningens bestämmelser är helt enkelt inte överensstämmande med dataskyddsförordningens syfte.

Frågan är då vad som avses med begreppet akademiskt skap- ande. En översiktlig jämförelse av översättningarna av begreppet akademiskt skapande i artikel 85 visar att de engelska, franska, italienska, nederländska, portugisiska och spanska versionerna använ- der ordet expression i betydelsen uttryck eller yttrande (på holländska heter detta uitdrukkingsvormen, de övriga har ordet expression i olika stavningar). De tyska och danska versionerna använder zwecken (syssla) och virksomhed (verksamhet). Endast den svenska versionen använder ordet skapande (som i engelsk översättning närmast skulle bli creation). Detta ger, enligt utredningens uppfattning, vid handen att akademiskt skapande närmast ska tolkas som akade- miskt uttryck eller yttrande, dvs. snarare att koppla till akademisk yttrandefrihet. Detta är ju också i enlighet med vad artikel 85 i dataskyddsförordningen, och även artikel 9 i dataskyddsdirektivet och 7 § personuppgiftslagen, handlar om, nämligen relationen mellan regleringen av behandling av personuppgifter och yttrande- och informationsfriheten.

Behandling för akademiskt skapande, som därmed skulle komma att omfattas av undantag enligt artikel 85.2 i dataskyddsförord- ningen samt dataskyddslagens bestämmelse, skulle således enligt utredningens uppfattning kunna vara behandling av personuppgif- ter som syftar till skydd av den akademiska yttrandefriheten. De undantag som möjliggörs genom dataskyddsförordningen och för- slaget till bestämmelse i dataskyddslagen syftar ju också till att främja yttrande- och informationsfriheten enligt grundlagarna. Exakt vilken slags personuppgiftsbehandling detta skulle kunna vara är dock svårt att göra en generell bedömning av. Det är utredningens

112

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

uppfattning att det i vart fall inte är detsamma som behandling av personuppgifter i samband med utförande av den faktiska forsk- ningsverksamheten.

Det är avslutningsvis viktigt att påminna om att, enligt Data- skyddsutredningens förslag, bestämmelser om syfte, tillämpnings- område och definitioner samt bestämmelser om säkerhet för person- uppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner alltjämt ska tillämpas även för personuppgiftsbehand- ling för akademiskt skapande. Detta innebär att lämpliga skydds- åtgärder ska finnas också vid sådan personuppgiftsbehandling, att tillsyn ska kunna ske och att sanktioner ska kunna utgå vid felaktig behandling.

Sammanfattningsvis är det således vår bedömning att person- uppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket. En närmare definition av vad som utgör akademiskt skapande anser vi, liksom Dataskyddsutredningen, får utvecklas i praxis.

3.4.6Sammanfattning

Det är utredningens bedömning att dataskyddsförordningen lik- ställer vetenskaplig och historisk forskning, samt att statistisk forsk- ning kan innefattas i vetenskapliga och historiska forskningsända- mål. Samma bestämmelser torde således gälla oavsett om det är fråga om personuppgiftsbehandling för historiska forskningsända- mål, statistiska forskningsändamål eller forskningsändamål inom andra discipliner.

Begreppet forskningsändamål har inte varit föremål för utred- ningar på samma sätt som begreppet forskning. Utredningens be- dömning är att begreppen forskning och forskningsändamål bör likställas så att den reglering som gäller forskning också kommer att gälla forskningsändamål. Personuppgiftsbehandling för forsk- ningsändamål är enligt utredningens bedömning arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordningsställande och dokumen- tation av databaser för användning i forskning eller arkivering av

113

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

forskningsmaterial. Begreppen kan därmed ges en tolkning som innebär att personuppgiftsbehandling för forskningsändamål inte behöver innefatta hela utan i vissa fall kan avgränsas till en del av forskningsprocessen, vilket möjliggör långsiktig forskning med an- vändning av personuppgifter.

Slutligen är det vår bedömning att personuppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehand- ling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket.

114

4 En forskningsdatalag

4.1Inledning

I samband med att dataskyddsförordningen (EU 2016/679) börjar tillämpas behöver behovet av kompletterande bestämmelser i natio- nell rätt avseende förutsättningarna för laglig behandling av person- uppgifter ses över. Dataskyddsutredningen (Ju 2016:04) har i upp- drag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behand- ling av personuppgifter och att lämna behövliga och lämpliga för- fattningsförslag.

När det gäller behandling av personuppgifter för forsknings- ändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ända- målsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.1

Utredningen har därför fått i uppdrag att undersöka vilken regler- ing av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Data- skyddsutredningen kommer att föreslå, och att lämna de författ- ningsförslag som behövs. I detta uppdrag ingår att analysera om det finns ett behov av bestämmelser som reglerar behandling av käns- liga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundlägg- ande rättigheter och intressen en sådan reglering bör innehålla. Det ingår vidare i uppdraget att analysera om det finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16,

1 Dir. 2016:65.

115

En forskningsdatalag

SOU 2017:50

18 och 21 i dataskyddsförordningen vid behandling för forsknings- ändamål och lämna förslag till hur sådana undantag i så fall bör ut- formas.

4.2En kompletterande lag

vid personuppgiftsbehandling

för forskningsändamål ska införas

Utredningen kommer i detta betänkande visa att det föreligger ett behov av kompletterande nationell reglering vid personuppgifts- behandling för forskningsändamål. Den möjlighet som dataskydds- förordningen ger för sådan kompletterande nationell reglering, som enligt utredningens bedömning är nödvändig för en ändamålsenlig personuppgiftsbehandling som beaktar skyddet för den registrerades fri- och rättigheter, ingår inte i Dataskyddsutredningens förslag till en generell kompletterande dataskyddslag.2

4.2.1Överväganden och förslag

Utredningens förslag: En lag som kompletterar dataskydds- förordningen vid personuppgiftsbehandling för forskningsända- mål ska införas. Syftet med lagen ska vara att möjliggöra person- uppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

Eftersom den aktuella EU-regleringen har förordningsform är möjligheterna att behålla eller införa nationella bestämmelser om dataskydd mycket begränsade. En förordning är i alla delar direkt tillämplig som lag i medlemsstaterna. Dataskyddsförordningen har dock i viss mån en direktivliknande karaktär genom att flera artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens bestämmelser. Det är också möjligt att införliva delar av förordningen i nationell rätt, enligt skäl 8, i de fall förordningen föreskriver förtydliganden eller begränsningar och det är nödvändigt för samstämmigheten samt

2 SOU 2017:39.

116

SOU 2017:50

En forskningsdatalag

för att göra de nationella bestämmelserna begripliga för de personer som ska tillämpa dem.

Enligt skäl 10 i dataskyddsförordningen utesluter inte förord- ningen att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där personuppgifter be- handlas, inbegripet mer exakta villkor för laglig behandling av person- uppgifter.

Utredningen har funnit att dataskyddsförordningens utrymme för nationell kompletterande reglering är särskilt gynnat vad gäller personuppgiftsbehandling för forskningsändamål, vilket vi kommer att analysera närmare i betänkandets övriga delar. De bestämmelser som dataskyddsförordningen förutsätter och möjliggör och som utredningen föreslår i de olika delarna bör, enligt utredningens be- dömning, samlas i en forskningsdatalag.

Den forskningsdatalag vi föreslår ska ha som syfte att möjlig- göra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Lagen ska tillämpas vid all behandling av personuppgifter för forskningsändamål, oav- sett rättslig grund för behandlingen, och samla de kompletterande nationella bestämmelser som utredningen bedömt nödvändiga för att dataskyddsförordningen, den föreslagna dataskyddslagen och vår föreslagna forskningsdatalag sammantaget ska uppfylla det över- gripande syftet att möjliggöra personuppgiftsbehandling för forsk- ningsändamål och samtidigt skydda den enskildes fri- och rättig- heter.

Begrepp och uttryck

I artikel 4 i dataskyddsförordningen definieras de centrala begrepp och uttryck som används i förordningen. De begrepp och uttryck som används i den föreslagna forskningsdatalagen har samma bety- delse som i dataskyddsförordningen.

Hänvisningsteknik

Den föreslagna forskningsdatalagen innehåller hänvisningar till be- stämmelser i dataskyddsförordningen. Hänvisningar till EU-rätts- akter kan göras antingen statiska eller dynamiska. En statisk hän-

117

En forskningsdatalag

SOU 2017:50

visning innebär att hänvisningen avser EU-rättsakten i en viss an- given lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. De hänvisningar till dataskyddsförordningen som finns i vår föreslagna forskningsdatalag är dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Det är utredningens bedömning att detta är mest lämpligt. Detta innebär att ändringar i dataskyddsför- ordningen får omedelbart genomslag i den nationella rätten, även om ändringar i förordningen också kan komma att innebära behov av ändringar i den föreslagna forskningsdatalagen. Hänvisningarna till dataskyddsförordningen i den föreslagna forskningsdatalagen kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

4.3Forskningsdatalagens förhållande till annan dataskyddsreglering

Den föreslagna forskningsdatalagen måste tillämpas i kombination med flera andra rättskällor. En utgångspunkt i detta avseende är att det är dataskyddsförordningen som utgör den centrala regleringen på området.

Det finns och kommer att finnas ytterligare tillämpliga författ- ningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen medför ett för- slag till en svensk kompletteringslag (dataskyddslagen). I enstaka fall kan bestämmelser i den av oss föreslagna lagen komma att av- vika från bestämmelser i dataskyddslagen.

Utöver den föreslagna forskningsdatalagen kommer det att finnas författningar med karaktären av registerförfattningar, som innehåller bestämmelser som specifikt är inriktade på behandling av person- uppgifter för forskningsändamål. I den mån sådana registerförfatt- ningar innehåller avvikande bestämmelser, exempelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förutsättas att dessa be- stämmelser är utformade efter de konkreta förutsättningar för den specifika behandlingen som regleras i registerförfattningen i fråga. En sådan registerförfattning bör därför tillämpas framför forsk- ningsdatalagen.

118

SOU 2017:50

En forskningsdatalag

4.3.1Överväganden och förslag

Utredningens förslag: En upplysande bestämmelse om att denna lag kompletterar dataskyddsförordningen ska tas in i forsknings- datalagen.

EU-rätten, som dataskyddsförordningen tillhör, har företräde fram- för nationell rätt. Med tanke på forskningsdatalagens tillämpnings- område, och att den ersätter den tidigare lagstiftning som genom- förde det nuvarande dataskyddsdirektivet, är det befogat att ta in en upplysande bestämmelse av vilken det framgår att den föreslagna lagen måste läsas tillsammans med dataskyddsförordningen.

Utredningens förslag: En upplysande bestämmelse om att om inte annat följer av denna lag så gäller lagen med kompletterande bestämmelser till dataskyddsförordningen (dataskyddslagen) ska tas in i forskningsdatalagen.

Den kompletterande dataskyddslagen föreslås vara subsidiär i för- hållande till andra lagar och förordningar. Av tydlighetsskäl föreslår vi att det av forskningsdatalagen framgår att dataskyddslagen gäller om inte annat följer av forskningsdatalagen.

Utredningens förslag: Av forskningsdatalagen ska framgå att om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.

Registerförfattningar som tar sikte på personuppgiftsbehandling för forskningsändamål förekommer i betydande utsträckning. För att tydliggöra att en registerförfattning eller en bestämmelse i en register- författning som specifikt är tillämplig på personuppgiftsbehandling för forskningsändamål ska ha företräde framför bestämmelserna i forskningsdatalagen föreslår vi att en särskild avgränsad subsidiaritets- bestämmelse tas in i forskningsdatalagen. Registerförfattningar som inte omfattar behandlingar för forskningsändamål bör däremot inte generellt gälla framför den föreslagna forskningsdatalagen. Vid be-

119

En forskningsdatalag

SOU 2017:50

dömningen om en registerförfattning avser behandling för forsk- ningsändamål får särskilt beaktas den breda definition av forsk- ningsändamål som framgår av dataskyddsförordningen, exempelvis i skäl 159.

4.4Sammanfattning

Utredningen har identifierat ett behov av att införa en forsknings- datalag med syfte att möjliggöra personuppgiftsbehandling för forsk- ningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen, framför den komplette- rande dataskyddslagen och vara subsidiär till andra lagar eller för- ordningar med bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatalagen.

120

5 Fastställande av rättslig grund

5.1Inledning

När personuppgifter behandlas för forskningsändamål sker det i dags- läget normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d person- uppgiftslagen (1998:204). Denna bestämmelse i personuppgiftslagen motsvaras av artikel 6.1 e i dataskyddsförordningen (EU 2016/679). Enligt artikel 6.3 i dataskyddsförordningen ska grunden för behand- ling av personuppgifter enligt bl.a. artikel 6.1 e fastställas i unions- rätten eller en medlemsstats nationella rätt. I detta avsnitt behand- las fastställande av den rättsliga grunden uppgift av allmänt intresse vid personuppgiftsbehandling för forskningsändamål.

5.2Rättsliga förutsättningar

5.2.1Nuvarande reglering

I dag är det framför allt personuppgiftslagen som reglerar hur fors- kare får behandla personuppgifter för forskningsändamål. Det finns också särskilda registerförfattningar som är tillämpliga på person- uppgiftsbehandling för forskningsändamål.1 I en registerförfattning finns det bestämmelser om att personuppgifter får behandlas för visst eller vissa ändamål. Eftersom personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning har avvikande bestäm-

1 Till exempel lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

121

Fastställande av rättslig grund SOU 2017:50

melser i dessa författningar, om bland annat tillåten behandling, företräde.

All behandling av personuppgifter måste uppfylla de grundlägg- ande kraven i 9 § personuppgiftslagen. För att behandlingen ska vara tillåten krävs vidare giltigt samtycke från den enskilde, eller i annat fall att behandlingen är nödvändig enligt någon av de situa- tioner som räknas upp i 10 § personuppgiftslagen. Vid behandling av personuppgifter för forskningsändamål kan det framför allt vara fråga om nödvändig behandling för att en arbetsuppgift av allmänt intresse ska kunna utföras (10 § d) eller nödvändig behandling efter en intresseavvägning (10 § f).

5.2.2Dataskyddsförordningen

Allmänna principer i artikel 5

Grundläggande krav för all behandling av personuppgifter är de all- männa dataskyddsprinciperna som framgår av artikel 5.

Artikel 5 Principer för behandling av personuppgifter

1. Vid behandling av personuppgifter ska följande gälla:

a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)De ska vara adekvata, relevanta och inte för omfattande i förhåll- ande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är fel- aktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ända- mål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behand- las för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1,

122

SOU 2017:50

Fastställande av rättslig grund

under förutsättning att de lämpliga tekniska och organisatoriska åtgär- der som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten be- handling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artiklarna 5 och 6 är helt grundläggande och kumulativa, genom att minst en av de rättsliga grunderna enligt artikel 6.1 måste vara tillämplig samtidigt som samtliga principer i artikel 5.1 måste följas vid all personuppgiftsbehandling.

Laglig behandling av personuppgifter enligt artikel 6.1

I dataskyddsförordningen återfinns bestämmelserna om laglig be- handling av personuppgifter i artikel 6. Artikel 6.1 motsvaras i den nuvarande lagstiftningen huvudsakligen av 10 § personuppgifts- lagen, som utgår från artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG). Artikel 6 är således central för all personuppgiftsbehand- ling inom dataskyddsförordningens tillämpningsområde.

Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den regi- strerade är part eller för att vidta åtgärder på begäran av den registre- rade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grund- läggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning.

123

Fastställande av rättslig grund

SOU 2017:50

f) Behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registre- rade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offent- liga myndigheter när de fullgör sina uppgifter.

Uppräkningen av vad som kan utgöra rättslig grund för behandling av personuppgifter i artikel 6.1 är uttömmande. Behandling av personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för forsk- ningsändamål kan i teorin grundas på vilken som helst av punkt- erna i artikel 6.1, men framför allt torde punkt a och e bli aktuella att tillämpa. Punkt f är, som framgår av andra stycket, inte möjlig att åberopa för myndigheter när de fullgör sina uppgifter.

Det är den personuppgiftsansvariges ansvar att efterleva de all- männa principerna för behandling av personuppgifter samt att under- söka och ta ställning till om en behandling är tillåten enligt gällande rätt.

Utöver att behandlingen är laglig enligt artikel 6.1 krävs att övriga krav enligt förordningen är uppfyllda. För behandling av vad som i förordningen benämns särskilda kategorier av personuppgifter (känsliga personuppgifter) finns exempelvis ytterligare villkor i artikel 9, se kapitel 7.

Nödvändighetsrekvisitet

En behandling utan samtycke måste vara nödvändig för ett visst ändamål för att vara tillåten enligt artikel 6.1 b–f i dataskydds- förordningen. Rekvisitet gäller även enligt den nuvarande 10 § personuppgiftslagen. Nödvändighetsrekvisitet är således centralt i dataskyddslagstiftningen. Den enda vägledningen till hur nödvän- dig behandling ska tolkas enligt dataskyddsförordningen återfinns i skäl 39, som anger att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.

124

SOU 2017:50

Fastställande av rättslig grund

Det torde inte finnas anledning att anta att nödvändighetsrekvi- sitet i artikel 6.1 i dataskyddsförordningen ska ha någon annan innebörd än den har i dataskyddsdirektivet och personuppgifts- lagen. Av skäl 9 i dataskyddsförordningen framgår också att samma mål och principer som gällde för dataskyddsdirektivet alltjämt ska vara giltiga. För förståelsen av begreppet nödvändighet kan det där- för vara av intresse att se något närmare på såväl EU-domstolens uttalanden som förarbeten till nuvarande lagstiftning.

EU-domstolen har uttalat följande vad gäller tolkningen av be- greppet nödvändighet i medlemsstaterna:

Med beaktande av målet att göra skyddsnivån likvärdig i alla medlems- stater kan begreppet nödvändighet, såsom det följer av artikel 7 e i direktiv 95/46, vars syfte just är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts, således inte förstås olika från medlemsstat till medlemsstat. Det rör sig därmed om ett självständigt gemenskapsrättsligt begrepp som ska tolkas så, att det till fullo upp- fyller syftet med detta direktiv, såsom det definieras i artikel 1.1.2

I den aktuella domen ansågs vidare behandling av personuppgifter utan samtycke vara nödvändig eftersom den effektiviserade tillämp- ningen av viss lagstiftning kopplad till den aktuella registerföringen.

Av förarbetena till personuppgiftslagen framgår att Datalags- kommittén ansåg att nödvändighetskravet inte rimligen kan inne- bära att det ska vara helt omöjligt att utföra till exempel en uppgift av allmänt intresse utan personuppgifter för att behandling av personuppgifter ska få ske:

Vad nödvändighetskravet närmare innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt. Som vi ser det kan nödvändighets- kravet inte rimligen innebära att det skall vara faktiskt omöjligt att ut- föra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behand- las, kan det inte anses nödvändigt att behandla personuppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.3

2Dom den 16 december 2008 i mål C-524/06, REG 2008.

3SOU 1997:39 s. 361 f.

125

Fastställande av rättslig grund

SOU 2017:50

Nödvändighetskravet har också analyserats i senare lagstiftnings- arbete, avseende en registerförfattning med företräde framför person- uppgiftslagen:

Kan en arbetsuppgift lösas även om personuppgiften utelämnas eller avidentifieras är behandlingen inte nödvändig. Vidare skall det vara nödvändigt att behandla personuppgifterna på ett sätt som omfattas av lagens tillämpningsområde, dvs. genom helt eller delvis automatiserad behandling eller i manuellt behandlade register. Det krävs dock inte att det skall vara faktiskt omöjligt att utföra en uppgift enligt något ända- mål utan att behandla personuppgifterna automatiserat eller i register. Det räcker att det innebär en påtaglig förenkling att personuppgifter behandlas automatiserat eller i register i stället för manuellt utanför register. Avsikten är att utlänningsdatalagens nödvändighetsrekvisit skall förstås på samma sätt som motsvarande rekvisit i 10 § person- uppgiftslagen.4

I vissa registerförfattningar har begreppet nödvändig behandling bytts ut mot behandling som behövs för vissa angivna ändamål. I för- arbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering återfinns t.ex. följande resonemang:

I personuppgiftslagen används begreppet nödvändig i ändamålsbestäm- melsen eftersom detta uttryckssätt används i dataskyddsdirektivet. I de flesta registerlagar av den karaktär som nu föreslås för IFAU har dock ändamålsbestämmelserna formulerats på så sätt att myndigheten får be- handla vissa uppgifter om det behövs för vissa angivna ändamål. I dessa sammanhang anses de båda uttryckssätten vara synonyma. För inne- börden av en ändamålsbestämmelse spelar det således ingen roll vilket begrepp som används.5

Sammanfattningsvis innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen för forskningens del att personuppgifts- behandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forsknings- sammanhang torde den rimlighetsbedömningen även kunna om- fatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet. Om kravet på nödvändighet kan anses uppfyllt är det viktigt att

4SOU 2003:40 s. 169.

5Prop. 2011/12:176 s. 30.

126

SOU 2017:50

Fastställande av rättslig grund

komma ihåg att först och främst måste de grundläggande allmänna principerna som framgår av artikel 5.1 vara uppfyllda för all behand- ling av personuppgifter.

Eftersom dataskyddsförordningen är direkt tillämplig som lag i medlemsstaterna, och till skillnad från ett direktiv därför inte ska införlivas i nationell rätt, torde det inte vara möjligt att använda ett annat begrepp än just nödvändig i kompletterande nationell lag- stiftning.

Uppgift av allmänt intresse

Begreppet allmänt intresse definieras inte närmare vare sig i data- skyddsförordningen eller i det nuvarande dataskyddsdirektivet som ligger till grund för personuppgiftslagen. Någon praxis från EU- domstolen står inte heller att finna för tolkning av innebörden av begreppet i fråga. Forskningsuppgiften har hittills ansetts vara en uppgift av allmänt intresse, i den mening som avses i personupp- giftslagen. Det torde inte finnas någon anledning att anta att be- greppet allmänt intresse ska tolkas annorlunda enligt dataskydds- förordningen. För förståelsen av bedömningen av forskning som en arbetsuppgift av allmänt intresse kan det vara av värde att under- söka något närmare i vilka sammanhang denna tolkning har förts fram.

I det nuvarande dataskyddsdirektivets skäl 34 framhålls veten- skaplig forskning som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga person- uppgifter.

I förarbetena till personuppgiftslagen exemplifieras arbetsuppgif- ter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resone- mang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den.6

6 SOU 1997:39 s. 364.

127

Fastställande av rättslig grund

SOU 2017:50

Flera centrala myndigheter inom forskningssektorn har gemen- samt konstaterat att personuppgifter får behandlas för forsknings- ändamål efter samtycke eller om behandlingen är nödvändig för att forskningsuppgiften ska kunna utföras. I en informationsskrift framhålls t.ex. att:

En nödvändig behandling kan vara att personuppgifter hanteras för att en arbetsuppgift av allmänt intresse ska kunna utföras. Eftersom forskning normalt sett är en arbetsuppgift av allmänt intresse, är det tillåtet att behandla personuppgifter för forskningsändamål om be- handlingen är nödvändig för att kunna utföra forskningen.7

Dataskyddsutredningen resonerar kring en något utvidgad defini- tion av begreppet allmänt intresse i dataskyddsförordningen, jäm- fört med dagens lagstiftning. Bakgrunden till detta är dataskydds- förordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att be- handla personuppgifter inom ramen för sin verksamhet. Data- skyddsutredningens bedömning är därför att detta sammantaget talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförord- ningen än det hittills har haft.8 En bredare betydelse av begreppet allmänt intresse får för forskningens del antas innebära att det är än mer som talar för att uppgiften att forska också fortsättningsvis ska ingå i vad som anses vara av allmänt intresse.

Sammanfattningsvis bör således arbetsuppgiften forskning även fortsatt som huvudregel anses utgöra en uppgift av allmänt intresse i dataskyddsförordningens mening. Detta innebär att sådan be- handling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d personuppgiftslagen (artikel 7 e i dataskydds- direktivet), på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt arti- kel 6.1 e i dataskyddsförordningen.

Forskning som är av allmänt intresse kan bedrivas av såväl offent- liga som privata forskningsaktörer. Det är dock inte självklart att all

7Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövnings- nämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013, s. 4.

8SOU 2017:39 avsnitt 8.3.4.

128

SOU 2017:50

Fastställande av rättslig grund

forskning som bedrivs är av allmänt intresse. Utredningen har dock inte sett det som sin uppgift att försöka dra några exakta gränser för vilken slags forskning som är att anse som av allmänt intresse, utan detta får bedömas av rättstillämparen i varje enskilt fall.

Möjligheten att behålla eller införa mer specifika tillämpningsbestämmelser enligt artikel 6.2

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna be- hålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och 6.1 e. Sådana nationella bestämmelser får fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I dagsläget förekommer sådana mer specifika bestämmelser framför allt i registerförfattningar.

Artikel 6 Laglig behandling av personuppgifter

2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

Artikel 6.2 möjliggör för medlemsstaterna att uppfylla kravet på fastställande av den rättsliga grunden för artikel 6.1 c och e som gäller enligt artikel 6.3. Artikel 6.2 är således grundläggande för möjligheterna att komplettera förordningen med nationella bestäm- melser avseende laglighet för behandling av personuppgifter för forskningsändamål.

Krav på fastställande av grunden i vissa fall enligt artikel 6.3

Artikel 6.1 i dataskyddsförordningen är direkt tillämplig i nationell rätt, men ytterligare villkor för att kunna tillämpa delar av bestäm- melsen uppställs i artikel 6.3. Enligt artikel 6.3 ska den grund för behandlingen som avses i 6.1 c och e fastställas i enlighet med unions- rätten eller den nationella rätten.

129

Fastställande av rättslig grund

SOU 2017:50

Artikel 6 Laglig behandling av personuppgifter

3. Den grund för behandlingen som avses i punkt 1 c och e ska fast- ställas i enlighet med

a)unionsrätten, eller

b)en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att ut- föra en uppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmel- serna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av upp- gifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamåls- begränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situatio- ner enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Bestämmelsen i artikel 6.3 får antas innebära att det inte kommer att vara möjligt att enbart åberopa den generella regleringen i arti- kel 6.1 c och e vid sådan behandling av personuppgifter. Den rätts- liga grunden måste dessutom vara fastställd i unionsrätten eller den nationella rätten på det sätt som anges i artikel 6.3. Syftet med be- handlingen ska fastställas med utgångspunkt i den rättsliga grunden eller, i fråga om behandling enligt 6.1 e, vara nödvändigt för att ut- föra en uppgift av allmänt intresse eller vara ett led i den person- uppgiftsansvariges myndighetsutövning. Detta begränsar tillämp- ningsområdet för den rättsliga grunden avseende uppgift av allmänt intresse, som är av särskild vikt i forskningssammanhang, eftersom det inte räcker med att en behandling av personuppgifter är nöd- vändig för att utföra en uppgift av allmänt intresse, själva forsk- ningsuppgiften (av allmänt intresse) måste också vara fastställd i enlighet med gällande rätt.

Enligt skäl 45 i dataskyddsförordningen medför inte bestäm- melsen i artikel 6.3 något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för nödvändig behandling för att utföra en viss slags uppgift av allmänt intresse.

130

SOU 2017:50

Fastställande av rättslig grund

Det är dock viktigt att den fastställda rättsliga grunden är tydlig och precis och att tillämpningen av den bör vara förutsägbar för per- soner som omfattas av den, i enlighet med skäl 41 i förordningen.

Dataskyddsförordningens krav och villkor enligt artikel 6.3 för tillämpningen av artikel 6.1 e har varit föremål för analys av Data- skyddsutredningen.9 Dataskyddsutredningens tolkning av kravet på fastställande av den rättsliga grunden är att det inte krävs någon ytterligare kompletterande reglering på nationell generell nivå. Detta eftersom det redan framgår av direkt tillämpliga bestämmelser i förordningen att uppgiften måste utgöra ett allmänt intresse, att uppgiften måste vara fastställd i enlighet med unionsrätt eller nationell rätt och att behandlingen måste ske för ett ändamål som är nödvändigt för uppgiften. Med uppgiften av allmänt intresse menas i vårt fall arbetsuppgiften att forska. Denna slutsats gäller oavsett om aktören är offentlig eller privat.

Mot bakgrund av denna tolkning föreslås upplysande, och i viss mån förtydligande, bestämmelser föras in i den nya dataskyddslag som Dataskyddsutredningen föreslår och som kommer att kom- plettera dataskyddsförordningen på generell nivå. För artikel 6.1 e innebär detta således att dataskyddslagen förtydligar att:

Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskydds- förordningen om behandlingen är nödvändig för att den personupp- giftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.

Detta innebär i praktiken att för att åberopa rättslig grund enligt artikel 6.1 e för behandling av personuppgifter för forskningsända- mål (allmänt intresse) kommer det att krävas att forskningsuppgif- ten följer av lag eller annan författning eller av beslut som meddelats med stöd av lag eller annan författning. Grunden måste således vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt, för att uppfylla förordningens krav.

Syftet med behandlingen ska enligt artikel 6.3 vara nödvändigt för att utföra en uppgift av allmänt intresse. Detta innebär att:

1.Den specifika behandlingen ska vara nödvändig för ett visst ändamål.

9 SOU 2017:39 avsnitt 8.3.4.

131

Fastställande av rättslig grund

SOU 2017:50

2.Ändamålet ska i sin tur vara nödvändigt för att uppgiften av all- mänt intresse ska kunna utföras.

I forskningssammanhang kan detta konkretiseras till att person- uppgiftsbehandlingen ska vara nödvändig för att uppfylla forsk- ningsändamålet, som i sig utgör den uppgift av allmänt intresse som forskningsaktören har i uppdrag att utföra. Det är således en bedömning av nödvändighet i två steg som dels tar sikte på själva behandlingen, dels på uppfyllandet av den reglerade forskningsupp- giften.

Ett tydligt angivet ändamål är som huvudregel en förutsättning för att det ska gå att bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. Dataskyddsförordningen ställer inte krav på att ända- målen, enligt artikel 5.1 b, ska fastställas i författning men det finns inga hinder mot att detta görs. Sådana bestämmelser ska, enligt artikel 6.3 andra stycket, uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas.

Ändamålet behöver således inte framgå i samband med att upp- giften av allmänt intresse fastställs, men ändamålet med varje en- skild behandling måste vara nödvändigt för att utföra den fastställda uppgiften. I vårt fall är ändamålet med personuppgiftsbehandlingen forskningsändamålet, som måste vara nödvändigt i varje specifikt fall, samtidigt som uppgiften av allmänt intresse som måste fastställas är själva arbetsuppgiften att forska. Oavsett om ändamålen fast- ställts i författning eller inte är det enligt artikel 5.2 i dataskydds- förordningen alltid den personuppgiftsansvariges ansvar att följa och kunna visa att principerna i artikel 5.1 efterlevs.

Beträffande vilka aktörer som ska kunna anses utföra en uppgift av allmänt intresse kan viss vägledning återfinnas i skäl 45 där följ- ande framgår:

Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårds- tjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

132

SOU 2017:50

Fastställande av rättslig grund

Denna skrivning öppnar för en nationell reglering av vilka rätts- subjekt, såväl offentliga som privata, som kan utföra en uppgift av allmänt intresse. Utgångspunkten är att forskning bedrivs av såväl offentliga som privata forskningsaktörer, vilket innebär att natio- nell reglering i enlighet med skrivningen i skäl 45 kan bli aktuell.

Särskilda villkor för behandling av personuppgifter för forskningsändamål

För behandling av personuppgifter för forskningsändamål gäller dessutom särskilda villkor enligt artikel 89.1 som anger att behand- lingen ska omfattas av lämpliga skyddsåtgärder i enlighet med för- ordningen. Detta gäller för alla slags personuppgifter och är således ett absolut krav vid behandling av personuppgifter för forsknings- ändamål. Dataskyddsförordningen ställer inte krav på att nationell rätt särskilt ska reglera skyddsåtgärderna när det inte är fråga om känsliga personuppgifter, men något hinder däremot uppställs inte.10

5.3Rättslig grund utifrån forskningsaktör

5.3.1Inledning

Utredningen använder sig av begreppet forskningsaktör. Begreppet återfinns inte i dataskyddsförordningen. I dataskyddsförordningen hänvisas genomgående till personuppgiftsansvarig och personupp- giftsbiträde. Personuppgiftsansvarig definieras i artikel 4.7 i data- skyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter. Personuppgiftsbiträde definieras i arti- kel 4.8 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Med forskningsaktör menar utredningen sådan aktör som behandlar personuppgifter för forskningsändamål. Vem som är personuppgifts- ansvarig eller personuppgiftsbiträde får bedömas i varje enskilt fall.

10 Se vidare kapitel 12 Skyddsåtgärder.

133

Fastställande av rättslig grund

SOU 2017:50

Utredningen har vidare funnit det motiverat att i själva fram- ställningen redogöra för offentligrättsliga och privaträttsliga aktö- rers förutsättningar var för sig. Denna bedömning baseras på att bestämmelserna i dataskyddsförordningen innebär att förutsätt- ningarna för att tillämpa olika bestämmelser som rättslig grund för behandling av personuppgifter skiljer sig åt beroende på om aktö- ren är offentlig eller privat. Såväl offentligrättsliga som privaträtts- liga aktörer bedriver forskning och är personuppgiftsansvariga eller personuppgiftsbiträden enligt dataskyddsförordningen. Forskning finansieras dels av offentliga medel, dels av medel från privata finansiärer. Forskning utförd av en offentlig aktör kan finansieras av privata medel, och tvärt om. Finansieringsformen påverkar inte vem som utgör forskningsaktör.

Förutsättningarna när det gäller vilka rättsliga grunder en forsk- ningsaktör kan åberopa för att behandla personuppgifter, i enlighet med dataskyddsförordningens artikel 6.1, är som redan framkom- mit i viss mån olika beroende på om forskningsaktören är offentlig eller privat. I det följande analyseras dessa skillnader.

5.3.2Offentligrättsliga forskningsaktörer

En stor del av den forskning i Sverige som bedrivs av offentligrätts- liga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forsknings- uppgift inom ramen för sin ordinarie verksamhet och i såväl kom- muner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författ- ningar och författningsenliga beslut, till exempel myndighetsinstruk- tioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i regeringsformen, kommunal- lagen (1991:900) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Beträffande samtycke som rättslig grund, enligt artikel 6.1 a, innebär skrivningarna i skäl 43 i dataskyddsförordningen vissa be- gränsningar för myndigheter, vilket kräver en närmare analys. Se avsnitt 6.4.2.

134

SOU 2017:50

Fastställande av rättslig grund

För offentliga forskningsaktörer utgör den rättsliga grunden enligt artikel 6.1 e en central laglig utgångspunkt vid personupp- giftsbehandling för forskningsändamål. Forskning anses utgöra en uppgift av allmänt intresse och motsvarande reglering i 10 § d person- uppgiftslagen utgör ofta rättslig grund för behandling av person- uppgifter för forskningsändamål i dagsläget.

I enlighet med redogörelsen ovan ställer dock artikel 6.3 krav på att grunden för behandlingen enligt artikel 6.1 e, uppgiften av all- mänt intresse, ska fastställas i enlighet med unionsrätten eller den nationella rätten. Det innebär att forskningsuppgiften – verksam- heten – behöver fastställas i lag eller annan författning, dvs. förord- ning eller myndighetsföreskrift, alternativt beslut som meddelats med stöd av sådan författning. Detta krav skiljer sig från nuvarande reglering såtillvida att det i dagsläget är tillräckligt att forskning enligt en generell bedömning är av allmänt intresse för att nödvän- dig behandling av personuppgifter ska kunna ske utan samtycke, det finns alltså inget krav på en fastställd forskningsuppgift enligt gällande rätt.

Dataskyddsförordningen uppställer således krav på att forsk- ningsuppgiften ska vara fastställd så att det går att åberopa den rättsliga grunden att behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Något krav på att forskningsuppgiften ska vara fastställd för respektive forsknings- aktör i separata författningar finns dock inte. Avgörande är att forsk- ningsuppgiften är fastställd i laga ordning för forskningsaktören för att laglig grund enligt artikel 6.1 e ska kunna åberopas.

Myndigheters verksamhetsuppgifter är beslutade i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. Myndigheternas verksamhet, som syftar till att utföra dessa uppgifter, torde därmed i sig ha en rättslig grund som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda uppgiften bör därmed som utgångspunkt kunna ske med stöd av artikel 6.1 e i dataskyddsförordningen. Dataskyddsutredningens tolkning av dataskyddsförordningens be- stämmelser är därvid att någon ytterligare reglering av myndighet- ernas verksamhet inte krävs på generell nationell nivå för att myn- digheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

135

Fastställande av rättslig grund

SOU 2017:50

Enligt artikel 6.1 andra stycket gäller inte artikel 6.1 f, behand- ling av personuppgifter efter en intresseavvägning, för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot nuvarande lagstiftning, genom att motsvarande bestämmelse i 10 § f personuppgiftslagen får tillämpas även av myndigheter. Bakgrunden till denna begräns- ning beskrivs närmare i skäl 47 i förordningen, där det bland annat framhålls att:

Med tanke på att det är lagstiftarens sak att genom lagstiftning till- handahålla den rättsliga grunden för de offentliga myndigheternas be- handling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.

Skrivningen syftar på artikel 6.1 f och innebär att myndigheter inte längre ska kunna göra en egen bedömning av lagligheten i behand- lingen genom en intresseavvägning. För att en myndighet ska få behandla personuppgifter vid fullgörandet av sina uppgifter måste myndigheten finna en annan rättslig grund än intresseavvägning. Något utrymme för myndigheters egen bedömning av lagligheten efter en intresseavvägning i samband med varje enskild behandling finns således inte enligt dataskyddsförordningen.

I det följande belyses närmare de olika förutsättningarna för några olika kategorier av offentligrättsliga forskningsaktörer.

Universitet och högskolor med statlig huvudman

I 2 kap. 18 § andra stycket regeringsformen fastslås att forskning- ens frihet är skyddad enligt bestämmelser som meddelas i lag. Hög- skolelagen (1992:1434) reglerar verksamhet vid universitet och hög- skolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forsknings- sed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet, genom att ange allmänna principer för den delen av högskol- ornas verksamhet. Behandling av personuppgifter för forsknings- ändamål vid universitet och högskolor med staten som huvudman utförs således inom ramen för en forskningsuppgift som är fast- ställd i svensk lag.

136

SOU 2017:50

Fastställande av rättslig grund

Andra myndigheter

Många statliga myndigheter, utöver universitet och högskolor, be- handlar personuppgifter för forskningsändamål. För flera av dessa myndigheter är forskningsuppgiften tydligt fastställd genom för- ordning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Om forskningsuppgiften inte framgår av en författning eller ett beslut grundat i en författ- ning, som myndigheten omfattas av, kan myndigheten inte åberopa artikel 6.1 e i dataskyddsförordningen som grund för behandling av personuppgifter. Myndigheten måste då åberopa någon annan rätts- lig grund enligt artikel 6.1 för sin behandling.

Statliga forskningsinstitut

Statliga forskningsinstitut drivs ofta i myndighetsform vilket med- för att samma resonemang gäller för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som sam- verkar med akademi, näringsliv och samhälle.

Kommuner och landsting

Regeringsformens kapitel 14 anger ramarna för det kommunala självstyret. I 2 § anges att:

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmel- ser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.

Kommunallagen (1991:900) reglerar såväl kommuner som lands- ting på en övergripande nivå. Självstyret framgår av 2 kap. 1 § kom- munallagen som stadgar att:

137

Fastställande av rättslig grund

SOU 2017:50

Kommuner och landsting får själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landsting- ets område eller deras medlemmar och som inte skall handhas enbart av staten, en annan kommun, ett annat landsting eller någon annan.

Av ovanstående författningsreglering framgår att kommuner och landsting har laglig grund att utföra uppgifter av allmänt intresse, vilket torde innefatta forskningsuppgiften. Det är dock utredning- ens uppfattning att den relativt generella och oprecisa bestämmel- sen inte kan anses uppfylla dataskyddsförordningens krav på tyd- lighet, precision och förutsägbarhet vid fastställandet av den rätts- liga grunden uppgift av allmänt intresse. Det är också svårt att i detta fall bedöma proportionaliteten, vilket är ytterligare ett krav enligt artikel 6.3 i dataskyddsförordningen.

Sammanfattning

Offentliga forskningsaktörers forskningsuppgift har ofta angivits i tydliga, precisa och förutsebara bestämmelser i författningar. Grunden för behandling av personuppgifter i verksamheten har därigenom fastställts i nationell rätt för dessa forskningsaktörer. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda forskningsuppgiften kan därmed som utgångspunkt ske med stöd av artikel 6.1 e i dataskyddsförord- ningen. För sådana offentliga forskningsaktörer där forsknings- uppgiften inte kan anses fastställd i enlighet med dataskyddsför- ordningen krävs dock kompletterande nationell reglering för att personuppgiftsbehandling för forskningsändamål med stöd av arti- kel 6.1 e ska få utföras.

5.3.3Privaträttsliga forskningsaktörer

Privat bedriven forskning utförs såväl i små, medelstora och stora företag som i verksamheter som i allt övrigt liknar offentlig verk- samhet, t.ex. hos en enskild utbildningsanordnare. En enskild ut- bildningsanordnare kan i princip bedriva samma slags forskning som universitet och högskolor med statlig huvudman.

Nuvarande dataskyddslagstiftning gör i allt väsentligt ingen åt- skillnad mellan privata och offentliga forskningsaktörer. De grund-

138

SOU 2017:50

Fastställande av rättslig grund

läggande kraven och laglighetsgrunderna i framför allt 9 och 10 §§ personuppgiftslagen är möjliga att åberopa oavsett forsknings- aktörens organisationsform.

Kravet i artikel 6.3 i dataskyddsförordningen på att en uppgift av allmänt intresse ska vara fastställd i nationell rätt påverkar sär- skilt privata forskningsaktörer. Uppgiften av allmänt intresse är generellt sett inte rättsligt fastställd för privata aktörer som ägnar sig åt forskningsverksamhet i dag. Privat forskning som i dagsläget bedrivs med stöd i att forskningen utgör ett allmänt intresse sker i stället efter en bedömning av forskningsaktören. Forskningen i sig bedöms sedan på samma villkor som offentlig forskning när en extern bedömning av forskningen sker i samband med till exempel eventuell tillståndsprövning, finansiering och publicering.

En särskild fråga är hur man ska se på att en offentlig aktör upp- drar åt en privat aktör att utföra en uppgift av allmänt intresse som den offentliga aktören har fastställd i laga ordning. Den privata aktören skulle kunna anses utföra en uppgift av allmänt intresse på samma villkor som den offentliga aktören. Den privata aktören skulle då kunna åberopa artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, som stöd för sin behandling av personuppgifter som är nödvändig för att fullgöra uppdraget. Utfallet i en sådan situation beror dock på vem som är personupp- giftsansvarig i det enskilda fallet, så något generell bedömning låter sig inte göras. Frågan analyseras vidare av Dataskyddsutredningen.11

En avgörande skillnad mellan offentliga och privata forsknings- aktörer i dataskyddsförordningen är också skrivningen i artikel 6.1 andra stycket, som förhindrar myndigheter att lägga en intresse- avvägning till grund för behandling när de fullgör sina uppgifter. Detta hinder gäller således inte för privaträttsliga aktörer, som allt- jämt kan åberopa intresseavvägning som rättslig grund för behand- ling av personuppgifter för forskningsändamål.

I det följande belyses närmare de olika förutsättningarna för några olika kategorier av privaträttsliga forskningsaktörer.

11 SOU 2017:39 avsnitt 8.3.4.

139

Fastställande av rättslig grund

SOU 2017:50

Enskilda utbildningsanordnare

Enskilda utbildningsanordnare utgörs av lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt högskoleförordningen, på samma villkor som stat- liga utbildningsanordnare, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbild- ningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa utgör alla privaträttsliga forskningsaktörer. Dessa forskningsaktörer har möjlighet att lägga såväl samtycke som en intresseavvägning till grund för behandling av personuppgifter, även om en bedömning i varje enskilt fall alltid måste göras. För att få åberopa artikel 6.1 e, uppgift av allmänt intresse, krävs dock att forskningsuppgiften är fastställd i enlighet med dataskyddsförord- ningens krav.

Företag och stiftelser

Forskning bedrivs i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningshuvud- män som bedriver forskning med betydande användning av per- sonuppgifter. Forskningsaktörer som utgörs av privata företag eller stiftelser kan i huvudsak åberopa samtycke och intresseavvägning som rättslig grund vid personuppgiftsbehandling enligt dataskydds- förordningen. Även forskning som utförs vid privata företag eller stiftelser kan dock vara av allmänt intresse, men då forskningsupp- giften i princip aldrig är fastställd i enlighet med dataskyddsförord- ningens krav kan privata företag eller stiftelser som huvudregel inte åberopa den rättsliga grunden allmänt intresse enligt artikel 6.1 e.

Sammanfattning

För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på. Sam- tidigt är det möjligt för privata forskningsaktörer att lägga såväl sam- tycke som intresseavvägning till grund för behandling av personupp- gifter för forskningsändamål, efter en bedömning i varje enskilt fall.

140

SOU 2017:50

Fastställande av rättslig grund

5.3.4Överväganden

Utredningens bedömning: Dataskyddsförordningens bestäm- melser innebär, om inga åtgärder vidtas, att offentliga forsk- ningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av personuppgifter för forsk- ningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål.

Av resonemanget hittills framgår att dataskyddsförordningens be- stämmelser om rättslig grund för behandling av personuppgifter skiljer sig från dagens regelverk framför allt avseende samtycke, intresseavvägning och kravet i artikel 6.3 på fastställande av den rättsliga grunden avseende artikel 6.1 c och e. Dessa förändringar får konsekvenser på olika sätt för olika aktörer i forskningssamman- hang.

Samtycke

Beträffande samtycke som rättslig grund är möjligheterna mer be- gränsade för offentliga aktörer än för privata genom skäl 43. Ett vid- are resonemang kring detta återfinns i avsnitt 6.4.2.

Uppgift av allmänt intresse

Kravet enligt artikel 6.3 i dataskyddsförordningen på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell lag innebär en påtaglig skillnad mellan olika katego- rier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling. För statliga universitet och högskolor är forskningsuppgiften fastställd i en och samma författning, hög- skolelagen. För andra myndigheter är det beroende på hur respek- tive myndighets uppdrag är formulerat, huruvida forskningsupp- giften är att anse som fastställd eller ej.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en

141

Fastställande av rättslig grund

SOU 2017:50

allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För privata aktörer innebär således villkoret i artikel 6.3 för att artikel 6.1 e ska kunna tillämpas ett hinder, när det gäller möjligheten att basera person- uppgiftsbehandling på grunden uppgift av allmänt intresse, som inte finns i dagens lagstiftning.

Skillnaderna blir särskilt tydliga i en jämförelse mellan en offent- lig och en privat aktör som bedriver verksamhet som är i allt väsentligt lika, till exempel för högskolor som kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken lik- värdig vid de båda verksamheterna och personuppgiftsbehand- lingen kan i dagsläget baseras på samma rättsliga grund.

Av skäl 45 i dataskyddsförordningen framgår att medlemsstat- erna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket innebär att det är möjligt för såväl offent- liga som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.

Intresseavvägning

Privata aktörer har, till skillnad från offentliga myndigheter, möjlig- het att basera personuppgiftsbehandling för forskningsändamål på en intresseavvägning enligt artikel 6.1 f.

Bestämmelsen avseende nödvändig behandling efter intresse- avvägning innebär att om intresset för en behandling av personupp- gifter väger tyngre än intresset av integritetsskyddet är behandlingen tillåten. Eftersom det inte framgår tydligare än så av bestämmelsen vilka situationer som kan bli aktuella finns vägledning kring dagens reglering framför allt att få i rättspraxis. Den praxis som finns sam- manfattas i lagkommentaren till personuppgiftslagen och rör bland annat direkt marknadsföring, arbetslivet, internetpublicering, behand- ling för att komma åt lagöverträdelser, fingeravtryck och andra bio- metriska uppgifter för identifiering och elektroniska inpasserings- system.12

12 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentaren till 10 § f.

142

SOU 2017:50

Fastställande av rättslig grund

Behandling av personuppgifter efter en intresseavvägning har med dagens lagstiftning framför allt aktualiserats i samband med marknadsföring och inom arbetslivet. Att denna tillämpning fort- farande får anses vara aktuell framöver framgår av skäl 47 i data- skyddsförordningen, som anger kundrelation och arbetstagarrela- tion till den personuppgiftsansvarige som ett sådant förhållande som skulle kunna komma ifråga för behandling av personuppgifter efter intresseavvägning. Samma exempel återfinns i skäl 48, medan förordningen i skäl 49 framhåller säkerställande av nät- och infor- mationssäkerhet som ett annat exempel på när en intresseavvägning skulle kunna resultera i laglig behandling av personuppgifter. Även om förordningens exempel inte på något sätt kan anses uttömmande ger dessa en tydlig indikation på vilken typ av relation mellan den personuppgiftsansvarige och den registrerade som avses. Redan före- liggande tolkning bör kunna tillämpas framöver beträffande intresse- avvägning som rättslig grund för behandling av personuppgifter.

Det finns således inte anledning att anta att artikel 6.1 f ska tolkas på annat sätt än dataskyddsdirektivets artikel 7 f, som införlivats i svensk rätt genom 10 § f personuppgiftslagen. Enligt lagkommen- taren till personuppgiftslagen är bestämmelsen ett slags general- klausul som innebär att behandling som inte nämnts i tidigare punkter i 10 § kan genomföras om den är befogad enligt vad som anges i 10 § f. Detta betyder i praktiken att intresseavvägning ska tillämpas i sista hand, om behandlingen inte är laglig enligt någon av de andra punkterna. Samma resonemang bör enligt utredningens bedömning kunna föras vid tillämpning av artikel 6.1 i dataskydds- förordningen. Först om behandlingen av personuppgifter för forsk- ningsändamål inte är laglig enligt artikel 6.1 a–e kan en bedömning av laglighet utifrån punkten f bli aktuell.

Artikel 6.1 f och 6.1 andra stycket är direkt tillämpliga och för- ordningen tillåter inte nationell lagstiftning avseende tillämpnings- området i detta avseende. Det finns därför ingen möjlighet att genom nationell lagstiftning tillåta myndigheter att tillämpa 6.1 f eller att begränsa privata aktörers tillämpning. Det är alltid den personupp- giftsansvariges ansvar att visa på aktuell rättslig grund enligt arti- kel 6.1 för sin behandling av personuppgifter. Detta innebär att nationell kompletterande lagstiftning inte kan tvinga en privat forskningsaktör att tillämpa 6.1 e genom att helt utesluta möjlig- heten att tillämpa någon annan rättslig grund enligt artikel 6.1. Om

143

Fastställande av rättslig grund

SOU 2017:50

den personuppgiftsansvarige kan visa att artikel 5.1 efterlevs samt att artikel 6.1 f utgör tillåten rättslig grund för den aktuella behand- lingen av personuppgifter för forskningsändamål är behandlingen tillåten.

För all behandling av personuppgifter för forskningsändamål, oavsett vilken grund behandlingen baseras på, krävs det enligt arti- kel 89.1 i dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder, men något krav på fastställda skydds- åtgärder framgår inte direkt av artikeln. I skäl 156 förtydligas dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för be- handlingen av personuppgifter för bland annat vetenskapliga eller historiska ändamål, vilket öppnar för möjligheten att i nationell rätt reglera lämpliga skyddsåtgärder för all behandling av personupp- gifter för forskningsändamål. För att behandling av känsliga per- sonuppgifter för forskningsändamål ska vara laglig ställs det vidare i artikel 9.2 j upp ett direkt krav på att nationell rätt ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen och detta gäller oavsett vilken grund behandlingen baseras på.

I nationell kompletterande lagstiftning både kan och förutsätts det således införas krav på skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det gäller även behand- ling baserad på intresseavvägning. I de fall privata aktörer anser det möjligt att lägga en intresseavvägning till grund för sin behandling av personuppgifter för forskningsändamål måste de alltså ändå tillämpa bestämmelser i nationell kompletterande lag avseende skydd för den enskilde.

Sammanfattande analys

Dataskyddsförordningens bestämmelser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av person- uppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresse- avvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så bety- dande skillnader i möjligheterna att åberopa de olika rättsliga grun-

144

SOU 2017:50

Fastställande av rättslig grund

derna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, är enligt utredningens uppfattning rimligen inte av- siktligt.

Utredningen återkommer till hur denna situation bör åtgärdas, i syfte att skapa ändamålsenliga förutsättningar för personuppgifts- behandling för forskningsändamål oavsett forskningsaktörens orga- nisationsform, i avsnitt 5.5.2 nedan.

5.4Ytterligare behandling av personuppgifter för forskningsändamål

5.4.1Inledning

Personuppgifter får bara samlas in för tydligt angivna och berätti- gade ändamål. Personuppgifter får vidare inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Denna finalitetsprincip, tillsammans med reglerade undantag från denna princip, sätter ramarna för de ändamål för vilka personuppgif- ter lagligen får behandlas. Finalitetsprincipen kommer till uttryck i såväl det nuvarande dataskyddsdirektivet och personuppgiftslagen som i dataskyddsförordningen. För forskningens del är finalitets- principen och reglerade undantag från denna av särskild betydelse.

5.4.2Nuvarande reglering

Huvudregeln i 9 § d personuppgiftslagen är att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling för vetenskapliga ända- mål ska dock inte anses oförenlig med de ändamål för vilka uppgif- terna samlades in, enligt 9 § andra stycket personuppgiftslagen. Ytterligare behandling av personuppgifter för forskningsändamål är därmed särskilt gynnad i dagens lagstiftning. Även om det nya ända- målet är förenligt med det ursprungliga, och därför uppfyller det grundläggande kravet enligt 9 § d personuppgiftslagen, måste den nya behandlingen dock alltid vara tillåten enligt någon av de rätts- liga grunderna i 10 § personuppgiftslagen.

145

Fastställande av rättslig grund

SOU 2017:50

5.4.3Dataskyddsförordningen

I dataskyddsförordningen återfinns motsvarande huvudregel i arti- kel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare be- handlas på ett sätt som är oförenligt med dessa ändamål. I samma punkt anges även att ytterligare behandling för bland annat veten- skapliga eller historiska forskningsändamål inte ska anses vara oför- enlig med de ursprungliga ändamålen (forskningsundantaget). Data- skyddsförordningen använder således begreppet ”ytterligare behand- ling”, vilket utredningen därför huvudsakligen använder i stället för begreppet ”vidarebehandling” som i dagsläget ofta används i samman- hanget. Skrivningen i artikel 5.1 b innebär att ytterligare behandling av personuppgifter för forskningsändamål är särskilt gynnad även i dataskyddsförordningen.

Av skäl 50 i dataskyddsförordningen framgår bland annat att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter:

Behandling av personuppgifter för andra ändamål än de för vilka de ur- sprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om be- handlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syf- ten ytterligare behandling bör betraktas som förenlig och laglig. Ytter- ligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. [---]

5.4.4Sammanfattande analys

Dataskyddsförordningens bestämmelser innebär att ytterligare be- handling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsaktör får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterli-

146

SOU 2017:50

Fastställande av rättslig grund

gare forskningsändamål utan krav på ny rättslig grund, vilket skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rätts- lig grund inte lika självklar. För ett utförligare resonemang kring denna situation se avsnitt 6.4.

I samband med utlämnande av personuppgifter till annan person- uppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgifts- ansvarige måste dock åberopa en ny rättslig grund för sin behand- ling för forskningsändamål sedan personuppgifterna utlämnats. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Vid ytterligare behandling av personuppgifter för forsknings- ändamål måste de allmänna principerna enligt artikel 5.1 också all- tid följas för att behandlingen ska vara tillåten. Ytterligare behand- ling av personuppgifter för forskningsändamål är tillåten endast om det är nödvändigt för att uppnå ändamålet, dvs. forskningen, och dessutom måste behandlingen vara korrekt, i betydelsen skälig eller rimlig, i förhållande till den registrerade. Behovet av ytterligare be- handling måste alltså alltid vägas mot den registrerades legitima intresse av personlig integritet. Vid fråga om behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda.

Vid all behandling av personuppgifter för forskningsändamål aktualiseras även artikel 89, där villkoren avseende lämpliga skydds- åtgärder för behandlingen i artikel 89.1 är särskilt centrala i samman- hanget. Detta framgår också direkt av undantaget för ytterligare behandling för forskningsändamål i artikel 5.1 b.

147

Fastställande av rättslig grund

SOU 2017:50

5.5Överväganden och förslag

5.5.1Inledning

Utredningen har i uppdrag att föreslå den kompletterande reglering av personuppgiftsbehandling för forskningsändamål som kan behö- vas utöver den generella kompletterande reglering som Dataskydds- utredningen föreslår. Syftet med den kompletterande regleringen ska vara att möjliggöra en ändamålsenlig behandling av person- uppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. En rimlig utgångspunkt är att befint- liga förutsättningar för en ändamålsenlig behandling i vart fall inte ska försämras, samtidigt som skyddet för den enskilde ska upprätt- hållas.

Förordningens bestämmelser är direkt tillämpliga i medlems- staterna från och med den 25 maj 2018. Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterli- gare nationell reglering avseende artikel 6.1 c och e. Eftersom arti- kel 6.1 e är central i forskningssammanhang har utredningen i upp- drag att särskilt beakta och, om det behövs, komplettera Dataskydds- utredningens förslag.

Avseende tillämpningen av den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, gör Dataskyddsutredningen följande bedömning som vi har att beakta:

Artikel 6.1 e i dataskyddsförordningen är direkt tillämplig.

Kravet i artikel 6.3, dvs. att grunden för behandlingen ska vara fastställd i unionsrätten eller den nationella rätten, utgör ytterli- gare ett villkor för tillämpning som ska vara uppfyllt.

Med grunden för behandlingen avses i detta sammanhang upp- giften som är av allmänt intresse.

Mot bakgrund av bedömningen ovan är Dataskyddsutredningens slutsats att det inte krävs någon generell nationell reglering som fastställer den rättsliga grunden enligt artikel 6.1 e. I den nya kom- pletterande dataskyddslagen föreslår Dataskyddsutredningen en- bart ett tydliggörande av att personuppgifter får behandlas om be- handlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller

148

SOU 2017:50

Fastställande av rättslig grund

annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.13

Dataskyddsförordningens bestämmelser innebär således att alla myndigheter måste ha en tydlig uppgift avseende forskning fast- ställd i enlighet med gällande rätt för att kunna behandla person- uppgifter för forskningsändamål med åberopande av artikel 6.1 e. Detta skulle låta sig göras genom att förordningarna med instruk- tioner för de myndigheter som i praktiken är forskningsaktörer ses över och forskningsuppgiften vid behov förs in. Dataskyddsförord- ningen medger dock en mer övergripande nationell reglering där uppgiften fastställs, så länge den omfattar alla berörda aktörer, enligt skäl 45.

Även privata aktörer kan som konstaterats utföra forskning av allmänt intresse. Om inte forskningsuppgiften fastställs i författ- ning även för dem innebär dock förordningens bestämmelser att de måste åberopa någon annan rättslig grund enligt artikel 6.1 för be- handling av uppgifter för forskningsändamål. Förordningen med- ger nationell reglering av vilka slags personuppgiftsansvariga som ska kunna utföra en uppgift av allmänt intresse. Av skäl 45 framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lag- stiftning.

Artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör natio- nella bestämmelser som anpassar tillämpningen av den rättsliga grunden i artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, och specificerar villkoren för när be- handling av personuppgifter får ske och hur det ska gå till. Den rättsliga grunden kan vid fastställandet t.ex. innehålla allmänna villkor för den specifika behandlingen. Detta kan enligt artikel 6.3 avse vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, där- ibland för behandling i andra särskilda situationer enligt kapitel IX i

13 SOU 2017:39 avsnitt 8.3.4.

149

Fastställande av rättslig grund

SOU 2017:50

dataskyddsförordningen. I kapitel IX finns bland annat artikel 89 som anger särskilda villkor för behandling av personuppgifter för forskningsändamål.

Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

5.5.2Fastställande av den rättsliga grunden allmänt intresse

Utredningens förslag: Personuppgifter ska med stöd av artikel 6.1 e i dataskyddsförordningen få behandlas för forskningsända- mål om behandlingen är nödvändig och proportionerlig för att ut- föra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Det är av avgörande betydelse för forskning att kunna behandla personuppgifter. Inte sällan innebär detta för såväl offentliga som privata forskningsaktörer att forskning måste ges möjligheter att behandla personuppgifter även utan samtycke.

Som utredningen konstaterat kan den rättsliga grunden uppgift av allmänt intresse, i vårt fall forskningsuppgiften, fastställas i instruk- tion eller särskilt beslut för varje enskild myndighet. Mot bakgrund av att det inte enbart är universitet och högskolor, utan även ett flertal andra myndigheter, som bedriver forskning skulle arbetet med att fastställa den rättsliga grunden för var och en av dessa myndig- heter separat kräva en omfattande arbetsinsats. Vidare skulle ett kontinuerligt arbete med att hålla detta system uppdaterat behöva utföras, så att inte forskning av allmänt intresse omöjliggörs p.g.a. att den rättsliga grunden inte är fastställd för en viss myndighet.

I dagsläget är det forskningsaktören själv som bedömer huruvida aktuell personuppgiftsbehandling är nödvändig för att utföra en forskningsuppgift av allmänt intresse så att behandlingen är tillåten enligt 10 § d personuppgiftslagen. Eftersom dataskyddsförord- ningen möjliggör en övergripande reglering som fastställer den rättsliga grunden, är det utredningens samlade bedömning att ett sådant förfarande är att föredra. Detta innebär att forskningsaktören även fortsatt har att bedöma att den forskning som utförs är av

150

SOU 2017:50

Fastställande av rättslig grund

allmänt intresse, och att personuppgiftsbehandlingen är nödvändig för att utföra forskningen, och därmed kan stödja sig på att den rättsliga grunden för detta är fastställd i den övergripande lagen som forskningsaktören omfattas av.

Utredningen har vidare konstaterat att för privata forsknings- aktörer krävs att åtgärder vidtas för att fastställa forskningsuppgiften som en uppgift av allmänt intresse om privata aktörer ska kunna åberopa den rättsliga grunden. Att dataskyddsförordningen skulle medföra sådana betydande skillnader som utredningen redogjort för avseende möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forsk- ningsändamål, helt beroende på vilken organisationsform aktören har, har enligt utredningens bedömning rimligen inte varit avsikten.

Eftersom också privata aktörer bedriver forskning som är av allmänt intresse är det rimligt att all sådan forskning ska kunna tillämpa samma rättsliga grund för laglig behandling. Ett bärande argument för att möjliggöra även för privata forskningsaktörer att behandla personuppgifter för forskningsändamål genom att tillämpa artikel 6.1 e som rättslig grund är vidare att forskning ofta bedrivs i samverkan mellan offentliga och privata forskningsaktörer. Att gemensamt bedriven forskning inte skulle kunna utföras på samma rättsliga grund, enbart beroende på respektive forskningsaktörs rättsliga status, får inverkan på forskningens bedrivande och resultat.

Forskningsdatalagen ska ge en rättslig grund för behandlingen av personuppgifter för forskningsändamål för samtliga forsknings- aktörer, oavsett om de är offentliga eller privata, genom att fast- ställa att personuppgifter får med stöd av artikel 6.1 e i dataskydds- förordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndig- heter, kommuner och landsting, andra juridiska personer och en- skilda näringsidkare

Det är själva arbetsuppgiften av allmänt intresse som ska fast- ställas i en forskningsdatalag, inte varje behandling av personupp- gifter som utförs i syfte att utföra uppgiften. Detta innebär att det är uppgiften att utföra forskning som ska fastställas i forsknings- datalagen för att denna lag ska kunna utgöra rättslig grund för be- handling av personuppgifter för forskningsändamål för de aktörer som omfattas av lagen. I forskningsdatalagen ska vidare villkor för

151

Fastställande av rättslig grund

SOU 2017:50

behandling av personuppgifter för ändamålet forskning oavsett rätts- lig grund, specificeras inom ramen för de möjligheter som finns att i nationell lag specificera de direkt tillämpliga bestämmelserna i för- ordningen.

I samband med fastställande av rättslig grund enligt dataskydds- förordningen framgår av skäl 41 att en sådan rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för per- soner som omfattas av den. Av skäl 33 framgår vidare att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning. Mot denna bakgrund är det utredningens bedömning att det är förenligt med dataskyddsförordningens vid- sträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av all- mänt intresse. Detta låter sig mer specifikt göras i en forsknings- datalag som är tillämplig för alla slags forskningsaktörer som bedri- ver sådan forskning.

5.5.3Inledande upplysningsbestämmelse

Utredningens förslag: Forskningsdatalagen ska innehålla en be- stämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

För förståelsen av den ovan föreslagna bestämmelsen, om fastställ- ande av den rättsliga grunden i artikel 6.1 e med stöd av artikel 6.2 och 6.3, behövs det enligt utredningens bedömning en inledande upplysningsbestämmelse som påminner tillämparen om att person- uppgifter får behandlas bara om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt. Detta tydliggör också att forskningsdatalagen omfattar all personuppgiftsbehandling för forskningsändamål, oavsett rättslig grund för behandlingen.

152

SOU 2017:50

Fastställande av rättslig grund

5.6Sammanfattning

Dataskyddsförordningens bestämmelser innebär att offentliga forsk- ningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid personuppgiftsbehandling för forsknings- ändamål. Privata forskningsaktörer har framför allt att utgå från sam- tycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid personuppgiftsbehandling för forskningsändamål. För att pri- vata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs inför- ande av författningsstöd.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skydds- åtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som pri- vata forskningsaktörer att åberopa uppgift av allmänt intresse som rättslig grund för behandling av personuppgifter för forsknings- ändamål.

153

6Behandling av personuppgifter med samtycke

6.1Inledning

I föregående kapitel 5 behandlas de allmänna förutsättningarna för behandling av personuppgifter för forskningsändamål, behovet av nationell lagstiftning med anledning av artikel 6.2 och 6.3 i data- skyddsförordningen (EU 2016/679), samt hur de aktuella forsk- ningsaktörerna i möjligaste mån kan likställas genom införandet av en nationell forskningsdatalag. Den föreslagna regleringen inriktas på att laglig behandling för forskningsändamål baseras på den rätts- liga grunden allmänt intresse enligt artikel 6.1 e, men även intresse- avvägning enligt artikel 6.1 f kan komma ifråga. Personuppgifts- behandling för forskningsändamål kan också grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ända- mål enligt artikel 6.1 a i dataskyddsförordningen.

Samtycke ska enligt definitionen i artikel 4.11 i dataskyddsför- ordningen vara frivilligt, specifikt, otvetydigt och vad gäller känsliga personuppgifter uttryckligt. Det ska vidare vara baserat på att den som lämnar samtycket har fått tillräcklig information, samt utgöra ett uttalande eller en entydig bekräftande handling. Dessa begrepp behandlas i följande avsnitt med avsikten att, utifrån en jämförelse med kraven på samtycke i det nuvarande dataskyddsdirektivet och personuppgiftslagen, bedöma de konsekvenser dataskyddsförord- ningen kan medföra med avseende på förändringar av samtyckets ställning och innebörd vid personuppgiftsbehandling för forsk- ningsändamål.

155

Behandling av personuppgifter med samtycke

SOU 2017:50

6.2Rättsliga förutsättningar

6.2.1Nuvarande reglering

Artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG) anger samtycke som en av ett antal uppräknade förutsättningar för att en personuppgiftsbehandling ska vara tillåten. Dataskyddsdirektivet införlivades i svensk rätt genom personuppgiftslagen. I 10 § person- uppgiftslagen anges att personuppgifter får behandlas om den regi- strerade har lämnat sitt samtycke. Vid samtycke enligt detta lagrum krävs det inte att behandlingen är nödvändig i lagens mening.

I 10 § personuppgiftslagen följer därefter en uppräkning av sex ändamål för vilka behandlingen måste vara nödvändig för att ända- målet ska kunna uppfyllas och behandlingen därmed vara tillåten. Även om behandling med stöd av samtycke kan ske utan att den är nödvändig måste den i övrigt vara förenlig med de grundläggande krav på personuppgiftsbehandling som föreskrivs i 9 §. Detta gäller för all behandling som är tillåten enligt 10 §.

Om det är fråga om känsliga personuppgifter gäller enligt 13 § personuppgiftslagen som huvudregel att behandling är förbjuden. Undantag från förbudet mot behandling av känsliga personuppgif- ter föreskrivs i 14 §. Enligt 15 § får exempelvis känsliga personupp- gifter behandlas om den registrerade har lämnat sitt uttryckliga sam- tycke till behandlingen eller på ett tydligt sätt offentliggjort uppgif- terna. Känsliga personuppgifter får enligt 19 § behandlas för forsk- ningsändamål om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövnings- lagen). Av 3 och 6 §§ etikprövningslagen framgår att forskning som innefattar behandling av känsliga personuppgifter får utföras bara om den har godkänts vid en etikprövning. Detta krav omfattar således även behandling av känsliga personuppgifter som grundas på sam- tycke.

Samtycke ska enligt 3 § personuppgiftslagen vara frivilligt, sär- skilt, otvetydigt och beträffande känsliga personuppgifter även vara uttryckligt för att vara giltigt. Det ska också vara baserat på att den som lämnar samtycket har fått tillräcklig information. Kravet på uttrycklighet vad gäller känsliga personuppgifter utgör en markering av vikten av att just i det fallet säkerställa att ett giltigt samtycke har inhämtats.

156

SOU 2017:50

Behandling av personuppgifter med samtycke

Samtycke kan för en vuxen person enbart lämnas av den regi- strerade själv. När det gäller personer som på grund av sjukdom, psykisk störning eller försvagat hälsotillstånd är ur stånd att vårda sig själva är möjligheten till att ge samtycke för personuppgifts- behandling begränsad. För personer som helt saknar eller har ned- satt förmåga att hantera sina egna angelägenheter, t.ex. när det gäller att bevaka sin rätt, förvalta sin egendom eller sörja för sin person, kan en god man eller förvaltare förordnas enligt 11 kap. 7 § föräldra- balken. Personer som har nedsatt förmåga att själva ta ställning till vård eller behandling inom hälso- och sjukvården eller tandvården kan med gällande regler sällan få hjälp av en god man eller för- valtare i beslutsfattandet. Reglerna om de gode männens och för- valtarnas befogenheter tillåter normalt inte ställningstaganden av det slaget. I betänkandet Stöd och hjälp till vuxna vid ställnings- taganden till vård, omsorg och forskning (SOU 2015:80) föreslogs en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg. Betänkandet bereds för närvar- ande i Regeringskansliet.

Om individen är ett barn ska samtycket i vissa fall inhämtas av en vårdnadshavare eller av både vårdnadshavaren och barnet. Det finns ingen klart fastställd åldersgräns för när samtycke kan ges. Datainspektionen lämnar följande vägledning:

En ungdom/barn som inte själv kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. I sådana fall ska samtycket istället inhämtas från vårdnadshavaren. Frågan om en person förstår innebörden av informationen måste bedömas från fall till fall med utgångspunkt i den enskilda individens mognad.1

Den registrerade kan när som helst återkalla samtycket. Förbud gäller då för fortsatt personuppgiftsbehandling enligt 12 § person- uppgiftslagen. Behandling av de personuppgifter som redan samlats in på grundval av tidigare lämnat samtycke är dock fortfarande tillåten. Personuppgifterna måste enligt 9 § g personuppgiftslagen fortsatt vara riktiga och, om det är nödvändigt, aktuella, vilket kan vara svårt att tillgodose efter viss tid. Det är exempelvis inte tillåtet att registrera ett namnbyte om samtycket har återkallats.

1 http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagon- aldersgrans-for-samtycke1/

157

Behandling av personuppgifter med samtycke

SOU 2017:50

6.2.2Dataskyddsförordningen

I dataskyddsförordningen anges grundläggande principer för be- handling av personuppgifter i artikel 5. Bestämmelser om när be- handling av personuppgifter är laglig finns i artikel 6 och villkor avseende särskilda kategorier av personuppgifter (känsliga person- uppgifter) i artikel 9. I artiklarna 6 och 9 räknas samtycke upp bland andra villkor för laglig behandling av personuppgifter:

Artikel 6

Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behand- lingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskri- ver att förbudet i punkt 1 inte kan upphävas av den registrerade.

I likhet med det nuvarande dataskyddsdirektivet är samtycke i arti- kel 6 en av flera jämställda alternativa rättsliga grunder för person- uppgiftsbehandling. Formuleringen i dataskyddsdirektivet avviker från personuppgiftslagens bestämmelse i 10 § där samtycke tas upp före uppräkningen i punkterna a–f. I samband med att dataskydds- direktivet införlivades i svensk rätt, genom personuppgiftslagen, gavs således samtycket en formulering som skulle kunna tolkas som att detta sätt att göra en behandling tillåten har en särskild ställning

158

SOU 2017:50

Behandling av personuppgifter med samtycke

i förhållande till andra rättsliga grunder. Detta skulle då gälla utöver den särställning det har genom att behandling grundad på samtycke inte måste vara nödvändig. Huruvida personuppgiftslagen ska tol- kas på detta sätt kan dock diskuteras.

Det förefaller emellertid inte som om samtycke enligt data- skyddsförordningen skulle ha en särställning i förhållande till andra rättsliga grunder. Den s.k. artikel 29-gruppen2 kommenterar att det finns olikheter i synen på samtyckets ställning mellan medlems- staterna och anser att en harmonisering kan åstadkommas genom dataskyddsreformen.3

Samtycke särskiljs dock i förordningen, i likhet med nuvarande bestämmelser, genom att behandling enligt artikel 6.1 a inte behö- ver vara nödvändig. Den rättsliga grunden samtycke behöver inte heller, till skillnad från exempelvis allmänt intresse (artikel 6.1 e), vara fastställd i unions- eller nationell rätt (artikel 6.3). Den rätts- liga grunden samtycke är reglerad genom artikel 6.1 a och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.

Barns samtycke som rättslig grund enligt dataskyddsförordningen har behandlats utförligt av Dataskyddsutredningen.4

Beträffande samtycke vid behandling av känsliga personuppgif- ter regleras detta särskilt i artikel 9.2 a i dataskyddsförordningen.

6.3Samtycke och känsliga personuppgifter

Utredningens bedömning: Med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är det möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rätts- lig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.

2Artikel 29-gruppen är skapad under artikel 29 i det nuvarande dataskyddsdirektivet, för en utförligare beskrivning se avsnitt 3.3.1.

3Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 7.

4SOU 2017:39 kapitel 9.

159

Behandling av personuppgifter med samtycke

SOU 2017:50

Enligt artikel 9.1 i dataskyddsförordningen är behandling av käns- liga personuppgifter5 förbjuden. Undantag från förbudet ges dock för vissa typer av behandling enligt artikel 9.2 a–j. Om den registre- rade uttryckligen har lämnat sitt samtycke kan detta enligt arti- kel 9.2 a upphäva detta förbud, utom då unionsrätten eller medlems- staternas nationella rätt föreskriver att förbudet inte kan upphävas.

Enligt 3 och 6 §§ etikprövningslagen får forskning som inne- fattar känsliga personuppgifter utföras bara om den har godkänts vid en etikprövning.6 En möjlig tolkning av formuleringen i arti- kel 9.2 a är att denna artikel tillsammans med 3 och 6 §§ etikpröv- ningslagen förhindrar behandling av känsliga personuppgifter med samtycke som rättslig grund, så att den rättsliga grunden i stället måste sökas i allmänt intresse enligt artikel 6.1 e.

En alternativ tolkning av denna situation är dock att samtycke kan upphäva förbudet mot behandling av känsliga personuppgifter för forskningsändamål, men endast om det kompletteras med etik- godkännande enligt etikprövningslagen.7 Samtycke kan i sådana fall användas som rättslig grund för behandling av känsliga personupp- gifter för forskningsändamål. Denna tolkning ligger närmare den rättstillämpning som för närvarande gäller och synes kunna förenas med de intentioner som uttrycks i förarbetena till den ändring som genomfördes av etikprövningslagen år 2008 och som innebar inför- andet av obligatorisk etikprövning av all forskning som innefattar behandling av känsliga personuppgifter.8

Mot denna bakgrund är det utredningens bedömning att arti- kel 9.2 a i dataskyddsförordningen, tillsammans med etikprövnings- lagen, innebär att det är möjligt att behandla känsliga personupp- gifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikpröv- ning enligt etikprövningslagen. Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige.

5I dataskyddsförordningens terminologi de ”särskilda kategorier av personuppgifter” som räknas upp i artikel 9.1.

6Utredningen föreslår i kapitel 14 att dagens hänvisning till 13 § personuppgiftslagen i etik- prövningslagen ska ersättas med en hänvisning till artikel 9.1 i dataskyddsförordningen.

7Detta gäller inom etikprövningslagens geografiska tillämpningsområde. Enligt 5 § etikpröv- ningslagen ska den tillämpas på forskning som ska utföras i Sverige.

8Prop. 2007/08:44 s. 20 f.

160

SOU 2017:50

Behandling av personuppgifter med samtycke

6.4Samtyckets innehåll och de krav som ställs på giltigt samtycke

6.4.1Inledning

I detta avsnitt görs en närmare jämförande analys av definitionen av samtycke i dataskyddsförordningen med definitionen i personupp- giftslagen. Därefter följer en genomgång av vart och ett av de be- grepp som definierar samtycke i dataskyddsförordningen. Denna del beskriver således de krav som ställs på ett giltigt samtycke. I sam- band med detta behandlar olika avsnitt innebörden av de skäl i dataskyddsförordningen som tar upp samtyckets bredd (skäl 33) och dess giltighet när betydande ojämlikhet råder mellan den person- uppgiftsansvarige och den registrerade, exempelvis när den person- uppgiftsansvarige är en myndighet (skäl 43).

Personuppgiftslagen

I 3 § personuppgiftslagen anges att samtycke är varje slag av fri- villig, särskild och otvetydig viljeyttring genom vilken den registre- rade, efter att ha fått information, godtar behandling av person- uppgifter som rör honom eller henne. I 13 § föreskrivs ett principi- ellt förbud mot behandling av känsliga personuppgifter som dock omgärdas av ett antal undantag enligt 14 §. Med stöd i 15 § får t.ex. känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Dessutom krävs enligt 3 och 6 §§ etik- prövningslagen etikgodkännande när det är fråga om all behandling av känsliga personuppgifter för forskningsändamål.

161

Behandling av personuppgifter med samtycke

SOU 2017:50

Dataskyddsförordningen

Artikel 4.11 i dataskyddsförordningen definierar samtycke enligt följande.

Artikel 4

Definitioner

I denna förordning avses med

11. samtycke av den registrerade: varje slag av frivillig, specifik, infor- merad och otvetydig viljeyttring, genom vilken den registrerade, an- tingen genom ett uttalande eller genom en entydig bekräftande hand- ling, godtar behandling av personuppgifter som rör honom eller henne,

Utöver detta föreskrivs i artikel 9.2 a krav på uttryckligt samtycke vid behandling av känsliga personuppgifter.

Dataskyddsförordningens införande innebär därmed inga bety- dande förändringar av samtyckets innebörd. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen.

162

SOU 2017:50

Behandling av personuppgifter med samtycke

6.4.2 Frivillig viljeyttring

Personuppgiftslagen

Samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma.

Det finns situationer där frivilligheten i samband med ett med- givande till personuppgiftsbehandling kan diskuteras. Ofta är det då inte fråga om samtycke i personuppgiftslagens mening. Det kan till exempel vara nödvändigt att man för att få ta del av en tjänst ingår ett avtal som innebär personuppgiftsbehandling. Detta före- kommer bland annat vid köp av olika varor och tjänster eller vid anställning. Bestämmelser om detta finns i 10 § personuppgifts- lagen, dvs. tillåtligheten baseras inte på den registrerades samtycke utan på att behandlingen är nödvändig exempelvis för fullgörande av ett avtal.

I vissa sammanhang där det är aktuellt med en samtyckesbaserad behandling enligt 10 § personuppgiftslagen kan det förekomma att den registrerade befinner sig i ett beroendeförhållande till den som efterfrågar samtycke, eller att det på annat sätt råder ojämlikhet mellan dessa parter. Problemet har föranlett skäl 43 i dataskydds- förordningen, vilket behandlas i det följande.

Dataskyddsförordningen

Kravet på frivillighet är i dataskyddsförordningen formulerad på samma sätt som i personuppgiftslagen. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgifts- ansvarige och den som har att lämna samtycke har föranlett infö- randet av skäl 43 i dataskyddsförordningen.

För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte med- ger att separata samtycken lämnas för olika behandlingar av person- uppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst

– är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

163

Behandling av personuppgifter med samtycke

SOU 2017:50

Trots likheterna mellan bestämmelserna i dataskyddsförordningen och personuppgiftslagen föranleder detta skäl nya överväganden för den personuppgiftsbehandling som sker vid bland annat de universitet och högskolor som utgör offentligrättsliga organ. For- muleringen anger att det ska vara fråga om ”ett särskilt fall där det råder betydande ojämlikhet” och nämner att detta gäller, eller kan gälla, särskilt när den personuppgiftsansvarige är en ”offentlig myn- dighet”.9

Det kan noteras att ett så tydligt omnämnande av myndigheters begränsade möjlighet att använda samtycke som rättslig grund under vissa omständigheter hittills saknats i svensk gällande rätt, även om beroendeförhållanden redan i dag har betydelse för be- dömningen av samtyckets giltighet.

Skrivningen kan tolkas som att ett särskilt fall alltid föreligger när en myndighet efterfrågar samtycke. Den kan alternativt tolkas som att särskilda fall ofta, men inte alltid, förekommer när den personuppgiftsansvarige är en myndighet.

I ett yttrande om samtycke som artikel 29-gruppen publicerat behandlas sådana situationer.

Typen av registeransvarig kan också vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av uppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse enligt artikel 7 c, eller utförandet av en arbetsuppgift av allmänt intresse som anges i artikel 7 e. Att använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna utgör följaktligen inte en lämplig rättslig grund. Detta är särskilt tydligt när det gäller hur person- uppgifter behandlas av offentliga myndigheter som har officiella makt- befogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska sam- tycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gäll- ande lag.10 (Författningshänvisningarna hänför sig till det nuvarande dataskyddsdirektivet, vår anm.)

Begränsningen ska, enligt detta yttrande, framför allt gälla person- uppgiftsansvariga som behandlar personuppgifter i samband med fullgörandet av en rättslig förpliktelse eller för att utföra en arbets-

9Detta torde motsvaras av det svenska begreppet myndighet, och innefattar då såväl statliga som kommunala myndigheter.

10Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 16.

164

SOU 2017:50

Behandling av personuppgifter med samtycke

uppgift av allmänt intresse. Artikel 29-gruppen framhåller här sär- skilt offentliga myndigheter som har officiella maktbefogenheter. Detta kan tolkas som att inte alla förhållanden mellan myndigheter och enskilda präglas av betydande ojämlikhet.

Artikel 29-gruppen för vidare ett resonemang om beroende- förhållanden vid anställning. Detta resonemang är tillämpligt oav- sett den rättsliga ställningen hos huvudmannen och också när man avser att behandla personuppgifter för forskningsändamål.

… om samtycke krävs från en anställd och en verklig eller potentiell skada kan uppkomma genom att samtycke inte ges är samtycket inte giltigt i den meningen att det inte uppfyller kraven i vare sig artikel 7 eller artikel 8, eftersom det inte lämnats frivilligt. Om den anställde inte har möjlighet att vägra är det inget samtycke … En svårighet upp- kommer om samtycket är ett villkor för anställningen. Den anställde kan teoretiskt sett vägra ge sitt samtycke, men konsekvensen kan vara att möjligheten till anställning går förlorad. Under sådana omständig- heter har samtycket inte getts frivilligt och är därför inte giltigt. Situa- tionen är ännu tydligare om, vilket ofta sker, alla arbetsgivare tillämpar samma eller ett liknande anställningsvillkor.11

Artikel 29-gruppens yttranden hänför sig till det nuvarande data- skyddsdirektivet, som inte innehåller någon motsvarande skrivning till skäl 43 i dataskyddsförordningen. I avsaknad av ytterligare väg- ledning är det utredningens bedömning att artikel 29-gruppens ytt- randen kan utgöra utgångspunkt för tolkningen av skäl 43 i data- skyddsförordningen.

Betydande ojämlikhet vid samtycke lämnat till offentliga forskningsaktörer

När det gäller offentliga forskningsaktörer kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställ- ning i förhållande till den personuppgiftsansvarige. För till exempel statliga forskningsinstitut med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant institut.

11 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 13 f där man hänvisar till yttrande 8/2001 (WP48) on the processing of personal data in the employment context.

165

Behandling av personuppgifter med samtycke

SOU 2017:50

Statliga lärosäten får i många situationer inte anses kunna utöva någon speciell påtryckning gentemot individen enbart genom att man är en myndighet. Behandling av personuppgifter för forsknings- ändamål från personer utan tydlig relation till lärosätet präglas inte självklart av betydande ojämlikhet eftersom lärosätet inte kan utöva några påtryckningar gentemot dessa personer och det är osannolikt att forskningspersonerna själva upplever att en ojämlik situation föreligger. Det kan exempelvis gälla ett representativt urval av per- soner ur totalbefolkningen som deltar i en undersökning som del av ett forskningsprojekt. Som exempel kan nämnas SOM-institutets vid Göteborgs universitet opinionsundersökningar som beskrivs på följande sätt på institutets hemsida: ”Varje år svarar nästan 20 000 svenskar på SOM-institutets frågor om allt från politik och mass- medier till ämnen som livsstil, hälsa och fritidsvanor.”12

En sådan situation som avses i skäl 43 kan dock föreligga exem- pelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet.

Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. Man driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskatt- ningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och natio- nella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse.

Sammanfattningsvis innebär ovanstående resonemang att det kan finnas betydande hinder för myndigheter att använda samtycke för personuppgiftsbehandling med tanke på den ojämlikhet som påtalas i skäl 43. Detta kan gälla också vid behandling för forsk- ningsändamål. I många fall föreligger dock inte någon sådan ojäm- likhet vid forskning. Hindren gäller därför inte alltid utan behöver prövas från fall till fall. Det ankommer på den personuppgiftsansva- rige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.

Utgångspunkten för en sådan prövning är rimligen att hinder föreligger. I många fall kan dock den personuppgiftsansvarige när

12 Se vidare http://som.gu.se/undersokningar. SOM-institutet beskriver sig som en opartisk undersökningsorganisation vid Göteborgs universitet.

166

SOU 2017:50

Behandling av personuppgifter med samtycke

det gäller forskning, enligt utredningens bedömning, kunna visa att frivillighet råder. Inhämtande av ett giltigt samtycke behöver då inte förhindras av detta skäl.

Betydande ojämlikhet vid samtycke lämnat till privata forskningsaktörer

En genomgång av aktuella kategorier av forskningsaktörer, och en analys av de möjliga rättsliga grunderna för olika aktörer, finns i av- snitt 5.3. De privata forskningsaktörer som i exemplifierande syfte anges där är enskilda utbildningsanordnare samt företag och stiftelser.

Enskilda utbildningsanordnare borde i väsentliga delar kunna likställas med offentliga. För företag, stiftelser och andra medlems- organisationer som utför forskning torde samtycke kunna använ- das gentemot alla som inte har någon anknytning till organisatio- nen, genom att vara exempelvis anställda, intressenter och/eller medlemmar.

Privaträttsliga forskningsaktörer bör med hänvisning till for- muleringen av skäl 43 kunna betraktas på annat sätt än de offentlig- rättsliga. Utgångspunkten är att det här normalt inte råder bety- dande ojämlikhet när personuppgifter behandlas för forsknings-

ändamål, men att detta kan vara fallet i det som benämns ”en särskild situation”. En sådan särskild situation kan vara när den person- uppgiftsansvarige vill använda ett kund- eller anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis kan sägas att det resonemang om ojämlik- het som förs i skäl 43 normalt inte torde innebära hinder för privat- rättsliga forskningsaktörer att använda samtycke för personuppgifts- behandling för forskningsändamål. Det bör dock även här prövas om det föreligger sådana hinder som gör samtycket ogiltigt. Det ankommer på den personuppgiftsansvarige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.

167

Behandling av personuppgifter med samtycke

SOU 2017:50

6.4.3Specifik viljeyttring

Personuppgiftslagen

En specifik viljeyttring, enligt dataskyddsförordningens definition, motsvaras av det som i 3 § personuppgiftslagen benämns ”särskild … viljeyttring”. I 9 § personuppgiftslagen finns ett krav på att all personuppgiftsbehandling ska äga rum för ”särskilda, uttryckligt angivna och berättigade ändamål” (den s.k. ändamålsbegränsningen). Denna begränsning har sin motsvarighet i definitionen av samtycke genom att samtycket ska vara ”särskilt”, dvs. det ska stå klart att samtycke har lämnats för ett särskilt ändamål.

Hur brett ett forskningsändamål kan vara, för vilket samtycke kan ges utan att kravet på särskildhet och otvetydighet går förlorat, har varit föremål för diskussion i olika sammanhang. En vägledning inför den framtida tolkningen av detta återfinns i skäl 33 i data- skyddsförordningen.

Dataskyddsförordningen

I dataskyddsförordningen ersätts den tidigare termen ”särskild” i det nuvarande dataskyddsdirektivet och personuppgiftslagen med

”specifik”. Termerna kan språkligt sett betraktas som synonymer.13

Detta stöds också av att den engelska formuleringen i artikel 2 i det nuvarande dataskyddsdirektivet använder begreppet ”specific” medan den svenska översättningen av samma direktiv använder ”särskild”.

Det framstår således inte som om förändringen i terminologi skulle innebära någon avsiktlig betydelseförändring. Frågan om samtyckets tillåtliga bredd behandlas i skäl 33 i dataskyddsförordningen. Det resonemang som förs där medför, trots att termerna får anses ha samma betydelse, en förändrad syn på bestämmelsens innebörd.

Specifika och breda samtycken

Ett samtycke definierar gränserna för vad som är tillåtet att be- handla och måste därför vara tydligt specificerat redan vid insam- ling av personuppgifter. En klar ändamålsbeskrivning när det gäller

13 Svenskt synonymlexikon online: synonymer.se

168

SOU 2017:50

Behandling av personuppgifter med samtycke

känsliga personuppgifter har i svensk rättstillämpning också utgjort en förutsättning för att en etikprövningsnämnd ska kunna avgöra huruvida den avsedda personuppgiftsbehandlingen utgör forskning och därmed måste bli föremål för etikprövning. Detta gäller oavsett om behandlingen grundas på samtycke eller någon annan rättslig grund.

Bredden på ett samtycke liksom möjligheten att samla in person- uppgifter för mer allmänt hållna forskningsändamål har föranlett mycket diskussion och debatt, inte minst under senare år i sam- band med bland annat Vetenskapsrådets strävanden efter att skapa effektiva databasinfrastrukturer för forskningsändamål.14 Problemet tydliggjordes bland annat vid bedömningar av projektet LifeGene vid Karolinska Institutet.15 Projektet, som rör de långsiktiga hälso- konsekvenserna av arv och miljöpåverkan, har ett mångårigt per- spektiv med en bred ändamålsbeskrivning. Personuppgifter samlas in genom provtagning och frågeformulär vid personliga besök vid mottagningar. Uppgifterna kan kompletteras med uppgifter från register insamlade för andra primära ändamål än forskning. En del av dessa uppgifter avses bestå av uppföljningar av hälsorelaterad information från hälso- och sjukvården under många år framöver. Preciserade ändamål med själva forskningen kan inte beskrivas vid insamlingstillfället. Medverkan i projektet grundas på de registrera- des samtycke.

Personuppgiftsbehandlingen i LifeGene godkändes av en regional etikprövningsnämnd, men med villkor att barn under sex års ålder skulle undantas från blodprovstagning. Detta villkor överklagades av företrädare för LifeGene till Centrala etikprövningsnämnden (CEPN). CEPN konstaterade vid sin granskning att etikprövning inte behövdes, eller snarare inte kunde genomföras, på grund av att det aktuella projektet i sig inte ansågs innefatta någon forskning, utan i stället syftade till att bygga upp en infrastruktur för eventuell framtida forskning. Mot denna bakgrund undanröjde CEPN den regionala etikprövningsnämndens beslut.16

Datainspektionen tog upp ärendet inom ramen för sin tillsyns- verksamhet. Man konstaterade att det genom undanröjandet av den

14Vetenskapsrådets guide till infrastrukturen 2014, s. 12–13, 25–26.

15Se vidare http://www.lifegene.se.

16CEPN beslut 2011-03-04, dnr Ö 28-2010.

169

Behandling av personuppgifter med samtycke

SOU 2017:50

regionala etikprövningsnämndens beslut inte längre fanns ett god- kännande efter etikprövning, samt att det syfte som angivits för LifeGene utgjorde ett alltför opreciserat ändamål för att uppfylla kraven i 9 § personuppgiftslagen. Datainspektionen förelade därför de ansvariga för projektet att upphöra med insamlingen och övrig behandling av personuppgifter. Man framhöll i samband med detta att frågan om hantering av känsliga personuppgifter som sparas för framtida forskning är av sådan vikt att det borde bli föremål för politisk beredning.17

Ärendet behandlades av regeringen som med hänvisning till lik- nande regleringar i registerförfattningar föreslog en tidsbegränsad särskild lag som gjorde det möjligt för projektet att samla in och behandla personuppgifter för det angivna ändamålet.18 Förslaget antogs av riksdagen.19 I propositionen anförde regeringen att den föreslagna lagen var angelägen eftersom den avsåg att reglera ett specifikt område som omgärdades av rättslig osäkerhet. Ett vägande argument var att det var fråga om personuppgiftsbehandling som skapar bättre förutsättningar för svensk registerbaserad forskning. Datainspektionen ifrågasatte dock fortsatt om ändamålsbeskriv- ningen i lagen var förenlig med dataskyddsdirektivet.20

En bredare syn på samtycke jämfört med Datainspektionens och CEPN:s uppfattning efterfrågades i 2014 års Registerforsknings- utredning.21 Osäkerhet om hur brett ett ändamål kan beskrivas låg, tillsammans med andra hänsynstaganden, till grund för Register- forskningsutredningens förslag att införa en särskild lag om forsk- ningsdatabaser. Därefter har det blivit vårt uppdrag att i ett andra skede av utredningen ta ställning till och utveckla Registerforsk- ningsutredningens förslag. Utredningens förslag till nödvändiga an- passningar av den s.k. LifeGene-lagen till dataskyddsförordningen behandlas i kapitel 15 i detta betänkande.

Artikel 29-gruppen tog redan år 2011 upp frågan om samtyckets bredd. Man konstaterade då att samtycke inte kan tillämpas på ”en

17Datainspektionen 2011-12-16. Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene, dnr 766-2011, s. 4 f.

18Prop. 2012/13:163 Vissa register för forskning om vad arv och miljö betyder för människors hälsa.

19SFS 2013:794 utfärdad den 5 november 2013.

20Prop. 2012/13:163, s. 25 f.

21SOU 2014:45 Unik kunskap genom registerforskning, s. 357 f.

170

SOU 2017:50

Behandling av personuppgifter med samtycke

allmän uppsättning behandlingsaktiviteter”, men införde begreppet ”rimliga förväntningar” och yttrade följande:

Samtycket bör avse en behandling som är rimlig och nödvändig i för- hållande till syftet. Det bör i princip vara tillräckligt om den register- ansvarige erhåller samtycke endast en gång för olika operationer om samtliga omfattas av den registrerades rimliga förväntningar.22

I dataskyddsförordningen uttrycks detta i skäl 33:

Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Det kan konstateras att det förtydligande som följer av förordning- ens skäl 33 öppnar upp för en bredare syn på samtycke än vad som hittills tillämpats. En förutsättning är dock att detta kan ske utan att det görs avkall på kraven att specificera ändamålen i enlighet med artiklarna 5.1 b och 6.1 a samt skäl 32 där det anges att sam- tycke bör gälla all behandling för samma ändamål och att samtycke ska lämnas för varje syfte för sig om flera syften finns. Forsknings- ändamålen kan således vid samtycke både vara specifika och någor- lunda breda.

6.4.4Otvetydig viljeyttring

Personuppgiftslagen

Samtycke ska enligt 3 § personuppgiftslagen vara en otvetydig vilje- yttring som är knuten till det ändamål för vilket behandlingen ska ske. Samtycket ska alltså tydligt kunna kopplas till den personupp- giftsbehandling som avses. Detta kräver att ändamålet är tydligt beskrivet och att det inte får föreligga tveksamhet om att vilje- yttringen verkligen avser den aktuella personuppgiftsbehandlingen.

22 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 17 f.

171

Behandling av personuppgifter med samtycke

SOU 2017:50

Samtycke som en logisk konsekvens av ett handlande som klart innebär att en individ accepterar personuppgiftsbehandlingen (så kallat konkludent handlande) har ansetts vara tillräckligt otvetydigt under vissa omständigheter. Ett exempel inom forskningens om- råde kan vara att besvara ett frågeformulär där syftet att använda svaren för ett avgränsat forskningsändamål har klargjorts för forsk- ningspersonen i samband med datainsamlingen.

Dataskyddsförordningen

Dataskyddsförordningen föreskriver i likhet med nuvarande regler- ing att samtycke baseras på en otvetydig viljeyttring. Det finns där- med ingen grund för att anta att tolkningen av begreppet ska skilja sig från nuvarande praxis. I otvetydigheten ligger att handlingen ska vara tydligt inriktad på personuppgiftsbehandlingen och inte blandas samman med andra förklaringar och ställningstaganden från individen i fråga. Definitionen i artikel 4.11 i dataskyddsförord- ningen förtydligar dessutom att samtycket ska vara ”ett uttalande eller en entydig bekräftande handling”. Uttrycket ”bekräftande handling” tyder på att konkludent handlande är en acceptabel sam- tyckesyttring, åtminstone när det inte är fråga om känsliga person- uppgifter.

I skäl 32 i dataskyddsförordningen anges att samtycke bör gälla all behandling inom samma ändamål, och att om flera syften finns bör samtycke inhämtas för samtliga syften. Bekräftelsen ska inte enbart bestå i passivitet, dvs. underlåtenhet att invända mot person- uppgiftsbehandlingen. Tystnad eller inaktivitet är således inte till- räckligt. Det krävs någon form av aktiv bekräftelse för att sam- tycket ska vara giltigt. Detta krav särskiljer samtycket från rätten att under vissa omständigheter motsätta sig en redan påbörjad be- handling och utesluter därmed bland annat så kallad ”opt out”. För känsliga personuppgifter gäller dessutom att samtycket enligt arti- kel 9.2 a i dataskyddsförordningen ska vara uttryckligt.

I situationer där flera viljeyttringar förekommer (eller bör före- komma därför att det finns flera syften) krävs enligt artikel 7.2 i dataskyddsförordningen att dessa tydligt särskiljs. Detta framgår även av skäl 32 om samtyckets innebörd och skäl 33 om samtycke som lämnas till vissa forskningsområden eller delar av forsknings-

172

SOU 2017:50

Behandling av personuppgifter med samtycke

projekt. Den personuppgiftsansvarige ska kunna visa att den regi- strerade på förhand har lämnat samtycke för all personuppgifts- behandling som avses på sätt som föreskrivs i förordningen (arti- kel 7.1). Här uppstår i praktiken ett utökat krav på den personupp- giftsansvarige att dokumentera samtycket i jämförelse med person- uppgiftslagen, där samtycke inte är omgärdat av några formkrav. Behovet av dokumentation aktualiseras oavsett om samtycket läm- nats muntligt eller skriftligt.

6.4.5Informerad viljeyttring

Personuppgiftslagen

I 3 § personuppgiftslagen anges att ett giltigt samtycke innebär att den registrerade godtar behandlingen efter att ha fått information. Informationen ska vara tillräcklig för att en frivillig, särskild och otvetydig viljeyttring ska kunna lämnas.

En vägledande utgångspunkt i detta sammanhang kan vara de all- männa bestämmelser om informationsskyldighet som finns i 23–27 §§ personuppgiftslagen. Detta gäller i första hand sådan information som lämnas på förhand. Den personuppgiftsansvarige ska enligt huvudregeln på eget initiativ lämna information till den registrerade om behandlingen. Detta kan ske i samband med insamling av personuppgifter från den registrerade själv, eller i det fall insamling har skett från någon annan källa, vid registreringstillfället om detta inte är omöjligt eller innebär en oproportionerligt stor arbetsinsats. I 25 § personuppgiftslagen anges att information ska lämnas om den registrerades identitet, ändamålet med behandlingen, samt all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter.

För att ett samtycke ska anses giltigt behöver i första hand in- formation av det slag bestämmelserna i 23–25 §§ anger vara upp- fyllda. Till bilden hör att den registrerade enligt 26 § en gång per kalenderår efter en skriftlig ansökan gratis har rätt att få infor- mation om bland annat vilka uppgifter som behandlas, ändamålet med behandlingen, varifrån uppgifterna hämtats, samt till vilka de lämnats ut. Detta betecknas ibland som en rätt till registerutdrag.

Mer utförliga rekommendationer om förfaringssättet när det gäller personuppgiftsbehandling för forskningsändamål finns i infor-

173

Behandling av personuppgifter med samtycke

SOU 2017:50

mationsmaterial från några myndigheter som ansvarar för omfatt- ande register med personuppgifter eller övervakar hanteringen av personuppgifter.23

Dataskyddsförordningen

De krav på information som finns i artiklarna 12–15 i dataskydds- förordningen överensstämmer i sin allmänna inriktning med vad som stadgas i personuppgiftslagen, men är mer detaljerade.

Ett giltigt samtycke enligt dataskyddsförordningen förutsätter att den registrerade fått tillräcklig information. Artikel 12 anger att den information som ges till den registrerade ska vara klar, tydlig, begriplig och lätt tillgänglig. Den information som ska lämnas i samband med insamling föreskrivs i artikel 13 för personuppgifter insamlade direkt från den registrerade och i artikel 14 för person- uppgifter som har erhållits från annan än den registrerade.

I huvudsak handlar skyldigheten att lämna information innan det att behandlingen inleds om att lämna besked om att person- uppgifter kommer att behandlas och om vilken behandling som ska göras. I 25 § personuppgiftslagen anges att all den information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen ska lämnas. Motsvarande allmänna formulering återfinns inte i förordningen, men det får antas att be- dömningen av huruvida kravet på information vid inhämtande av samtycke inbegriper en sådan avvägning.

Utredningen bedömer att den allmänna informationsskyldig- heten som regleras i artiklarna 13 och 14 i dataskyddsförordningen, och som ska lämnas på initiativ av den personuppgiftsansvarige innan behandlingen påbörjas, är relevant för vad som krävs för inhämtande av ett giltigt samtycke.

Artikel 15 i dataskyddsförordningen ger utöver detta en fortsatt rätt till registerutdrag. Den registrerade har alltså rätt att på eget initiativ få reda på om en behandling pågår och, om så är fallet, information om den aktuella behandlingen för att kunna ta tillvara sina rättigheter samt att få kopior på de personuppgifter som be- handlas. Denna rätt till tillgång blir i praktiken aktuell först efter

23 Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövnings- nämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013.

174

SOU 2017:50

Behandling av personuppgifter med samtycke

det att behandlingen har inletts och, om behandlingen grundas på samtycke, först efter det att samtycke har lämnats.

Fullgörande av informationsrätten enligt artikel 15 kan därför inte inbegripas i bedömningen av samtyckets giltighet. Enligt artik- larna 13.2 b och 14.2 c ska dock den registrerade på förhand infor- meras om denna rättighet, vilket ingår i den information som ska lämnas för att ett giltigt samtycke ska kunna inhämtas.

6.4.6Uttrycklig viljeyttring gällande känsliga personuppgifter

Behandling av känsliga personuppgifter för forskningsändamål be- handlas övergripande i kapitel 7. Samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål har behandlats i avsnitt 6.3. I det avsnittet gjordes bedömningen att det är förenligt med artikel 9.2 a i förordningen att använda samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål, givet att det kompletteras med etikgodkännande enligt etikprövningslagen. I detta avsnitt berörs samtycke när be- handlingen avser känsliga personuppgifter med anledning av det krav på uttrycklighet som gäller redan i dag, och som kommer att gälla även när dataskyddsförordningens bestämmelser ska tillämpas.

Personuppgiftslagen

Personuppgiftslagen innehåller särskilda regler för behandling av känsliga personuppgifter i 13–20 §§. I 15 § personuppgiftslagen an- ges att samtycke till behandling av känsliga personuppgifter ska vara uttryckligt. Begreppet uttryckligt samtycke har enligt vad som framgår av förarbetena till personuppgiftslagen en EU-gemensam innebörd.24 Hur uttrycklighetskravet mer precist ska tolkas i Sverige har endast i begränsad utsträckning diskuterats.25 Enligt artikel 29-gruppen omfattar uttryckligt samtycke enligt nuvarande be- stämmelser ”alla situationer där enskilda personer uppmanas välja mellan att samtycka till eller vägra användning eller offentliggörande av sina personuppgifter och de besvarar en sådan begäran muntligt eller skriftligt”.26

24Prop. 1997/98:44 s. 116.

25Se vidare t.ex. Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 3 §.

26Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 26.

175

Behandling av personuppgifter med samtycke

SOU 2017:50

Utöver kravet på uttrycklighet i personuppgiftslagen föreskriver etikprövningslagen etikgodkännande för forskning som innefattar behandling av känsliga personuppgifter (3 och 6 §§). Etikpröv- ningslagens tillämpningsområde omfattar all behandling av känsliga personuppgifter för forskningsändamål när forskningen utförs i Sverige. Kravet på etikgodkännande enligt etikprövningslagen gäller således även om det finns ett inhämtat samtycke.

Dataskyddsförordningen

Känsliga personuppgifter omfattar enligt artikel 9.1, utöver de upp- gifter som anges i 13 § personuppgiftslagen, även sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. I detta betänkande används begreppet känsliga personuppgifter för hela denna utökade kategori.

Oklarheten om innebörden i uttryckligt samtycke med avseende på graden av aktivt handlande hos den registrerade kan ha reduce- rats genom den hänvisning till ”entydigt bekräftande handling” som finns i artikel 4.11. Något undantag från denna del av bestäm- melsen vad gäller uttryckligt samtycke går inte att finna.

6.4.7Överväganden

Utredningens bedömning: Dataskyddsförordningen innebär inga betydande förändringar av ett samtyckes innebörd.

I det ovanstående har de olika kraven på giltigt samtycke i data- skyddsdirektivet och personuppgiftslagen jämförts med motsva- rande krav i dataskyddsförordningen. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen. Något undantag från denna del av be- stämmelsen vad gäller uttryckligt samtycke går inte att finna.

176

SOU 2017:50

Behandling av personuppgifter med samtycke

Utredningens bedömning: Möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling för forsk- ningsändamål när det kan råda en betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade behöver prö- vas i varje enskilt fall, som en del av bedömningen av giltigheten av det inhämtade samtycket.

Utgångspunkten för en sådan prövning är att forskningsaktören som en del av bedömningen ska kunna visa att samtycket lämnats frivilligt. En betydande ojämlikhet kan medföra att samtycket inte uppfyller kravet på frivillighet. Hinder för ett giltigt samtycke före- ligger av denna anledning i allmänhet vid personuppgiftsbehandling när den personuppgiftsansvarige är en myndighet. Detta utesluter dock inte att myndigheter baserar sin personuppgiftsbehandling för forskningsändamål på just samtycke, förutsatt att det inte före- ligger en betydande ojämlikhet av det slag som avses i skäl 43.

6.5Ytterligare behandling av personuppgifter som lämnats med stöd av samtycke

6.5.1Inledning

Ytterligare behandling av personuppgifter för forskningsändamål undantas i såväl personuppgiftslagen som dataskyddsförordningen från vissa delar av de krav som är förknippade med finalitetsprincipen. Vid bedömningen av undantaget tillkommer dock vissa särskilda överväganden som blir aktuella bara när personuppgiftsbehand- lingen grundas på samtycke.

6.5.2Personuppgiftslagen

Ytterligare behandling av personuppgifter för forskningsändamål har enligt 9 § andra stycket personuppgiftslagen en gynnad ställ- ning när det gäller undantag från den s.k. finalitetsprincipen. Denna princip fastställer att personuppgifter som huvudregel inte får be- handlas för ändamål som är oförenligt med det ursprungliga ända- mål för vilket uppgifterna samlades in. Behandling för vetenskap-

177

Behandling av personuppgifter med samtycke

SOU 2017:50

liga ändamål ska dock enligt det andra stycket inte anses oförenligt med de ändamål för vilka uppgifterna samlades in.

Detta medför att personuppgifterna vanligen får användas av samma personuppgiftsansvarig utan att ett nytt ändamål behöver anges. När det gäller användning av personuppgifter som lämnats med samtycke finns dock i förarbeten och kommentarer till person- uppgiftslagen resonemang som innebär en strängare tolkning i detta avseende. Det anförs att det som regel inte är acceptabelt att det för- troende som den registrerade visat genom det lämnade samtycket kränks genom att uppgifterna används för ett helt annat projekt med väsentligt annorlunda inriktning och syften. Såväl förarbeten27 som lagkommentaren till 9 § personuppgiftslagen28 anger att något förbud för återanvändning dock inte införts eftersom det kan finnas undantagsfall där samhällsintresset överväger.

Vad som utgör ett forskningsprojekt där ytterligare behandling har en väsentligt annorlunda inriktning och syften är en tolknings- fråga. Exempel på gränsdragningsproblematiken kan tas från den epidemiologiska forskningen om risker för specifika sjukdomar och för tidig död där det kan finnas anledning att granska såväl biolo- giska som sociala orsaker till ohälsa. Man kan exempelvis tänka sig att uppgifter som lämnats med samtycke avseende ändamålet att undersöka sambandet mellan fetma, kolesterolnivåer och hjärtsjuk- dom också, om information om socioekonomiska förhållanden läggs till, kan användas för att undersöka sambandet mellan sociala variabler som utbildning, inkomst, yrke och förekomsten av hjärt- och kärlsjukdom. Hela denna orsaksbild kan utgöra väsentlig infor- mation när det gäller hjärt- och kärlsjukdomarnas epidemiologi.

Huruvida ytterligare behandling i ett sådant socialmedicinskt projekt skulle anses vara av väsentligt annan karaktär än det ur- sprungliga är en bedömningsfråga som det enligt nuvarande praxis ankommer på en etikprövningsnämnd att ta ställning till. Etikpröv- ningsnämnden i fråga kan som villkor för den ytterligare behand- lingen kräva att ett nytt samtycke inhämtas. Etikprövningsförfaran- det behandlas närmare i kapitel 14.

27SOU 1997:39 s. 312 f.

28Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 9 § andra stycket.

178

SOU 2017:50

Behandling av personuppgifter med samtycke

6.5.3Dataskyddsförordningen

Såsom beskrivs i avsnitt 5.4 är personuppgiftsbehandling för forsk- ningsändamål genom artikel 5.1 b i likhet med dagens lagstiftning särskilt gynnad i dataskyddsförordningen genom att ytterligare behandling för forskningsändamål inte ska anses strida mot de ur- sprungliga ändamål för vilka uppgifterna samlades in. Vidare anges i skäl 50 i dataskyddsförordningen att detta ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Observera dock att undantaget från den s.k. finalitetsprincipen gäller i det fall behandlingen sker hos samma personuppgiftsansvarig, se avsnitt 5.4.4 för vidare resonemang kring denna förutsättning.

Vägledning kan utöver detta finnas i Europarådets rekommen- dation nr R(83) 10 om skydd för personuppgifter som används för vetenskaplig forskning och statistik:

4. Use of the data

4.1.Personal data obtained for research should not be used for any purpose other than research. In particular, they should not be used to make any decision or take any action directly affecting the person concerned, except within the context of the research or with the express consent of the person concerned.

4.2.Personal data collected for the purpose of a given research project and with the consent of the persons concerned should not be used in connection with another research project substantially different in its nature or objects from the first, except with their consent. However, where would be impracticable to obtain such consent by reason of the lapse of time or because of the large number of persons concerned, the previously collected data may be used in conformity with other safe- guards laid down by domestic law.

4.3.Both public and private bodies should have the right to use for their own research purposes the personal data which they hold for administrative purposes. If in the course of such research personal data are added to files already held by the administrative body, or its files are altered, these new files should not be made available to administrative personnel dealing with individual cases, except with the consent of the person concerned.

4.4.Personal data may be released by public or private bodies for the purpose of research only with the consent of the person concerned or in accordance with other safeguards laid down by domestic law.

179

Behandling av personuppgifter med samtycke

SOU 2017:50

Artikel 4.2 i Europarådets rekommendation förefaller överensstämma väl med överväganden i etikprövningsnämnderna där man tar hän- syn till de praktiska möjligheterna att inhämta ett nytt samtycke.

6.5.4Överväganden

Utredningens bedömning: Ytterligare behandling av person- uppgifter för forskningsändamål hos densamme personuppgifts- ansvarige ska inte anses vara oförenligt med de ursprungliga ändamålen även när uppgifterna samlats in med stöd av samtycke. Den personuppgiftsansvarige bör dock följa Europarådets rekom- mendation att inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet utan att ett nytt samtycke inhämtats där detta är lämpligt och praktiskt möjligt.

Enligt utredningens bedömning kan det, även om specifik reglering i förordningen saknas, finnas anledning att också i fortsättningen uppmärksamma de resonemang som tidigare förts om samtyckets särskilda ställning när det gäller rätten att ytterligare behandla person- uppgifter som lämnats med samtycke. Europarådets rekommenda- tion bör utgöra vägledning vid ytterligare behandling av person- uppgifter lämnade med samtycke.

6.6Samtycke tillsammans med annan rättslig grund

6.6.1Inledning

I ovanstående avsnitt har utredningen tagit ställning till att sam- tycke kan användas som rättslig grund enligt artikel 6.1 a för alla slags personuppgifter, även med hänsyn taget till formuleringarna i artikel 9.2 a. I detta avsnitt belyses samtyckets ställning och an- vändning när en annan rättslig grund samtidigt föreligger.

All laglig behandling av personuppgifter förutsätter en rättslig grund. Det kan samtidigt finnas mer än en rättslig grund för samma behandling. När den ena tillämpliga rättsliga grunden är samtycke kompliceras situationen, eftersom det knappast kan anses vara för- enligt med god sed vid personuppgiftsbehandling för forsknings-

180

SOU 2017:50

Behandling av personuppgifter med samtycke

ändamål att först grunda sin behandling på samtycke för att sedan vid behov åberopa till exempel allmänt intresse som grund för aktu- ell behandling. Formellt sett är dock detta tillåtet redan i dag och problematiken är känd. Förklaringen ligger i att det inte är möjligt att förbjuda behandling enligt någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen om villkoren i dem är uppfyllda.

Vid viss personuppgiftsbehandling kan således osäkerhet uppstå om vad som faktiskt utgör den rättsliga grunden för behandlingen. Artikel 29-gruppen har behandlat frågan om s.k. hybridsituationer avseende rättslig grund och beskriver detta som att det ofta kan vara svårt att avgöra om de offentliga myndigheternas behandling av personuppgifter på ett korrekt sätt bygger på den registrerades samtycke. Som exempel på en hybridsituation har artikel 29-gruppen beskrivit folkbokföring när en viss del av registreringen bygger på lagstadgat uppgiftslämnande medan andra delar är frivilliga.29

6.6.2Samtidig förekomst av de rättsliga grunderna samtycke och allmänt intresse

Av skäl 43 i dataskyddsförordningen framgår, som beskrivits ovan, att det många gånger kan råda en betydande ojämlikhet mellan den som efterfrågar samtycke och den som lämnar det. Skäl 43 pekar på att ojämlikhetsproblemet särskilt föreligger för ”offentliga myndig- heter”. Detta blir tydligt när myndigheten har en verksamhet som innebär myndighetsutövning gentemot den enskilde eller inom hälso- och sjukvård.

I enlighet med det resonemang som förs i kapitel 5 omfattas forskning normalt av den rättsliga grunden allmänt intresse. Om forskningen av allmänt intresse är fastställd i nationell rätt gäller denna lagstadgade rättsliga grund redan innan dess ett eventuellt samtyckesförfarande övervägs. Det torde enligt tidigare resone- mang inte föreligga någon prioritetsordning mellan de olika rättsliga grunder som anges i artikel 6.1. Det finns därmed inte skäl att ge den rättsliga grunden samtycke företräde framför allmänt intresse.

Ett giltigt samtycke innebär en frivillig, specifik, informerad och otvetydig viljeyttring (artikel 4.11). Den registrerade ska ha lämnat

29 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 38.

181

Behandling av personuppgifter med samtycke

SOU 2017:50

sitt samtycke för att behandlingen ska vara tillåten (artikel 6.1 a och 9.2 a), och har rätt att återkalla samtycket när som helst (arti- kel 7.3). Att ett återkallat samtycke verkligen innebär att behand- lingen upphör är ett av de oavvisliga kriterier som enligt utredning- ens bedömning bör användas för att avgöra om ett samtycke är giltigt och fungerar fullt ut.30 Om personuppgiftsbehandlingen skulle fortsätta att vara laglig genom att någon annan rättlig grund (exempelvis uppgift av allmänt intresse) samtidigt föreligger och åberopas kan inte rätten till återkallelse beaktas. Det kan därmed ifrågasättas huruvida samtycke är giltigt i dessa situationer.

6.7Sammanfattning

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. För- ordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, infor- merat och för känsliga personuppgifter uttryckligt, samt ska ges genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med personuppgifts- lagen.

Utredningen bedömer att artikel 9.2 a i dataskyddsförordningen, tillsammans med etikprövningslagen, innebär att det är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.

Skäl 33 innebär en utvidgning av det möjliga utrymmet för sam- tycke när syftet inte fullt ut kan identifieras vid insamlingstillfället. Skäl 43 innebär begränsningar, särskilt för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här om den i nationell rätt fastställda rättsliga grunden uppgift av allmänt intresse samtidigt förekommer.

Ytterligare behandling av personuppgifter för forskningsända- mål, där behandlingen ursprungligen grundats på samtycke, bör

30 A.a. s. 35.

182

SOU 2017:50

Behandling av personuppgifter med samtycke

enligt utredningens uppfattning normalt omfattas av inhämtande av nytt samtycke, oavsett om behandlingen sker hos samma eller hos en ny personuppgiftsansvarig forskningsaktör.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de situationer när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, och som innebär att samtyckets giltig- het kan ifrågasättas.

183

7 Känsliga personuppgifter

7.1Inledning

Av utredningens direktiv framgår följande:

Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett be- hov av kompletterande bestämmelser om behandling av känsliga person- uppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skydds- åtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kod- nycklar.1

Detta kapitel inleds med en genomgång av begreppet ”känsliga personuppgifter”, för att sedan gå igenom relevanta bestämmelser i dataskyddsförordningen (EU 2016/679) samt förslag från Data- skyddsutredningen (Ju 2016:04). Utifrån detta lämnar vi sedan över- väganden och förslag över kompletterande bestämmelser.

7.1.1Terminologi

Dataskyddsförordningen använder i rubriken till artikel 9 termen

”Särskilda kategorier av personuppgifter” för att hänvisa till person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

1 Dir. 2016:65 s. 11.

185

Känsliga personuppgifter

SOU 2017:50

Denna terminologi återkommer i förordningen, exempelvis i arti- kel 6.4 c, 27.2 a, 30.5, 35.3 b, 37.1 c och 47.2 d, samt även skäl 10, 51–54, 71, 80, 91, 97 och 112.

Samma term användes även i det nuvarande dataskyddsdirektivet (95/46/EG) med en definition i artikel 8. Jämfört med dataskydds- direktivet är dataskyddsförordningens definition något utökad och inkluderar även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning.

I det svenska genomförandet av det nuvarande dataskyddsdirek- tivet valdes termen ”känsliga personuppgifter” för att beteckna det som direktivet benämner ”särskilda kategorier av personuppgifter”.2

Anledningen till att man frångick direktivets terminologi i denna del har inte närmare berörts i personuppgiftslagens förarbeten,3 men termen ”känsliga uppgifter” har använts i den tidigare data- lagens förarbeten för att beteckna uppgifter med särskilt skydds- värde.4

Dataskyddsutredningen har i sitt förslag valt att behålla den in- arbetade termen ”känsliga personuppgifter”, särskilt i ljuset av att den fått visst fäste även på europeisk nivå, se t.ex. dataskydds- förordningens skäl 10 samt den s.k. artikel 29-gruppens Advice paper on special categories of data (“sensitive data”).5 Eftersom vårt uppdrag i denna del är att analysera behovet av kompletterande bestämmelser utöver vad bl.a. Dataskyddsutredningen kommer att föreslå har vi valt att använda Dataskyddsutredningens terminologi i denna del, även om förordningens direkta tillämplighet medför att rättstillämpningen måste hantera två olika termer för samma be- grepp. Med ”känsliga personuppgifter” avses således detsamma som dataskyddsförordningen avser med ”särskilda kategorier av person- uppgifter”.

2I sammanhanget bör nämnas att skäl 34 till direktivet använder termen ”känsliga kategorier av uppgifter” för att avse uppgifter på områden som exempelvis folkhälsa och socialskydd. Även skäl 70 till direktivet använder termen ”känsliga uppgifter”, dock utan närmare förklar- ing till vad som avses.

3Jfr SOU 1997:39 och prop. 1997/98:44.

4Prop. 1973:33 s. 121 f.

5Jfr SOU 2017:39, avsnitt 10.2.

186

SOU 2017:50

Känsliga personuppgifter

7.2Rättsliga förutsättningar

7.2.1Nuvarande reglering

Utgångspunkten i det nuvarande dataskyddsdirektivet är enligt artikel 8.1 att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

I artikel 8.2–8.4 finns det sedan undantag från förbudet att be- handla känsliga personuppgifter. Artikel 8.2 a innehåller ett undan- tag för när den registrerade lämnat sitt uttryckliga samtycke till sådan behandling utom när det enligt medlemsstatens lagstiftning anges att förbudet inte kan upphävas genom den registrerades sam- tycke. Artikel 8.4 tillåter medlemsstaterna att besluta om andra undantag under förutsättning av lämpliga skyddsåtgärder och av hän- syn till ett viktigt allmänt intresse. Att kunna genomföra samhälls- intressant forskning anses utgöra ett sådant viktigt allmänt intresse.6

När dataskyddsdirektivet infördes i svensk rätt genom person- uppgiftslagen (1998:204) fanns inte någon reglerad verksamhet med etikprövningsnämnder. Enligt den ursprungliga lydelsen av 19 § personuppgiftslagen fick känsliga personuppgifter behandlas för forsknings- och statistikändamål, om behandlingen var nödvän- dig på sätt som sägs i 10 § samma lag och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Det infördes en legal- definition av forskningsetikkommitté i personuppgiftslagen, vilken anknöt till ett existerande system för forskningsetisk granskning.7 Bestämmelsen i 19 § personuppgiftslagen utformades så att det fanns en presumtion för att ett godkännande av personuppgiftsbehand- lingen från en sådan kommitté också innebar att samhällsintresset av forskningsprojektet klart vägde över den risk för otillbörligt in- trång i enskildas personliga integritet som behandlingen kunde inne- bära (avvägningsnormen).

Enligt 9 § fjärde stycket personuppgiftslagen fick (och får) person- uppgifter som behandlas för bl.a. vetenskapliga ändamål användas

6Prop. 1997/98:44 s. 68.

7A.a. s. 71.

187

Känsliga personuppgifter

SOU 2017:50

för att vidta åtgärder i fråga om den registrerade bara om den regi- strerade har lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt förarbe- tena till personuppgiftslagen utgjorde denna regel en sådan skydds- åtgärd som avsågs i direktivets artikel 8.4. Även befintliga regler om sekretess och tystnadsplikt ansågs utgöra lämpliga skyddsåtgärder.8

Det system som reglerades i den ursprungliga lydelsen av 19 § personuppgiftslagen, med en frivillig godkännandeprocess genom en oberoende part i form av en forskningsetisk kommitté, be- nämndes dock inte i detta skede uttryckligen som en skyddsåtgärd i direktivets mening. Enligt förarbetena till personuppgiftslagen var det i första hand den personuppgiftsansvarige som hade att på eget ansvar tillämpa avvägningsnormen.9 I de fall där granskning av en forskningsetisk kommitté inte kommit till stånd infördes i stället ett krav i personuppgiftsförordningen (1998:1191) att behandlingen måste anmälas för förhandskontroll till Datainspektionen senast tre veckor i förväg.10

För undantag från förbudet att behandla känsliga personuppgif- ter för forskningsändamål krävdes vidare att behandlingen skulle vara nödvändig enligt 10 § personuppgiftslagen. Nödvändighets- kravet i 10 § går ut på att behandlingen ska vara nödvändig för att t.ex. en arbetsuppgift av allmänt intresse ska kunna utföras. Forsk- ning kan utgöra ett sådant allmänt intresse.11

I samband med inrättandet av etikprövningsnämndsinstitutet och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ändrades reglerna i 19 § personuppgiftslagen på så sätt att känsliga personuppgifter får behandlas för forsknings- ändamål om behandlingen har godkänts enligt etikprövningslagen. Därmed försvann forskarens möjlighet att själv tillämpa avvägnings- normen.12

Genom en senare lagändring innefattades även behandling av känsliga personuppgifter för forskningsändamål med den registrera- des samtycke i etikprövningslagens tillämpningsområde. Det faktum att personerna själva hade haft möjlighet att ta ställning till behand-

8Prop. 1997/98:44 s. 68.

9A.a. s. 127.

10Prop. 2002/03:50 s. 62.

11SOU 1997:39 s. 296 samt prop. 1997/98:44 s. 68 och 124.

12Prop. 2002/03:50 s. 173.

188

SOU 2017:50

Känsliga personuppgifter

lingen av personuppgifterna utgjorde enligt regeringens bedömning inte tillräcklig grund för att undandra forskningen från den kon- troll som en etikprövning innebar.13

Rättspraxis

Frågan om behandling av känsliga personuppgifter för just forsk- ningsändamål, och följdfrågor om lämpliga skyddsåtgärder, har inte varit föremål för domstolsavgöranden i högre instanser. Praxis från EU-domstolen ger dock viss vägledning i hur begreppet känsliga personuppgifter ska tolkas.14

I mål C-101/01 (konfirmandlärarmålet) klargjordes bl.a. att ut- trycket ”uppgifter som rör hälsa” ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa, och att en uppgift om att en person har skadat sin fot och är halvt sjukskriven utgör en personuppgift om hälsa.

I mål T-190/10 uttalade domstolen att ett påstående om att en person arbetat för en viss europaparlamentsledamot inte visats av- slöja denna persons politiska åsikter.15 Detta mål rörde inte tillämp- ningen av det nuvarande dataskyddsdirektivet, utan den förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitution- erna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Bedömningen av huruvida den aktuella uppgiften utgjorde en uppgift om en persons politiska åsikter torde dock vara tillämplig även för det nuvarande dataskydds- direktivet, utifrån skäl 11–14 i den aktuella förordningen.

I mål F-46/09, som rörde en anställningsansökan till Europa- parlamentet, avhandlades bl.a. överföring av medicinska uppgifter till tredje man utan den registrerades samtycke. Domstolen fann att parlamentets intresse av att försäkra sig om att den person som anställs kommer att klara av att utföra de arbetsuppgifter som han eller hon anförtros ska vägas mot hur allvarligt intrånget i den be- rörda personens rätt till respekt för privatlivet är, och att parlamen-

13Prop. 2007/08:44 s. 24 f. och 51.

14EU-domstolen i sina domskäl förhåller sig till det nuvarande dataskyddsdirektivet så används termen ”särskilda kategorier av personuppgifter”.

15T-190/10, punkt 101.

189

Känsliga personuppgifter

SOU 2017:50

tet kunde ha fullgjort sin uppgift på något annat sätt som hade varit mindre kränkande för sökandens grundläggande rättigheter.16

EU-domstolens praxis är inte heltäckande i frågan hur känsliga personuppgifter ska hanteras. Med vägledning från ovanstående kan man dock dra slutsatsen att begreppet, åtminstone vad gäller uppgifter om hälsa, ska ges en vid tolkning, och att man, även med ett legitimt intresse att behandla känsliga personuppgifter, som vid all personuppgiftsbehandling måste överväga möjliga mindre integri- tetskränkande sätt att tillgodose ett sådant intresse.

7.2.2Dataskyddsförordningen

Även enligt dataskyddsförordningen är huvudregeln i artikel 9.1 att behandling av känsliga personuppgifter är förbjuden. Från den huvud- regeln finns sedan i artikel 9.2 en lång rad undantag, där framför allt 9.2 a, g och j kan vara relevanta för forskningsändamål.

Behandling med stöd av samtycke

Det första av dessa undantag (artikel 9.2 a) anger att behandling får ske om den registrerade lämnat sitt uttryckliga samtycke för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstater- nas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade. I sammanhanget bör uppmärksammas förordningens skäl 43 som, även om det inte är bindande likt artikel 9.2 a,17 under- stryker att ett samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder bety- dande ojämlikhet mellan den registrerade och den personuppgifts- ansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Se vidare avsnitt 6.4.2.

16F-46/09, punkt 124–125.

17Se bilaga 3 för en översiktlig beskrivning av skillnaderna mellan skäl och artiklar.

190

SOU 2017:50

Känsliga personuppgifter

Nödvändig behandling av hänsyn till ett viktigt allmänt intresse

Ett annat undantag från förbudet att behandla känsliga personupp- gifter finns i artikel 9.2 g i dataskyddsförordningen, som möjliggör behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätt eller medlemsstaternas nationella rätt.

Personuppgiftsbehandling för forskningsändamål har vanligen sin rättsliga grund i artikel 6.1 e, eftersom forskning anses vara en uppgift av allmänt intresse. Frågan uppstår därför om behandling av känsliga personuppgifter för forskningsändamål i vissa fall kan anses vara nödvändig av hänsyn till ett viktigt allmänt intresse och därför tillåten med stöd av lagstiftning enligt artikel 9.2 g.

Som redovisats ovan har det nuvarande dataskyddsdirektivet en liknande utformning i artikel 8.4, där behandling av känsliga person- uppgifter kan tillåtas med stöd av nationell lagstiftning eller genom beslut av tillsynsmyndigheten, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. Det är med stöd av denna bestämmelse som 19 § personuppgiftslagen har införts.

Med tanke på att det i dataskyddsförordningens artikel 9.2 j finns en mer specialiserad bestämmelse som avser just behandling för bl.a. forskningsändamål gör vi bedömningen att nationell lag- stiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål ska anses göra det med stöd av den bestämmel- sen, inte artikel 9.2 g. Artikel 9.2 j behandlas i det nedanstående. Det bör dock understrykas att bägge dessa bestämmelser ställer upp samma funktionella krav på sådan nationell lagstiftning.

Nödvändig behandling för forskningsändamål

För forskning finns som ovan redovisats ett ytterligare undantag av betydelse i artikel 9.2 j, som anger att förbudet mot behandling av känsliga personuppgifter inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål och sker i enlighet med artikel 89.1. Behandlingen ska vidare ske på grundval av unionsrätten eller med- lemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundlägg- ande rättigheter och intressen. Artikel 9.2 j ställer alltså upp en rad

191

Känsliga personuppgifter

SOU 2017:50

villkor för sådan nationell lagstiftning som kan innehålla undantag från huvudregeln om att behandling av känsliga personuppgifter är förbjuden.

Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säker- ställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Artikeln framhåller vidare pseudonymisering som en sådan åtgärd, och anger att om forskningsändamålen går att uppfylla utan uppgifter som medger identifiering av de registrerade så ska dessa ändamål upp- fyllas på det sättet. Uppgifter som inte medger identifiering får en- ligt utredningen anses vara samma typ av information som i skäl 26 omnämns ”anonym information”, och omfattas alltså inte av för- ordningen.

Det är en förutsättning för laglig behandling av känsliga person- uppgifter för forskningsändamål att det föreligger ett giltigt undan- tag enligt artikel 9.2 j, och att behandlingen även omfattas av sådana skyddsåtgärder m.m. som krävs enligt artikel 89.1. Behandlingen måste, som all personuppgiftsbehandling för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5,18 och det måste finnas en rättslig grund för behandlingen enligt artikel 6.

7.2.3Dataskyddsutredningens förslag

Av utredningens direktiv framgår bl.a. följande:

Som nämnts tidigare finns det i personuppgiftslagen vissa undantags- bestämmelser från förbudet mot att behandla känsliga personuppgif- ter. […] I direktiven för Dataskyddsutredningen (dir. 2016:15) kon- stateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgifts- lagen. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.19

18För bl.a. forskningsändamål finns dock vissa undantag vad gäller principerna om ändamåls- begränsning och lagringsminimering.

19Dir 2016:65, s. 10 f.

192

SOU 2017:50

Känsliga personuppgifter

Dataskyddsförordningens krav på stöd i nationell rätt samt samtycke

Dataskyddsutredningen föreslår i den generella regleringen, angå- ende undantag från förbudet att behandla känsliga personuppgifter, i huvudsak följande. Förordningens krav på stöd i nationell rätt20 bör tolkas som att vissa av undantagen i sig ska föreskrivas i natio- nell rätt, antingen i generell eller i sektorsspecifik reglering. Detta särskilt utifrån skäl 52:

Undantag från förbudet att behandla särskilda kategorier av person- uppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i med- lemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta.

Vidare föreslår Dataskyddsutredningen att den registrerades sam- tycke även fortsättningsvis bör medföra att känsliga personuppgifter får behandlas.

Viktiga allmänna intressen och sökbegrepp som avslöjar känsliga personuppgifter

Angående möjligheten i artikel 9.2 g att göra undantag för viktiga allmänna intressen föreslår Dataskyddsutredningen att ett generellt undantag ska införas som tillåter myndigheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det eller om upp- gifter har lämnats till myndigheten och behandlingen krävs enligt annan lag.

Dessutom ska myndigheter få behandla känsliga personuppgif- ter om behandlingen är absolut nödvändig för ändamålet med be- handlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Dock föreslås ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter införas.

Enligt förslaget kommer regeringen att kunna meddela före- skrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

20 Detta torde främst röra sig om artikel 9.2 b, g, h, i, j samt 9.3.

193

Känsliga personuppgifter

SOU 2017:50

7.3Behandling av känsliga personuppgifter

7.3.1Gränsdragningen mellan känsliga och övriga personuppgifter

Dataskyddsförordningen förutsätter att det går att avgöra om en viss uppgift är känslig eller inte. Om uppgiften avslöjar vissa i arti- kel 9.1 angivna förhållanden är den känslig och ytterligare reglering i förordningen blir tillämplig. En praktisk svårighet med denna avgränsning är att en viss uppgift, som i isolation inte avslöjar ett sådant förhållande, ändå tillsammans med andra uppgifter samman- taget kan avslöja sådana förhållanden som gör att det är fråga om en känslig uppgift.

Med stora datamängder ökar förstås denna möjlighet. Inte minst möjligheten att göra förutsägelser om en persons förhållanden gör att gränsdragningen mellan vanliga och känsliga uppgifter blir oklar, särskilt i s.k. ”big data”-sammanhang.21

När det gäller frågan om huruvida en viss uppgift alls utgör en personuppgift ska man beakta om den avser en fysisk person som direkt eller indirekt går att identifiera. Detta leder till att en samman- ställning av olika uppgifter, som var och en för sig inte utgör person- uppgifter, tillsammans ändå kan identifiera en viss fysisk person. Konstellationen av uppgifter utgör därmed personuppgifter.

När det däremot gäller gränsdragningen mellan ”övriga” och känsliga personuppgifter återfinns inte någon skrivning om huru- vida uppgiften ”direkt eller indirekt” avslöjar något av de i artikeln angivna förhållandena. I svensk rätt har det dock i flera fall ansetts att uppgifter i kombination har utgjort känsliga personuppgifter.22

Denna svårighet att avgöra om en samling personuppgifter ut- gör eller kan avslöja känsliga uppgifter kan förväntas vara särskilt relevant i forskningssammanhang, särskilt när forskningen under- söker samband mellan olika variabler.

21Se särskilt SOU 2016:41, s. 576 ff.

22Se exempelvis SOU 2001:100 s. 93 (språkkunskaper i kombination med namn kan avslöja etnisk härkomst) och prop. 2008/09:70 s. 142 (passhandlingar innehåller bild som i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung).

194

SOU 2017:50

Känsliga personuppgifter

7.3.2Krav på lagstiftning om undantag

Det nuvarande dataskyddsdirektivet innehåller, som framkommit ovan, ingen uttrycklig reglering av undantag från förbudet att be- handla känsliga personuppgifter för forskningsändamål. I stället har den svenska regleringen använt sig av möjligheten till undantag enligt artikel 8.4, som förutsätter hänsyn till ett viktigt allmänt intresse, samt lämpliga skyddsåtgärder för att medlemsstaterna an- tingen i sin nationella lagstiftning eller genom ett beslut av tillsyns- myndigheten ska få besluta ett sådant undantag.

Dataskyddsförordningen ger däremot en explicit möjlighet till undantag för behandling av känsliga personuppgifter för forsk- ningsändamål i artikel 9.2 j, under förutsättning att behandlingen är nödvändig för forskningsändamål och att den sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsent- liga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrera- des grundläggande rättigheter och intressen.

Dataskyddsförordningens krav på den nationella lagstiftningen för att motsvarande behandling ska vara tillåten är således betydligt mer detaljerade än det nuvarande dataskyddsdirektivet. Det saknas även möjligheter för tillsynsmyndigheten att i enskilda fall besluta om undantag. Det är därför nödvändigt att göra en förutsättnings- lös bedömning av vad som krävs för att uppfylla förordningens krav, utan att förlita sig på den nuvarande nationella lagstiftningens förenlighet med nuvarande dataskyddsdirektiv.

Krav i artikel 9.2 j i dataskyddsförordningen

Artikel 9.2 har i relevanta delar följande lydelse:

2. Punkt 1 ska inte tillämpas om något av följande gäller: […]

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål i enlighet med artikel 89.1, på grundval av unionsrätten eller med- lemsstaternas nationella rätt, vilken ska stå i proportion till det efter- strävade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen.

195

Känsliga personuppgifter

SOU 2017:50

Första delen av vår bedömning utgår från hur artikel 9.2 j är formu- lerad, och går igenom varje led i den formuleringen för sig. Varje underrubrik i det följande motsvarar ett led i artikel 9.2 j.

Behandlingen är nödvändig

Begreppet ”nödvändig” i det nuvarande dataskyddsdirektivet har tolkats som att det, för att en behandling ska anses nödvändig, inte krävs att det ska vara faktiskt omöjligt att underlåta behandlingen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna.23 Begreppets användning i dataskydds- förordningens artikel 6.1 har analyserats i avsnitt 5.2.2. Utred- ningen har inte funnit något som tyder på att begreppet ska tolkas annorlunda i det nu aktuella sammanhanget. Det torde således inte finnas någon anledning att anta att begreppet skulle ha någon annan innebörd i dataskyddsförordningen.

För vetenskapliga eller historiska forskningsändamål

En utgångspunkt för bedömningen av vad som utgör forsknings- ändamål är skäl 159 i dataskyddsförordningen, som bl.a. anger att behandling av personuppgifter för vetenskapliga forskningsändamål i denna förordning bör ges en vid tolkning. För utredningens be- dömning av vad som utgör forskningsändamål hänvisas till kapitel 3 om begreppen forskning och forskningsändamål.

På grundval av unionsrätten eller medlemsstaternas nationella rätt

Med ”medlemsstaternas nationella rätt” bedömer vi, i enlighet med Dataskyddsutredningen, att detta kräver att undantagen föreskrivs i nationell rätt (jfr skäl 52).

23 SOU 1997:39 s. 362.

196

SOU 2017:50

Känsliga personuppgifter

Som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd

Dessa kriterier torde inte ha någon självständig betydelse, utan ut- gör just en allmän påminnelse om proportionalitetsprincipen samt att nationell rätt måste vara förenlig med unionsrätten och vikten av detta i bedömningen av undantag reglerade i nationell rätt. Frå- gan om den föreslagna regleringens proportionalitet behandlas i kapitel 13.

Samt innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen

Ett föreskrivet undantag från huvudregeln att behandling av käns- liga personuppgifter är förbjuden måste förses med skyddsåtgärder. Av artikelns sista led följer att dessa skyddsåtgärder måste föreskrivas i unionsrätten eller i den nationella rätten. Den enda skyddsåtgärd som regleras i dataskyddsförordningen i någon närmare utsträck- ning är pseudonymisering, som definieras i artikel 4.5.

Med åtgärder kan förstås såväl tekniska som organisatoriska åtgärder samt det som vi betecknar som rättsliga skyddsåtgärder, exempelvis lagkrav på etikprövning eller sekretessbestämmelser. Eftersom kravet är att åtgärderna ska finnas reglerade i författning är utgångspunkten att det är fråga om åtgärder i form av sådana rättsliga skyddsåtgärder, men att dessa i sin tur kan medföra krav på tekniska och organisatoriska åtgärder. Dessa åtgärder behandlas mer ingående i kapitel 12.

Krav i artikel 89.1

Artikel 89.1 har följande lydelse:

1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den regi- strerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att sär- skilt principen om uppgiftsminimering iakttas. Dessa åtgärder får in- begripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identi- fiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

197

Känsliga personuppgifter

SOU 2017:50

De skyddsåtgärder som krävs av artikel 89.1 behöver enligt artikelns lydelse inte införas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behand- lingen av personuppgifter för bl.a. forskningsändamål.

Kravet på skyddsåtgärder gäller behandling av alla kategorier av personuppgifter för forskningsändamål, inte bara känsliga person- uppgifter. Att det dessutom finns en hänvisning till dessa krav från artikel 9.2 j torde inte ha en självständig betydelse, utan i stället ut- göra en påminnelse om att dessa krav är grundläggande för all person- uppgiftsbehandling för forskningsändamål. Varje underrubrik i det följande motsvarar ett led i artikel 89.1.

Behandling ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter

Kraven på skyddsåtgärderna är i första hand att de ska vara lämpliga, och att de är till just för att skydda den registrerades grundläggande rättigheter och friheter. I detta sammanhang kan då särskilt upp- märksammas att vissa specifika rättigheter i artiklarna 15–18 samt 21 kan inskränkas just för forskningsändamål, enligt artiklarna 89.2 samt 17.3 d. Undantagen får dock inte medföra att lämpliga skydds- åtgärder inte tillämpas.

Vad gäller lämplighetsbedömningen ställer artikel 32.1 upp ett antal kriterier för säkerställande av lämplig säkerhetsnivå, bl.a. ut- ifrån de risker som behandlingen medför. Dessa behandlas närmare i kapitel 12.

Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen

om uppgiftsminimering iakttas

Principen om uppgiftsminimering framgår av artikel 5.1 c och fast- ställer att uppgifter som inte behöver behandlas för det definierade ändamålet inte heller ska behandlas. Det framgår även vidare av artikel 25.2 att den personuppgiftsansvarige generellt ska genom- föra lämpliga tekniska och organisatoriska åtgärder för att, i standard- fallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. I forsknings-

198

SOU 2017:50

Känsliga personuppgifter

sammanhang kan det emellertid vara svårt att på förhand avgränsa den mängd uppgifter som är adekvata och relevanta. I samman- hanget bör påpekas att det för bl.a. forskningsändamål går att göra undantag från den närliggande principen om lagringsminimering enligt artikel 5.1 e, under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs.

Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet

Detta krav framhåller pseudonymisering som skyddsåtgärd på ett sådant sätt att det finns anledning att i nationell reglering särskilt föreskriva att pseudonymisering ska övervägas. Meningens andra led tydliggör dock att pseudonymisering inte behöver användas om forskningsändamålet inte kan uppfyllas med en sådan skydds- åtgärd. I avsnitt 12.3.3 beskrivs pseudonymisering närmare, bl.a. i vilka fall användandet av denna skyddsåtgärd kan försvåra eller omöjliggöra forskning.

När dessa ändamål kan uppfyllas genom vidare behandling

av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet

Det avslutande kravet i artikel 89.1 får anses vara en påminnelse om nödvändighetskravet i artikel 6.1 e och 9.2 j, eftersom behandlingen av personuppgifter inte kan anses nödvändig om ändamålet kan uppnås med uppgifter som inte längre medger identifiering.

När forskningsändamålet kan uppnås genom behandling av uppgifter som inte längre medger identifiering är det, enligt skäl 26, fråga om anonym information, och alltså inte längre fråga om person- uppgiftsbehandling. I sammanhanget kan uppmärksammas att arti- kel 89.1 är det enda stället i förordningen där ”further processing”

översätts med ”vidare behandling” i den svenska versionen. I övriga delar av förordningen översätts samma uttryck med ”ytterligare behandling” (jfr exempelvis artikel 5.1 b).

199

Känsliga personuppgifter

SOU 2017:50

7.4Överväganden och förslag

7.4.1Tillåten behandling av känsliga personuppgifter

Utredningens förslag: En bestämmelse ska införas i forsknings- datalagen som anger att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behand- lingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen om etikprövning av forskning som av- ser människor.

Som framgått behövs det kompletterande reglering i nationell rätt för att behandling av känsliga personuppgifter för forskningsända- mål ska vara möjlig.

Utredningen föreslår därför en bestämmelse i forskningsdata- lagen som tillåter sådan behandling när denna är nödvändig för att uppnå ändamålet. Med nödvändig behandling avses detsamma som i dataskyddsförordningens artikel 9.2 j.

Dataskyddsförordningen anger vidare att sådan nationell regler- ing ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Utredningens bedömning av lämplig och särskild skydds- åtgärd för behandling av känsliga personuppgifter för forsknings- ändamål behandlas i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehandling för forskningsändamål.

7.5Sammanfattning

I detta avsnitt har vi behandlat känsliga personuppgifter, dess bety- delse i forskningssammanhang och dataskyddsförordningens krav på lagstiftning som tillåter behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en generell tillåtlighetsregel när känsliga personuppgifter behandlas för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.

200

8Personuppgifter

om lagöverträdelser m.m.

8.1Inledning

I artikel 10 i dataskyddsförordningen (EU 2016/679) regleras ”per- sonuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Motsvarande term i det nuvarande dataskyddsdirektivet (95/46/EG) finns i arti- kel 8.5 och lyder ”uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder”. Det framgår inte om någon saklig skillnad

är avsedd i förordningen jämfört med direktivet. Skillnaden i de engelska språkversionerna är ännu mindre, ”personal data relating to criminal convictions and offences or related security measures” respektive ”data relating to offences, criminal convictions or security measures”. Sverige har lämnat in en begäran om rättelse av den svenska språkversionen av dataskyddsförordningen till rådet, där

“överträdelser” föreslås ersättas av “lagöverträdelser som innefattar brott”. Någon rättelse har i nuläget inte skett.

Dataskyddsdirektivets bestämmelser har genomförts genom 21 § personuppgiftslagen (1998:204), som under rubriken ”Uppgif- ter om lagöverträdelser m.m.” anger ”personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden”.

Vi har i det nedanstående valt att använda oss av en förtydli- gande variant av den beteckning som används i personuppgifts- lagen, nämligen ”personuppgifter om lagöverträdelser m.m.”

Vad gäller den nuvarande svenska regleringen infördes ”admi- nistrativa frihetsberövanden” i begreppet med stöd av direktivets möjlighet i artikel 8.5 för medlemsstater att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också

201

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

ska behandlas under kontroll av en myndighet. Vi återkommer nedan till vilket utrymme förordningen ger för en liknande reglering.

8.2Rättsliga förutsättningar

8.2.1Nuvarande reglering

Behandling av personuppgifter om lagöverträdelser m.m. regleras i dag i 21 § personuppgiftslagen, som har följande lydelse:

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har god- känts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om undantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

När dataskyddsdirektivet införlivades i svensk rätt genom person- uppgiftslagen fanns det ursprungligen en möjlighet när det gällde behandling av känsliga personuppgifter för forskningsändamål för forskare att själva tillämpa en avvägning mellan värdet av forskningen och intrånget i den enskildes integritet (avvägningsnormen). Känsliga personuppgifter fick behandlas för forsknings- och statistikändamål, om behandlingen var nödvändig på sätt som sägs i 10 § personupp- giftslagen och om samhällsintresset av det forsknings- eller statistik- projekt där behandlingen ingår klart vägde över den risk för otillbör- ligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Hade behandlingen godkänts av en forskningsetikkommitté skulle de angivna förutsättningarna anses vara uppfyllda. Motsvar- ande möjlighet fanns inte för uppgifter om lagöverträdelser m.m., utan i stället infördes ett bemyndigande för regering och tillsyns- myndighet att meddela undantag från förbudet för andra än myndig- heter att behandla sådana uppgifter, antingen i föreskriftsform eller

202

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

genom beslut om enskilda behandlingar.1 Lagens förarbeten tog inte upp frågan om behandling av sådana uppgifter för forskningsändamål.

Någon förändring ägde inte rum i samband med att etikpröv- ning infördes vad gäller personuppgiftslagens reglering för person- uppgifter om lagöverträdelser m.m. För känsliga personuppgifter ändrades regleringen så att ett godkännande enligt etikprövnings- lagen i sig utgjorde tillräcklig grund för att behandla sådana uppgifter. Däremot innehöll den nya etikprövningslagen en bestämmelse i 3 § som angav att lagen var tillämplig på uppgifter om lagöverträdelser m.m. För att behandla sådana uppgifter för forskningsändamål utan den registrerades samtycke krävdes därmed dels ett tillämpligt undantag meddelat av regeringen eller tillsynsmyndigheten, dels ett godkännande enligt etikprövningslagen.2

När etikprövningslagen ändrades år 2008 infördes en bestämmelse i 21 § personuppgiftslagen som tog bort dessa dubbla krav och inne- bar att personuppgifter om lagöverträdelser m.m. fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen.3 Detta motiverades av att forskningshuvudmän som inte är myndigheter inte skulle behöva såväl beslut av regering eller tillsynsmyndighet om undantag som godkännande från etikprövningsnämnd. I sammanhanget uttalades även att etikprövning fick anses uppfylla direktivets krav på till- räckliga skyddsåtgärder, och att det därför inte också behövdes ett särskilt undantagsbeslut från regering eller tillsynsmyndighet.4

Rättspraxis

EU-domstolen har inte särskilt behandlat dataskyddsdirektivets artikel 8.5. Svenska domstolar har i några fall berört frågor om be- handling av uppgifter om lagöverträdelser m.m. I HFD 2014:32 rörde frågan domstols publicering av uppropslistor i bl.a. brottmål på internet. I NJA 2015 s. 180 var fråga om privat behandling av uppgifter om brott. Slutligen berördes i HFD 2016:8 tillsynsmyndig-

1Prop. 1997/98:44 s. 73 f.

2Prop. 2002/03:50 s. 102 och 112.

3Lag (2008:187) om ändring i personuppgiftslagen (1998:204).

4SOU 2005:78 s. 70 f. (det är dock värt att notera att direktivet ställer kravet att skyddsåtgärder ska vara ”lämpliga och särskilda”, inte ”tillräckliga”).

203

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

hetens möjlighet att meddela undantag från förbud att behandla uppgifter om lagöverträdelser. Inget av dessa mål tar dock särskilt sikte på behandling av uppgifter om lagbrott för just forsknings- ändamål. Sammanfattningsvis har svenska domstolar tolkat det tillåtna utrymmet för behandling av uppgifter om lagöverträdelser m.m. relativt snävt.

8.2.2Dataskyddsförordningen

Personuppgifter om lagöverträdelser m.m. regleras i dataskydds- förordningens artikel 10, som har följande lydelse:

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då be- handling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och fri- heter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Skäl 97 i dataskyddsförordningen anger bl.a. att när den person- uppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om data- skyddslagstiftning och -förfaranden bistå den personuppgiftsansva- rige eller personuppgiftsbiträdet för att övervaka den interna efter- levnaden av denna förordning.

Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling för forsk- ningsändamål är möjliga i nationell lagstiftning, precis som alla andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fast- ställda.

Behandlingen måste dock alltjämt, som vid all behandling av personuppgifter för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5, och det måste finnas en rättslig grund för behandlingen enligt artikel 6.

En viktig begränsning av dataskyddsförordningens definition, jämfört med det nuvarande dataskyddsdirektivet, är att endast fäll- ande domar i brottmål omfattas. Friande domar i brottmål faller

204

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

därmed utanför definitionen. I praktiken synes det dock vanskligt att dra en sådan gräns. Uppgifter som förekommer i en friande brottmålsdom kan ofta fortfarande utgöra uppgifter om överträdel- ser, exempelvis i de fallen där den friande domen bygger på att pre- skription inträtt.

Dataskyddsdirektivet inkluderar ”lagöverträdelser” i definitionen, medan dataskyddsförordningen endast hänvisar till ”överträdelser”.

Någon förändring i sak torde dock inte vara avsedd.5 I svensk rätt har faktiska iakttagelser av en persons handlande inte ansetts utgöra uppgifter om lagöverträdelser,6 men däremot uppgifter om miss- tankar i de fall som ligger nära faktiska iakttagelser.7

För att forskningsaktörer som inte är myndigheter alls ska kunna behandla uppgifter om lagöverträdelser m.m. för forskningsända- mål måste alltså detta tillåtas i unionsrätten eller nationell rätt.

8.2.3Regleringen i 2016 års dataskyddsdirektiv

Personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verk- ställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten är undantagna från dataskyddsförordning- ens tillämpningsområde.8 För sådan behandling är i stället 2016 års dataskyddsdirektiv tillämpligt.9 Direktivet får betydelse för forsk- ningen eftersom det kommer vara direktivet som styr hur dessa myndigheter får lämna ut uppgifter för forskningsändamål. Den utredning (Ju 2016:06) som tillsattes för att föreslå hur detta direk- tiv ska genomföras i svensk rätt har bl.a. haft i uppdrag att lämna förslag till en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde.10 Utredningen överlämnade betän- kandet Brottsdatalag (SOU 2017:29) till regeringen den 5 april 2017.

5SOU 2017:39 avsnitt 11.3.

6SOU 1997:39 s. 380.

7Datainspektionens beslut 2005-08-30, dnr 1020-2005 och 2011-05-11, dnr 1563-2010, se även HFD 2016:8.

8Se artikel 2.2 d i dataskyddsförordningen.

9Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

10Dir. 2016:21.

205

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

8.2.4Dataskyddsutredningens förslag

Av våra direktiv framgår bl.a. följande:

Dataskyddsutredningen har i uppdrag att analysera i vilken utsträck- ning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.11

Dataskyddsutredningen har gjort bedömningen att den möjlighet för regering eller tillsynsmyndighet att meddela undantag från för- budet att behandla uppgifter om lagöverträdelser m.m. som i dag finns i 21 § tredje och fjärde stycket personuppgiftslagen ska kvarstå.

Dataskyddsutredningen har vidare gjort bedömningen att det inte finns stöd i förordningen för att föreskriva ett förbud för andra än myndigheter mot behandling av personuppgifter om administra- tiva frihetsberövanden. Sådana uppgifter ingår i dag i tillämpnings- området för 21 § personuppgiftslagen.

8.3Kraven på behandlingen och lagstiftningen

Vi analyserar i denna del de krav som framställs i dataskyddsförord- ningens artikel 10, led för led. Varje underrubrik i det följande motsvarar ett led i artikel 10.

Får endast utföras under kontroll av myndighet

I förarbetena till motsvarande bestämmelser i personuppgiftslagen uttalades bl.a. att myndigheter mycket ofta behöver hantera upp- gifter om lagöverträdelser m.m. för att kunna fullgöra de samhälls- uppdrag som lagts på dem, och att myndigheter får hantera denna typ av uppgifter i sådan mån som framgår av de föreskrifter som reglerar respektive myndighets verksamhet.12 Det framgår inte från förordningen att tillåten behandling är begränsad till behandling i samband med myndighetsutövning. Vår bedömning är därför att behandling även för forskningsändamål under kontroll av myndig- het kan falla in under tillåten behandling enligt huvudregeln. Som alltid gäller dock att kraven i både artikel 5 och 6 måste vara upp- fyllda.

11Dir. 2016:65 s. 11.

12SOU 1997:39 s. 382.

206

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

Eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt

Motsvarande reglering finns i artikel 8.5 i nuvarande dataskydds- direktivet, men direktivet ger endast möjlighet att föreskriva tillå- ten behandling i nationell rätt.

Där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Motsvarande formulering i artikel 8.5 i dataskyddsdirektivet är

”som innehåller lämpliga och specifika skyddsåtgärder”. Det framgår inte om ändringen från ”lämpliga och specifika” till endast ”lämp- liga” är avsedd att utgöra någon reell skillnad. Frågan om direkti- vets ramar för undantag utreddes inte särskilt inför införandet av personuppgiftslagen.13

Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet

Begränsningen av möjligheten till undantag vad gäller förbudet för annan än myndighet att föra fullständigt register över fällande domar i brottmål är i princip oförändrat jämfört med nuvarande data- skyddsdirektiv.14 Det framgår inte på vilket sätt ett register kan vara fullständigt – är ett register som har fällande brottmålsdomar för samtliga domstolar i medlemsstaten under en begränsad tidsperiod

”fullständigt” i förordningens betydelse, eller hur mycket historisk information krävs? Är ett register över samtliga överinstansers fäll- ande brottmålsdomar fullständigt, eller krävs även samtliga under- instanser? Vad gäller svenska förhållanden finns ingen myndighet som har ett fullständigt register om man kräver fullständighet både vad gäller tidsperioder och instanser. Däremot strävar flera kommersi- ella rättsinformationsdatabaser efter att erbjuda samtliga domar.15

13SOU 1997:39 s. 381.

14Lydelsen i artikel 8.5 i nuvarande dataskyddsdirektiv är ”Ett fullständigt register över brott- målsdomar får dock föras endast under kontroll av en myndighet” – jämfört med artikel 10 i dataskyddsförordningen har endast ordet ”dock” strukits.

15Pressmeddelande från InfoTorg: ”Förutom att tjänsten innehåller samtliga domar från de högsta instanserna samt hovrätts- och kammarrättsavgöranden kommer InfoTorg Juridik att under våren 2012 utökas med fler domar från tingsrätterna. Vi får en totalteckning på även brott- och tvistemål vilket är mycket efterfrågat.”, www3.infotorg.se/Kampanjer/Forbattringar-i- InfoTorg-Juridik-2012/

207

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

I sammanhanget kan även uppmärksammas ”Rådets slutsatser om uppmaning att införa European Case Law Identifier (ECLI) och en minimiuppsättning enhetliga metadata för rättspraxis”,16 som bl.a. förordar att ett gemensamt gränssnitt i den europeiska e-juridikportalen införs, och att det via detta gränssnitt ska vara möj- ligt att göra alla medlemsstaternas tillhandahållna rättsliga avgöranden sökbara.17

8.4Överväganden och förslag

Utredningens förslag: En bestämmelse ska införas i forsknings- datalagen som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straff- processuella tvångsmedel får med stöd av artikel 10 i dataskydds- förordningen behandlas för forskningsändamål av andra än myn- digheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen om etikprövning av forskning som avser människor.

Som framgått behövs kompletterande reglering i nationell rätt för att behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål av andra än myndigheter ska vara möjlig.

Utredningen föreslår därför en bestämmelse i forskningsdata- lagen som tillåter sådan behandling när denna är nödvändig för att uppnå forskningsändamålet. Artikel 10 innehåller inte något krav på att behandlingen ska vara nödvändig, detta följer dock av artikel 6.1 e.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Utred- ningens bedömning av lämplig skyddsåtgärd för behandling av person- uppgifter om lagöverträdelser m.m. för forskningsändamål behand- las i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehand- ling för forskningsändamål.

Tillämpningsområdet för artikel 10 är, som ovan beskrivits, snävare än för nuvarande reglering i 21 § personuppgiftslagen.

16Detta inkluderar bl.a. uppgifter om domstolens fullständiga namn, territoriell behörighet, avgörandedatum, språk, och typen av avgörande.

17EUT C 127, 29.4.2011, s. 1–7, punkt 17.

208

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

Framför allt faller friande domar i brottmål samt uppgifter om administrativa frihetsberövanden utanför tillämpningsområdet för artikel 10. Att i vår kompletterande reglering till dataskyddsförord- ningen använda tillämpningsområdet för artikel 10 innebär att be- handling av vissa personuppgifter som i dag omfattas av särskilda skyddsåtgärder enligt 21 § personuppgiftslagen inte är förenade med samma skydd. Vi anser inte att en sådan försämring av den registrerades skydd är befogat, även med beaktande av intresset av en harmoniserad reglering av persondataskyddet. Vi anser vidare att det går att införa krav på sådana särskilda skyddsåtgärder även för behandling av uppgifter som faller utanför tillämpningsområdet för artikel 10, med stöd av nationell rätt i form av etikprövningslagen, se utredningens överväganden och förslag i avsnitt 14.4.5.

8.5Sammanfattning

I detta avsnitt har vi behandlat personuppgifter om lagöverträdelser m.m., hur detta begrepp har förändrats gentemot dagens reglering, och vilka förutsättningar som gäller för forskning som innefattar behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en tillåtlighetsregel när sådana personuppgifter behandlas av andra än myndigheter för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.

209

9Personnummer

och samordningsnummer

9.1Inledning

Personnummer eller samordningsnummer utgör formellt sett inte känsliga personuppgifter, men har ända sedan datalagen (1973:289) specialreglerats i samband med personuppgiftsbehandling. Reger- ingen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samkörning av register och liknande, kan uppfattas som integri- tetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.1

För forskningens behov har personnummersystemet möjliggjort inte minst avancerad registerforskning med exempelvis insamlat forskningsmaterial, som tack vare personnummer kan kombineras med information från myndighetsregister, och historiska uppgifter som kan användas för nytillkomna frågeställningar med tillförande av ny information insamlad från de registrerade. Viktiga frågeställ- ningar kan därmed belysas snabbt och kostnadseffektivt med hjälp av redan insamlat material.2 Samtidigt har det utvecklats en praxis som innebär att personnummerhantering omgärdas av omfattande skyddsåtgärder, med registerhållande myndigheter som ofta undvi- ker att lämna ut personnummer direkt till forskare, för att i stället ersätta dessa med exempelvis löpnummer eller andra identifierare som inte kan härledas till personnumret.

1Prop. 1990/91:60 s. 69.

2SOU 2014:45 s. 103.

211

Personnummer och samordningsnummer

SOU 2017:50

9.2Rättsliga förutsättningar

9.2.1Nuvarande reglering

Det nuvarande dataskyddsdirektivet (95/46/EG) innehåller inte några regler om personnummer eller samordningsnummer som är tvingande för medlemsstaterna. Artikel 8.7 i dataskyddsdirektivet anger dock att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller andra vedertagna identifie- rare får behandlas.

Artikel 8.7 har genomförts genom 22 § personuppgiftslagen (1998:204), som anger att personnummer eller samordningsnum- mer endast får behandlas med samtycke eller när det är klart moti- verat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Regeringen har i 50 § c samma lag bemyndigats att meddela närmare föreskrifter om hur och när personnummer eller samordningsnummer får be- handlas.

Det saknas särskild reglering kring behandling av personnum- mer för just forskningsändamål. Personnummer är inte heller en kategori av uppgifter som enligt 3 § lagen (2003: 460) om etikpröv- ning av forskning som avser människor (etikprövningslagen) med- för särskilt krav på etikprövning när personuppgifter behandlas för forskningsändamål.

9.2.2Dataskyddsförordningen

Artikel 87 i dataskyddsförordningen (EU 2016/679) motsvarar arti- kel 8.7 i det nuvarande dataskyddsdirektivet och anger att medlems- staterna får närmare bestämma på vilka särskilda villkor ett natio- nellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Sådana uppgifter får i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder.

9.2.3Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår en generell reglering som motsva- rar dagens bestämmelse i personuppgiftslagen, med identiska krite- rier för när personnummer och samordningsnummer får behandlas.

212

SOU 2017:50

Personnummer och samordningsnummer

Dataskyddsutredningen föreslår även att regeringen ska bemyndi- gas att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten, vilket även det motsvarar det bemyndigande som återfinns i personuppgiftslagen.3

9.3Överväganden

Den reglering som Dataskyddsutredningen föreslår innehåller samma direkt tillämpliga villkor som återfinns i gällande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.

Den föreslagna regleringen innehåller, likt den nuvarande, ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om i vilka fall använd- ning av personnummer är tillåten. Datainspektionen har tidigare inte meddelat sådana föreskrifter, men regeringen har i förordningsform beslutat vissa registerförfattningar som särskilt anger att person- nummer får behandlas.

Vi gör bedömningen att rättsläget för användning av person- nummer för forskningsändamål inte ändras i och med Dataskydds- utredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnum- mer ska vara tillåten, och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar eller för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.

9.4Sammanfattning

Beroende på forskningens inriktning och metodik kan behandling av personnummer vara central. Samtidigt har behandling av person- nummer sedan länge betraktats som något som om möjligt bör und- vikas av integritetshänsyn.

Utredningen anser att den reglering som Dataskyddsutred- ningen föreslår, och som väsentligen överensstämmer med dagens

3 SOU 2017:39 avsnitt 12.4.

213

Personnummer och samordningsnummer

SOU 2017:50

reglering, är ändamålsenlig och att de villkor som ställs upp för när behandling av personnummer är tillåten även stämmer överens med forskningens generella behov.

Utredningen finner därför inte något behov av att föreslå kom- pletterande lagstiftning i denna del.

214

10Vissa begränsningar

av registrerades rättigheter

10.1Inledning

I tredje kapitlet (artiklarna 12–23) i dataskyddsförordningen (EU 2016/679) anges den registrerades rättigheter i samband med att personuppgifter behandlas. Dessa rättigheter kan under vissa förut- sättningar begränsas.

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstift- ningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som av- ses i artikel 89.1.

10.1.1Utredningens uppdrag

Det är av stor vikt att bestämmelserna som reglerar personuppgifts- behandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter beaktas. Detta för att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Utredningen har mot denna bakgrund i uppdrag att analysera om det, utöver den generella reglering på nationell nivå som Data- skyddsutredningen (Ju 2016:04) föreslår, finns ett behov av undan- tag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för forskningsändamål och hur sådana undantag i så fall bör utformas.

215

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

10.1.2Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår undantag från registrerades rättig- heter med stöd av två olika artiklar i dataskyddsförordningen.

För det första har Dataskyddsutredningen analyserat behovet av att göra undantag i syfte att säkerställa vissa särskilt viktiga intressen i enlighet med artikel 23.1. Det rör sig om undantag för den natio- nella säkerheten (punkt a), försvaret (punkt b), den allmänna säker- heten (punkt c), åtgärder med anknytning till brottsbekämpning (punkt d), viktiga mål av generellt allmänt intresse (punkt e), skydd av rättsväsendet (punkt f), etiska regler för lagreglerade yrken (punkt g), vissa tillsyns-, inspektions- eller regleringsfunktioner (punkt h), skydd av den registrerades eller andras rättigheter och friheter (punkt i) samt verkställighet av civilrättsliga krav (punkt j).

Med stöd av ovanstående föreslår Dataskyddsutredningen gene- rella undantag från rätten till tillgång för uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade, att rätten till registerutdrag inte ska omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning (med vissa undantag), samt att regeringen ska bemyndigas att meddela före- skrifter om ytterligare undantag från vissa av förordningens skyl- digheter och rättigheter.1

För det andra har Dataskyddsutredningen analyserat behovet av undantag från registrerades rättigheter enligt artikel 89.2 och 89.3 när personuppgifter behandlas för statistiska ändamål respektive arkivändamål av allmänt intresse.

Vad gäller behandling för statistiska ändamål finner Dataskydds- utredningen att det inte bör införas något generellt undantag från registrerades rättigheter, samt uttalar att vid behov, och om det be- döms vara lämpligt, bör sådana undantag i stället införas i sektors- specifika författningar.

Vad gäller behandling för arkivändamål föreslår Dataskydds- utredningen att rätten till s.k. registerutdrag inte heller i fortsätt- ningen bör omfatta personuppgifter i arkivmaterial som tagits emot för förvaring av Riksarkivet eller andra arkivmyndigheter, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna sådan information. Vidare föreslår man

1 SOU 2017:39 avsnitt 13.4.

216

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

att en arkivmyndighet inte ska behöva rätta eller komplettera person- uppgifter i arkivmaterial som tagits emot för förvaring av myndig- heten, eller behöva begränsa behandlingen av personuppgifterna. Slutligen föreslår man att rätten att göra invändningar inte ska gälla vid arkivmyndigheters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.2 Dataskyddsutred- ningen föreslår att dessa undantag från registrerades rättigheter in- förs i svensk lagstiftning med stöd av artikel 89.3.

10.2Rättsliga förutsättningar

Detta avsnitt inleds med en översikt över i vilken utsträckning det är möjligt att i nationell rätt göra undantag från de rättigheter som enligt dataskyddsförordningens tredje kapitel tillkommer de registre- rade. Dessa motsvarar till stor del de rättigheter som anges i det nu- varande dataskyddsdirektivet (95/46/EG) samt personuppgiftslagen (1998:204).

Vad gäller just behandling för forskningsändamål finns grunden för undantag i bl.a. nationell lagstiftning i artikel 89.2 i dataskydds- förordningen, som ger en möjlighet att göra undantag i vissa, upp- räknade, rättigheter. Även i det nuvarande dataskyddsdirektivet och i personuppgiftslagen finns möjligheten att göra undantag från dessa rättigheter för bl.a. forskningsändamål.

Avsnittet avslutas med en genomgång av vilka direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter som följer direkt av dataskyddsförordningen.

10.2.1Möjligheter att göra undantag från vissa rättigheter i nationell rätt

De rättigheter som omfattas av möjligheten till undantag i nationell rätt genom artikel 89.2 i dataskyddsförordningen är följande.

Rätt till tillgång (tidigare ofta kallad rätt till registerutdrag). Enligt artikel 15 har den enskilde rätt att få veta om den personuppgifts- ansvarige behandlar uppgifter om den enskilde, och i så fall vilka uppgifter som behandlas, samt annan information om behand- lingen.

2 SOU 2017:39 avsnitt 14.4.5.

217

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Rätt till rättelse. Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter rättade, och även att få ofullständiga personuppgifter kompletterade.

Rätt till begränsning av behandling (motsvarar vad som tidigare kallats blockering). Enligt artikel 18 har den registrerade i vissa uppräknade situationer rätt att begära att behandlingen av dennes uppgifter begränsas. Enligt artikel 4.3 avses med uttrycket ”be- gränsning av behandling” att lagrade personuppgifter markeras med syftet att begränsa behandlingen av dessa i framtiden.3

Rätt att göra invändningar. Enligt artikel 21 har den registrerade rätt att göra invändningar mot behandling av dennes personupp- gifter på vissa rättsliga grunder, bl.a. allmänt intresse, av skäl som hänför sig till den registrerades specifika situation.

Undantag från dessa rättigheter får enligt artikel 89.2 endast före- skrivas i den utsträckning som sådana rättigheter sannolikt kom- mer att göra det omöjligt eller mycket svårare att uppfylla de sär- skilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Även vissa av de övriga rättigheterna kan påverkas av regler i nationell rätt. Den rätt till information som den registrerade har när personuppgifterna inte erhållits från denne enligt artikel 14 ska inte tillämpas i den mån erhållande eller utlämnande av uppgifter föreskrivs i bl.a. nationell rätt, eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt (inbegripet lagstad- gad sekretess) enligt bl.a. nationell rätt. Utöver detta innehåller artikel 14.5 även direkt tillämpliga undantag som behandlas i följ- ande underavsnitt.

Rätten till radering enligt artikel 17 ska inte gälla i den utsträck- ning behandlingen är nödvändig för att uppfylla bl.a. en rättslig förpliktelse. Även denna artikel innehåller i 17.3 direkt tillämpliga undantag vilka behandlas i det följande.

Rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering enligt artikel 22,

3 Detta kan framstå som en cirkeldefinition. Den engelska språkversionen definierar mot- svarande uttryck på följande sätt: ”’restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future”.

218

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

ska inte tillämpas om ett sådant beslut är tillåtet i bl.a. nationell rätt och denna reglering fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.

10.2.2Direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter

Vissa av de registrerades rättigheter, så som de anges i artiklarna 13–22 har direkt tillämpliga undantag i själva förordningen. När sådana undantag finns anges de i sista punkten i respektive artikel.

När personuppgifterna samlas in från den registrerade har denne rätt att bli informerad i enlighet med artikel 13. Denna rättighet ska dock inte tillämpas om den registrerade redan förfogar över denna information.

När personuppgifterna som behandlas inte har erhållits från den registrerade har denne rätt till information i enlighet med artikel 14. I artikelns punkt 5 anges dock ett stort antal undantag från den rättigheten, exempelvis om ett sådant tillhandahållande av informa- tion visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vad gäller behandling för bl.a. forsknings- ändamål. När det är fråga om forskning baserad på befolknings- register kan antalet registrerade vara mycket stort, eller baseras på uppgifter insamlade långt innan de ska användas i forskningen, och därför göra ett tillhandahållande oproportionerligt ansträngande. I praktiken har etikprövningsnämnder i vissa sådana fall meddelat villkor att information om behandlingen ska spridas på annat sätt, exempelvis genom annonsering eller via forskningsprojektets hem- sida.

Rätten att bli raderad enligt artikel 17 innehåller en direkt tillämplig möjlighet till undantag om det är nödvändigt för bl.a. forsknings- ändamål (artikel 17.3 d).

Slutligen saknas helt möjlighet att i nationell lagstiftning göra undantag från den personuppgiftsansvariges anmälningsskyldighet (artikel 19) samt rätten till dataportabilitet (artikel 20) när uppgifter behandlas för forskningsändamål. När uppgifter behandlas för arkiv- ändamål kan nationell lagstiftning dock innehålla undantag från även dessa skyldigheter och rättigheter (artikel 89.3).

219

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

10.2.3Rättigheter när den enskilde inte kan identifieras

En viktig och direkt tillämplig grundregel i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den regi- strerade endast i syfte att följa förordningen (artikel 11, jfr även skäl 57). Det är vanligt att det saknas direkt identifierande uppgif- ter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en identifierad person behandlas.

Enligt andra punkten i artikel 11 ska den personuppgiftsansvarige, om denne kan visa att han eller hon inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. Denna informationsskyldighet får antas röra det fall när den registre- rade kontaktar den personuppgiftsansvarige i syfte att utöva sina rättigheter.

Om den personuppgiftsansvarige kan visa att denne inte är i stånd att identifiera den registrerade ska artiklarna 15–20 inte gälla, förutom om den registrerade tillhandahåller ytterligare infor- mation som gör identifieringen möjlig.

10.2.4Andra möjligheter till undantag för särskilda ändamål

Det är möjligt att i nationell lagstiftning begränsa tillämpnings- området för de skyldigheter och rättigheter som föreskrivs i bl.a. kapitel 3 med stöd av artikel 23.1. Detta under förutsättning att sådana begränsningar sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa i artikeln uppräknade mål. Forskningsändamål och närliggande mål återfinns inte i denna uppräkning, även om forsk- ning i vissa fall torde utgöra ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e. Som angivits ovan har Dataskyddsutred- ningen funnit anledning att med stöd av artikel 23.1 föreslå ett antal bestämmelser som begränsar de registrerades rättigheter i viss ut- sträckning.

220

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

10.3De aktuella rättigheterna, och behov av att göra undantag från dem

10.3.1Artikel 15 – Rätt till tillgång (registerutdrag)

Innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på huruvida person- uppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna, samt även bl.a. information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förord- ningen som en ”rätt till tillgång”. Motsvarande rättighet i dataskydds- direktivet och personuppgiftslagen har, utifrån den äldre datalagens (1973:289) begreppsanvändning, betecknats som en rätt till register- utdrag.4

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska ge denne bekräftelse på huruvida person- uppgifter som rör honom eller henne behandlas och i så fall förse honom eller henne med en kopia av uppgifterna, samt viss, i arti- keln föreskriven, information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personupp- giftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektro- niskt format som är allmänt använt, om den registrerade inte begär något annat (dock ska denna rätt inte inverka menligt på andras rättigheter och friheter). Denna rätt bör kunna utövas av den regi- strerade med rimliga intervall (skäl 63). Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får dock den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5).

4 Prop. 1997/98:44 s. 80.

221

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Nuvarande reglering

En motsvarande rättighet regleras i artikel 12 i det nuvarande data- skyddsdirektivet, vilken har genomförts genom 26 § personupp- giftslagen. Dataskyddsförordningens reglering innebär i jämförelse med äldre bestämmelser en utökad rätt till information om lagrings- tid, rätten till rättelse, radering, begränsning av behandling och in- vändning mot behandling, rätten att inge klagomål till en tillsyns- myndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3) Någon motsva- rande angiven tidsgräns finns inte angiven i det nuvarande data- skyddsdirektivet, som endast anger att informationen ska ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § person- uppgiftslagen angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

Behov av undantag

Utredningens bedömning: Det behövs inga ytterligare undan- tag från rätten till tillgång utöver de undantag som Dataskydds- utredningen föreslår när personuppgifter behandlas för forsk- ningsändamål.

Rätten till tillgång gäller, som ovan angivet, inte om den person- uppgiftsansvarige kan visa att denne inte kan identifiera den en- skilde, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade uppgifter.

222

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

I samband med viss forskning kan det tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få ut de uppgifter som behandlas. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om av skäl som hänför sig till pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter torde regelmässigt om- fattas av sekretess med stöd av 25 kap. offentlighets- och sekretess- lagen (2009:400) (OSL). Det kan också vara fråga om information som kräver tolkning för att bli begriplig för den registrerade och där sådant tolkningsbistånd skulle innebära en oproportionerlig an- strängning för den personuppgiftsansvarige.

Det bör understrykas att den enskilde i motsvarande situation i samband med sjukvård inte alltid har en ovillkorlig rätt att få till- gång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL).

Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskydds- förordningen följer att den personuppgiftsansvarige inte på eget initiativ behöver tillhandahålla information till den registrerade om uppgifterna omfattas av sekretess eller tystnadsplikt. Som ovan an- givet föreslår Dataskyddsutredningen en motsvarande reglering för rätten till tillgång enligt artikel 15. Enligt det föreslagna undantaget ska artikel 13–15 inte gälla sådana uppgifter som den personupp- giftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.5

I andra situationer, där det går att identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sina rättigheter, gör utredningen bedömningen att denna rättighet kan och bör respekteras.

5 SOU 2017:39 avsnitt 13.4.1.

223

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Med hänsyn till den befintliga sekretessregleringen, som med Dataskyddsutredningens förslag gäller framför denna rätt till tillgång, gör utredningen bedömningen att inget ytterligare behov av begräns- ning av denna rättighet finns.

10.3.2Artikel 16 – Rätt till rättelse

Innehållet i rättigheten

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Det finns också en möjlighet att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande yttrande. I samman- hanget bör uppmärksammas att korrekta och om nödvändigt upp- daterade uppgifter är en förutsättning för laglig behandling enligt artikel 5.1 d i dataskyddsförordningen.

Nuvarande reglering

En motsvarande rättighet framgår av artikel 12 b i det nuvarande dataskyddsdirektivet, vilken har genomförts i 28 § personuppgifts- lagen. Enligt denna reglering är den personuppgiftsansvarige skyl- dig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Enligt 9 § g personuppgiftslagen krävs att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Denna grundläggande del av rättigheten är alltså oförändrad i data- skyddsförordningen gentemot tidigare reglering.

Den rätt för den registrerade att komplettera ofullständiga upp- gifter genom exempelvis ett kompletterande yttrande är dock ny i förhållande till dataskyddsdirektivet.

224

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

Behov av undantag

Utredningens förslag: Den registrerades rätt till rättelse när personuppgifter behandlas för forskningsändamål ska inte gälla för sådana personuppgifter som behandlats för forskningsända- mål när personuppgifterna endast bevaras i syfte att dokumen- tera utförd forskning.

En utgångspunkt för utredningens bedömning är att forskning ska utgå från korrekt information. Rätten till rättelse är därför även i forskningens intresse. Det finns dock aspekter som kan göra ut- övandet av denna rättighet komplicerad.

Den första aspekten är att det kan föreligga oenighet mellan den registrerade och den personuppgiftsansvarige om vad som egentligen är en korrekt uppgift. Risken för detta ökar ju mer uppgifterna innefattar subjektiva bedömningar. Det är viktigt att rätten till rättelse inte innebär en rätt för den registrerade att diktera vilka uppgifter som ska behandlas om denne. Korrektheten måste kunna verifieras.6 Det bör vara den personuppgiftsansvarige, som är den som bestämmer ändamålen och medlen för behandlingen av person- uppgifter, som har att ställa upp krav kring de riktlinjer som ska användas för att avgöra vilka objektiva kriterier som ska tillämpas för att fastställa en uppgifts korrekthet. Med denna tolkning av rätten till rättelse föreligger inget ytterligare behov av att begränsa densamma.

Den andra aspekten är att för forskningsprojekt som är avslu- tade och där resultaten är publicerade, finns det ändå ett behov av att bevara det forskningsmaterial, inklusive personuppgifter, som resultaten baserat sig på. Det tillhör god forskningssed att doku- mentera sin forskning så att den kan granskas i efterhand.7 Riks- arkivet har meddelat föreskrifter och allmänna råd om gallring av allmänna handlingar i statliga myndigheters forskningsverksamhet, som anger att en förutsättning för att gallra handlingar i forsk- ningsverksamhet är att handlingar inte gallras innan rimlig tid har

6I samband med detta bör uppmärksammas rättigheten till begränsning av behandling under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgif- terna är korrekta (artikel 18.1 a, se nedan).

7Se SOU 2017:10 s. 188.

225

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

förflutit för att det ska ha funnits möjlighet att granska handlingar för att verifiera forskningsresultat.8 Att tillåta rättning i sådant arki- verat forskningsmaterial skulle avsevärt försvåra verifiering, och därmed strida mot syftet att bevara forskningsmaterialet.

Dataskyddsutredningen föreslår en bestämmelse som anger att en arkivmyndighet inte behöver rätta eller komplettera personupp- gifter enligt artikel 16 när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. Tillämpningsområ- det för den av Dataskyddutredningen föreslagna bestämmelsen är begränsat till arkivmyndigheter.

Forskningsaktörer kommer i många fall att ha behov av att inom sin egen organisation bevara forskningsmaterial som innehåller per- sonuppgifter. Eftersom sådant bevarande inte täcks av Dataskydds- utredningens förslag finns det därför ett behov av en begränsning av rätten till rättelse vad gäller sådana personuppgifter som bevaras under längre perioder än vad som är nödvändigt för de primära forskningsändamål för vilka personuppgifterna behandlats, när detta bevarande sker i syfte att dokumentera den utförda forskningen, för att exempelvis verifiering av forskningsresultat ska vara möjlig. Denna begränsning ska enbart vara tillämplig när forskningen i någon mening är utförd så att den nått den nivå av färdigställande att det skulle strida mot god forskningssed att ändra forsknings- materialet. Det kan exempelvis vara fråga om resultat som lämnats för publicering i en vetenskaplig tidskrift. Bevarandet får då anses ske för forskningsändamål, oavsett om personuppgifterna anses vara arkiverade eller ej.

I forskningssammanhang, där material som har legat till grund för forskningsresultat som har publicerats eller som av annat skäl måste kunna verifieras, även lagras och behandlas i syfte att uppnå nya, framtida forskningsresultat (exempelvis i en databas som upp- dateras löpande) är begränsningen av rätt till rättelse inte lika själv- klar. För att uppnå målet att verifiering ska vara möjlig och sam- tidigt säkerställa att ny forskning utgår från korrekt information bör den personuppgiftsansvarige se till att data lagras så att det exempelvis är möjligt att ta fram materialet så som det såg ut vid en viss tidpunkt, även om uppgifter har ändrats eller tillkommit vid senare tillfällen. Detta kan ske genom att en ändringshistorik för

8 8 § RA-FS 1999:1.

226

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

varje enskild uppgift lagras. En sådan lösning bör enligt vår bedöm- ning vara förenlig med den grundläggande rätten till rättelse i aktu- ellt forskningsmaterial samtidigt som den möjliggör replikering ut- ifrån arkiverat forskningsmaterial.

10.3.3Artikel 18 – Rätt till begränsning av behandling

Innehållet i rättigheten

Den registrerade har enligt artikel 18.1 en rätt att av den person- uppgiftsansvarige kräva att behandlingen begränsas om någon av följande förutsättningar är uppfyllda.

a)Om den registrerade bestrider personuppgifternas korrekthet.

b)Om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c)Om den personuppgiftsansvarige inte längre behöver person- uppgifterna för ändamålen med behandlingen men den registre- rade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)Om den registrerade har invänt mot behandling i enlighet med artikel 21.1.

Rättigheten medför alltså inte en generell möjlighet för den regi- strerade att begränsa behandling av personuppgifter i exempelvis hälsodataregister eller myndighetsregister, utan det krävs att någon av de fyra förutsättningarna är uppfyllda. Med begränsning av be- handling avses enligt artikel 4.3 att markera lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Av artikel 18.2 framgår vidare att begränsningen innebär att person- uppgifter, med undantag för lagring, endast får behandlas med den registrerades samtycke eller för rättsliga anspråk, annans rättigheter eller för viktiga allmänintressen.

227

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Nuvarande reglering

I förhållande till det nuvarande dataskyddsdirektivet innebär artikel 18.1 bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.

Rätten till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämns som blockering och som genomförts genom 28 § personuppgiftslagen (samt defi- nierats i 3 § samma lag).

Det nuvarande dataskyddsdirektivets reglering av dessa rättig- heter är inte lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registre- rad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, ut- plånade eller blockerade, särskilt om dessa är ofullständiga eller fel- aktiga. Enligt artikel 12 c ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

Behov av undantag

Utredningens förslag: När personuppgifter behandlas för forsk- ningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personupp- gifterna är korrekta.

Detsamma ska gälla när den registrerade invänder mot be- handlingen, i väntan på kontroll av huruvida den personupp- giftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

228

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

Rätten till begränsning av behandling syftar till att skydda den regi- strerades rättigheter eller övriga intressen vid felaktig eller miss- tänkt felaktig behandling. Genom att få personuppgiftsbehand- lingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Led a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgifts- ansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Led b och c i samma författning ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansva- rige att radera uppgifterna.

Att hindra den personuppgiftsansvarige från att radera uppgif- terna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behand- lingen. Utredningen bedömer därför inledningsvis att det saknas rättsliga förutsättningar till att införa ett undantag från artikel 18.1 b och c.

Rättigheten att begränsa behandling av personuppgifter under tiden den personuppgiftsansvarige kontrollerar om det i det kon- kreta fallet föreligger en rätt till rättelse eller till invändning (artikel 18.1 a) medför i praktiken att uppgifterna är undantagna från vidare behandling under denna utredningsperiod. Samma sak gäller under väntan på kontroll av huruvida den personuppgiftsansvariges be- rättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).

Effekten av att enskilda personers uppgifter är undantagna från behandling i forskningen under en period kan medföra skevhet (bias) i materialet som forskningen utförs med användning av under samma period, eller, om forskningen inriktas på att under- söka material som kan hänföras till en eller ett fåtal enskilda perso- ner, att forskningen omöjliggörs.9 Denna risk minskar ju fler indivi- der som forskningsmaterialet omfattar, men kan variera med hur forskningsprojektet utformats. Risken ökar i motsvarande mån ju fler individer som åberopar rättigheten Beroende på vilket stadium som forskningen befinner sig i kan detta i undantagsfall göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet,

9 Exempelvis om den tilltalade i ett mål i Högsta domstolen vill begränsa behandlingen och därmed blockerar möjligheten att göra en rättsvetenskaplig analys av rättsfrågan i målet.

229

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

särskilt om det tar lång tid att utreda personuppgifternas korrekt- het.

Utredningen gör därför bedömningen att det bör införas ett be- gränsat undantag från denna rättighet, vilket medför att person- uppgifter inte behöver blockeras med stöd av artikel 18.1 a eller d. Begränsningen ska dock endast vara tillämplig om en sådan blocker- ing skulle medföra att ett pågående forskningsprojekt inte kan ut- föras eller på ett avgörande sätt försenas eller försvåras. Det är den personuppgiftsansvarige som har att visa att sådana förutsättningar föreligger.

10.3.4Artikel 21 – Rätt att göra invändningar

Innehållet i rättigheten

Den registrerade har enligt artikel 21.1 rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respek- tive myndighetsutövning) eller f (intresseavvägning). Den person- uppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Enligt artikel 21.6 ska dock den registrerade endast ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse när personuppgifter be- handlas för bl.a. forskningsändamål.

Artikelns lagtekniska konstruktion innebär att huvudregeln i artikel 21.1 begränsar regelns tillämpningsområde till bara sådan behandling som sker med stöd av artikel 6.1 e eller f. Specialregeln för bl.a. forskningsändamål i artikel 21.6 är i stället utformad så att dess tillämpningsområde är behandling som sker med annat stöd än den del av artikel 6.1 e som rör allmänt intresse. Det framgår inte tydligt om tillämpningsområdet för artikel 21.6 är tänkt att utgå från tillämpningsområdet för artikel 21.1 eller om den ska läsas fri- stående.

Detta tolkningsproblem leder till två tänkbara omfång för tillämp- ningsområdet av artikel 21.6. Läser man den tillsammans med arti-

230

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

kel 21.1 innebär det att den registrerade skulle kunna ha rätt att göra invändningar enbart när behandlingen sker med stöd av intresse- avvägning (artikel 6.1 f) eller myndighetsutövning (den del av arti- kel 6.1 e som inte omfattar uppgift av allmänt intresse). Läser man den i stället fristående skulle den registrerade kunna ha rätt att göra invändningar när behandlingen sker med stöd av samtliga rättsliga grunder som anges i artikel 6.1, inklusive bl.a. samtycke, förutom allmänt intresse.

Vi bedömer att artiklarna bör läsas tillsammans, och att tillämp- ningsområdet för rättigheten vid personuppgiftsbehandling för forskningsändamål därmed är begränsat till de fall där behandlingen sker med stöd av intresseavvägning eller myndighetsutövning. Vid- are ska en intresseavvägning mellan den personuppgiftsansvariges berättigade skäl och den registrerades berättigade skäl göras i enlig- het med artikel 21.1, även när artikel 21.6 tillämpas. Vid denna be- dömning har vi beaktat att förordningens artiklar, särskilt vad gäller rättigheterna i artikel 12–22, ofta är uppbyggda så att en huvudregel anges i artikelns första punkt, som sedan preciseras eller görs undan- tag från i följande artiklar. Forskning specialregleras även på flera ställen i förordningen på så sätt att flera bestämmelser som utgör skydd för den registrerade inte ska tillämpas eller endast tillämpas i begränsad utsträckning när det är fråga om behandling för forsk- ningsändamål (se allmänt den strukturerade genomgången av för- ordningen i bilaga 3). Det framstår då inte som motiverat att just detta skydd för den registrerade skulle vara mer vidsträckt när det är fråga om forskningsändamål än för andra ändamål.

Nuvarande reglering

I det nuvarande dataskyddsdirektivet regleras rätten att göra in- vändningar i artikel 14 a. Av bestämmelsen framgår att medlems- staterna ska tillförsäkra den registrerade en rätt att när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation, motsätta sig behandling av personuppgifter som rör honom eller henne, åtminstone i de fall behandlingen sker med stöd av grun- derna allmänt intresse, myndighetsutövning eller intresseavvägning.

Regleringen i dataskyddsförordningen skiljer sig alltså från den i dataskyddsdirektivet på så sätt att det inte längre är den registre-

231

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

rade som ska ha berättigade skäl, utan i stället den personuppgifts- ansvarige som ska kunna redogöra för varför behandlingen ska få äga rum.

Till skillnad från dataskyddsförordningen ställer dataskydds- direktivet inte upp några särskilda villkor på sådan nationell lag- stiftning som innehåller undantag från rätten att motsätta sig be- handlingen.

Behov av undantag

Utredningens bedömning: Det behövs inga ytterligare undan- tag från rätten att göra invändningar när uppgifter behandlas för forskningsändamål.

I avsnitt 12.4.2 föreslår vi som skyddsåtgärd att den registrerade ska ha rätt att motsätta sig personuppgiftsbehandling. En sådan rätt har stora likheter med rätten att göra invändningar enligt artikel 21. För att bedöma om det finns ett behov av att göra undantag från rätten att göra invändningar måste vi därför först se om denna rätt i något avseende går längre än vår föreslagna rätt att motsätta sig personuppgiftsbehandling. Om vår föreslagna skyddsåtgärd i alla avseenden skyddar den registrerade på samma sätt som rätten att göra invändningar så kan det inte finnas något behov av att göra undantag från den senare.

Som utgångspunkt ger vår föreslagna skyddsåtgärd en rätt att motsätta sig behandling ovillkorligt, till skillnad från rätten att göra invändningar enligt artikel 21.1. Vårt förslag är dock förenat med vissa undantag, exempelvis om det visar sig vara omöjligt eller med- föra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas.

Rätten att göra invändningar när personuppgifter behandlas för forskningsändamål är avhängig med vilken rättslig grund som själva personuppgiftsbehandlingen utförs. I praktiken kommer person- uppgiftsbehandling för forskningsändamål ske med stöd av artikel 6.1 a (samtycke), e (allmänt intresse) eller f (intresseavvägning). Vi behandlar därför enbart dessa tre rättsliga grunder i det nedanstå- ende.

232

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

Rätten att göra invändningar gäller enligt artikel 21.6 inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Vi har i avsnitt 5.5.2 föreslagit att det i forskningsdata- lagen ska framgå att personuppgifter får behandlas för forsknings- ändamål med stöd av artikel 6.1 e om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. I de fall forskningen utförs med denna rättsliga grund finns alltså inte någon rätt att invända mot behandlingen, och därmed inte heller något behov av att begränsa den.

I de fall där grunden för personuppgiftsbehandlingen i stället är den registrerades samtycke finns inte heller någon rätt för den regi- strerade att invända mot behandlingen, utöver den rätt att dra till- baka samtycket som följer av artikel 7.3.

Enligt vår tolkning av artikel 21 finns det dock en rätt för den registrerade att invända mot behandlingen när denna sker med stöd av intresseavvägning enligt artikel 6.1 f. Denna rättsliga grund är enligt andra stycket samma punkt inte tillämplig för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom behandling då inte får utföras saknar den registrerades rätt att invända mot behandlingen i dessa fall betydelse.

För sådan forskning som utförs av andra forskningsaktörer än offentliga myndigheter med stöd av intresseavvägning har dock den enskilde en rätt att invända. Intresseavvägningen ska göras mellan å ena sidan den personuppgiftsansvariges eller en tredje parts berätti- gade intressen och å andra sidan den registrerades intressen eller grundläggande rättigheter och friheter. Om den registrerade invän- der mot behandlingen får detta anses tala för att behandlingen stri- der mot den registrerades intressen. Det kan därför inte anses nöd- vändigt att göra någon begränsning i den registrerades rätt att in- vända i dessa fall.

Sammantaget bedömer vi att det inte finns något sammanhang där det är motiverat att begränsa den registrerades rätt att göra in- vändningar.

233

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

10.4Sammanfattning

I detta kapitel har vi gjort en bred beskrivning av de rättigheter som tillkommer de registrerade enligt dataskyddsförordningen, de möjligheter som förordningen ger att inskränka dessa möjligheter, och vilka inskränkningar som Dataskyddsutredningen föreslår.

Vi har sedan analyserat de fyra olika rättigheter som enligt arti- kel 89.2 kan begränsas för personuppgiftsbehandling för forsk- ningsändamål.

För två av dessa – rätten till rättelse och rätten till begränsning av behandling – föreslår vi vissa begränsningar i forskningsdata- lagen.

Rätten till rättelse ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i syfte att dokumentera utförd forskning. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätten till begränsning av behandling när den registrerade be- strider uppgifternas korrekthet ska inte gälla under den utrednings- tid som krävs för att kontrollera om personuppgifterna är korrekta eller, när denne invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl, om detta medför att forsk- ningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Det saknas behov av undantag från rätten till tillgång när person- uppgifter behandlas för forskningsändamål, utöver vad Dataskydds- utredningen föreslagit, samt från rätten att göra invändningar.

234

11 Tillsyn och sanktioner

11.1Inledning

Utredningen har vad gäller tillsyn och sanktioner inget specifikt upp- drag att analysera vilket behov av kompletterande nationell reglering som behövs utöver vad som framgår direkt av dataskyddsförord- ningen (EU 2016/679) och Dataskyddsutredningens (Ju 2016:04) förslag till kompletterande reglering. Eftersom vi har att föreslå en reglering som ska möjliggöra en ändamålsenlig personuppgiftsbehand- ling med avseende på forskning, samtidigt som den skyddar den enskildes fri- och rättigheter, är det dock utredningens övergrip- ande uppdrag att göra en så heltäckande analys av regelverket som möjligt. Utredningen har därmed att analysera vilken reglering som är möjlig och kan behövas utöver den generella reglering som Data- skyddsutredningen föreslår. I det följande kommer därför frågorna om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål att behandlas översiktligt.

11.2Tillsyn

Av artikel 28 i det nuvarande dataskyddsdirektivet (95/46/EG) följer att medlemsstaterna ska utse en eller flera myndigheter som har till uppgift att inom medlemsstatens territorium övervaka tillämpningen av de bestämmelser som följer av direktivet. Sverige har genom 2 § personuppgiftsförordningen (1998:1191) fastställt att det är Data- inspektionen som är tillsynsmyndighet enligt personuppgiftslagen (1998:204). Artikel 28 i det nuvarande dataskyddsdirektivet mot- svaras av artikel 51.1 i dataskyddsförordningen, som utöver språk- liga förändringar har motsvarande innebörd.

235

Tillsyn och sanktioner SOU 2017:50

Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) har föreslagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen.1 I betänkandet redovisar utredningen även följande bedömning avseende tillsyns- myndighetens befogenheter enligt dataskyddsförordningen:

Förordningens uppräkning av vilka befogenheter en tillsynsmyndighet ska ha är omfattande och såvitt vi kan bedöma tillräckliga för att myndig- heten ska kunna fullgöra sina uppgifter. På grundval av det vi i dag kän- ner till och kan överblicka saknas det därmed behov av att på nationell nivå föreskriva att Datainspektionen ska ha ytterligare befogenheter utöver dem som följer av förordningen.2

Dataskyddsutredningen föreslår i linje med detta att Datainspektio- nen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den nationella dataskyddslagen, som kompletterar dataskydds- förordningen på generell nivå, genom en bestämmelse i 3 § i den nationella förordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskydds- utredningens bedömning är att en reglering i vilken Datainspek- tionen utses till tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av de andra nationella författ- ningar som kompletterar dataskyddsförordningen.3

Tillsynsmyndighetens befogenheter återges i artikel 58 i data- skyddsförordningen. Bestämmelsen i artikel 58 avser enligt dess lydelse endast tillsynen över tillämpningen av förordningens bestäm- melser. Det är Dataskyddsutredningens bedömning att för att för- ordningens intentioner ska få fullt genomslag krävs att tillsyns- myndigheten kan vidta samma åtgärder vid sin tillsyn över tillämp- ningen av de nationella bestämmelser som kompletterar förord- ningen. Dataskyddsutredningen föreslår därför en bestämmelse i dataskyddslagen som anger att de befogenheter som tillsyns- myndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.4

1SOU 2016:65 s. 142 f.

2A.a. s. 157.

3SOU 2017:39 avsnitt 6.4.3.

4A.a. avsnitt 19.5.3.

236

SOU 2017:50

Tillsyn och sanktioner

Eftersom vår föreslagna forskningsdatalag kompletterar data- skyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen- heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

I sammanhanget finns dock anledning att även belysa vilket till- synsansvar som föreligger för etikprövningslagen, vilken anknyter till vår föreslagna forskningsdatalag. Av 34 § etikprövningslagen framgår att Centrala etikprövningsnämnden har tillsyn över efterlevnaden av etikprövningslagen och föreskrifter som har meddelats med stöd av lagen, utom i de fall tillsynen faller inom någon annan myndig- hets ansvarsområde. I förarbetena pekas bland annat Datainspek- tionen ut.5 Detta innebär att en gränsdragning vad gäller tillsyn be- höver göras vid tillsyn av forskning som omfattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. och som därigenom kräver etikgodkännande.

Utredningen om tillsynen över den personliga integriteten har analyserat det befintliga tillsynsansvaret över etikprövningslagen och gränsdragningen mellan Centrala etikprövningsnämndens och Datainspektionens ansvar. Den utredningen gör i sitt betänkande följande bedömning:

Om personuppgifter behandlas inom forskning på ett sådant sätt att personuppgiftslagens bestämmelser blir tillämpliga kan och bör Data- inspektionen utöva tillsyn över behandlingen. Är det exempelvis fråga om känsliga personuppgifter och behandlingen sker med stöd av 19 § personuppgiftslagen, kan Datainspektionen kontrollera om någon etik- prövning har skett. Detta är enligt bestämmelsen en förutsättning för att behandlingen ska få ske. Om etikprövning krävs men något etik- godkännande inte har lämnats av en etikprövningsnämnd, kan Data- inspektionen förelägga den personuppgiftsansvariga att upphöra med behandlingen, eftersom den då strider mot personuppgiftslagen. Det- samma gäller om ett etikprövningsgodkännande har lämnats med vill- koret att behandlingen förutsätter den enskildes samtycke men något samtycke inte har lämnats. Gemensamt för dessa frågeställningar är att syftet är att granska om den personuppgiftsbehandling som utförs inom ramen för forskningen är förenlig med personuppgiftslagen. Är det i stället fråga om exempelvis att ta ställning till om forskningen i fråga behöver godkännas genom etikprövning eller om forskningen bedrivs i enlighet med ett gällande etikprövningsbeslut är Centrala etikprövnings-

5 Prop. 2002/03:50 s. 163 f.

237

Tillsyn och sanktioner

SOU 2017:50

nämnden, vars huvuduppgift är att utöva tillsyn över att forskning som avser människor bedrivs i enlighet med etikprövningslagen, den myndig- het som är bäst lämpad att avgöra sådana frågor. Detta gäller även om den aktuella forskningen innefattar behandling av personuppgifter.6

Enligt Utredningen om tillsynen över den personliga integriteten finns stöd för denna bedömning avseende ansvarsfördelningen i förarbetena till etikprövningslagen. Det är vidare samma utrednings uppfattning att etikprövningslagens och förarbetenas hänvisning till andra tillsynsmyndigheters ansvarsområde inte i sig medför att Datainspektionen har att utöva tillsyn över alla frågor som rör forskning så snart dessa innefattar behandling av personuppgifter. Skulle det däremot i ett tillsynsärende hos Centrala etikprövnings- nämnden uppkomma frågor som avser huruvida behandlingen av personuppgifter har utförts i strid med personuppgiftslagen, bör denna fråga överlämnas till Datainspektionen.

Det är vår uppfattning att ovanstående bedömning avseende gränsdragningen av tillsynsansvaret bör kunna tillämpas också vad gäller förhållandet mellan etikprövningslagen och vår föreslagna forskningsdatalag.

Det betänkande som Utredningen om tillsynen över den person- liga integriteten överlämnat till regeringen bereds för närvarande inom Regeringskansliet. I sammanhanget kan tilläggas att reger- ingen den 11 maj 2017 beslutade om tilläggsdirektiv till Utredningen om översyn av etikprövningen (U 2016:02) med uppdrag att bland annat lämna förslag som innebär att Centrala etikprövningsnämnd- ens ansvar för tillsyn över etikprövningslagen förtydligas samt före- slå nödvändiga författningsändringar och, vid behov, andra åtgär- der. Bakgrunden till detta tilläggsuppdrag är att det enligt Centrala etikprövningsnämnden alltjämt finns en risk för att tillsynsärenden faller mellan stolarna och att det därför är mycket angeläget att en tydligare reglering kommer till stånd. Denna uppfattning delas av några av de remissinstanser som har yttrat sig över betänkandet SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten. Uppdraget ska redovisas senast den 15 december 2017.7

6SOU 2016:65 s. 194 f.

7Dir. 2017:52.

238

SOU 2017:50

Tillsyn och sanktioner

11.3Sanktioner

I Dataskyddsutredningens betänkande definieras sanktioner brett, innefattande sanktionsavgifter, vite, skadestånd och straff. I avsnitt 18.3 i Dataskyddsutredningens betänkande finns en beskrivning av gällande rätt på dessa områden. I det följande kommer endast data- skyddsförordningens bestämmelser och Dataskyddsutredningens förslag till kompletterande reglering avseende skadestånd att be- handlas i relation till vår föreslagna forskningsdatalag. För resone- mang kring övriga sanktioner vid överträdelser mot dataskydds- förordningen och kompletterande nationell lagstiftning hänvisas till Dataskyddsutredningens betänkande SOU 2017:39.

11.3.1Skadestånd

Enligt artikel 82.1 i dataskyddsförordningen ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgifts- ansvarige för den uppkomna skadan. Även personuppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsättningar. I artikel 82.2–5 och skäl 146 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Bland annat framgår att varje person- uppgiftsansvarig som medverkat vid behandlingen ska ansvara för uppkommen skada. Den personuppgiftsansvarige eller personupp- giftsbiträdet ska dock undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. Data- skyddsförordningen innebär således att varje personuppgiftsansvarig eller personuppgiftsbiträde som har medverkat vid en behandling kan hållas ansvarigt för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgifts- biträden för samma behandling.

I artikel 82.1 anges att ansvaret och rätten till ersättning gäller till följd av en överträdelse av denna förordning, dvs. dataskydds- förordningen. Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestäm- melser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens

239

Tillsyn och sanktioner

SOU 2017:50

bedömning att den av Dataskyddsutredningen föreslagna bestäm- melsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse be- höver därför inte införas i forskningsdatalagen.

11.4Sammanfattning

I detta kapitel har utredningen översiktligt behandlat frågor om tillsyn och skadestånd i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den natio- nella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå genom en bestämmelse i 3 § i den nationella för- ordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskyddsutredningens bedömning är vidare att en reglering som innebär att Datainspek- tionen blir tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva till- syn även i fråga om efterlevnaden av de andra nationella författ- ningar som kompletterar dataskyddsförordningen.

Dataskyddsutredningen föreslår vidare en bestämmelse i data- skyddslagen som anger att de befogenheter som tillsynsmyndig- heten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen. Eftersom den föreslagna forskningsdatalagen kompletterar data- skyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen- heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som stadgar att rätten till ersättning enligt artikel 82 i data- skyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kom- pletterar dataskyddsförordningen. Det är