Personuppgiftsbehandling för forskningsändamål

Delbetänkande av Forskningsdatautredningen

Stockholm 2017

SOU 2017:50

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN978-91-38-24625-2

ISSN 0375-250X

Till statsrådet

Helene Hellmark Knutsson

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utre- dare med uppdrag att med anledning av EU:s dataskyddsförord- ning föreslå en kompletterande reglering av behandling av person- uppgifter för forskningsändamål, med syftet att möjliggöra en ända- målsenlig behandling av personuppgifter för forskningsändamål sam- tidigt som den enskildes fri- och rättigheter skyddas (dir. 2016:65). Den 16 mars 2017 beslutade regeringen tilläggsdirektiv till utred- ningen (dir. 2017:29) med uppdrag att analysera vilka rättsliga för- utsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, samt beslutade att uppdraget ska slutredovisas senast den 27 april 2018.

Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg.

Som huvudsekreterare anställdes den 1 september 2016 Linda Stridsberg. Samma dag anställdes Staffan Malmgren som utrednings- sekreterare. Den 26 september anställdes Magnus Stenbeck som utredningssekreterare.

Som experter att biträda utredningen förordnades den 10 november 2016 professor Johan Askling, enhetschef Anna Bennet Bark, jurist Ulrika Harnesk, professor Peter Höglund, chefsjurist Anna Hörnlund, verksjurist Jonas Jeppson, avdelningschef Petra Otterblad. Den 15 november 2016 förordnades även professor Robert Erikson som expert.

Som sakkunniga i utredningen förordnades den 10 november 2016 kansliråden Olle Sundberg, Maria Wästfelt och Tyri Öhman. Maria Wästfelt entledigades från uppdraget den 28 februari 2017 och förordnades samma dag som expert i utredningen. Den 23 mars 2017

förordnades även departementssekreterare Thomas Neidenmark som sakkunnig i utredningen.

Utredningen, som har tagit sig namnet Forskningsdatautred- ningen, överlämnar härmed delbetänkandet Personuppgiftsbehand- ling för forskningsändamål (SOU 2017:50).

Stockholm i maj 2017

Cecilia Magnusson Sjöberg

/Linda Stridsberg

Staffan Malmgren

Magnus Stenbeck

Innehåll

Sammanfattning ................................................................

15

Summary ..........................................................................

29

1

Författningsförslag.....................................................

43

1.1

Förslag till forskningsdatalag .................................................

43

1.2Förslag till lag om ändring i lagen (2003:460) om

etikprövning av forskning som avser människor ..................

47

1.3Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för

människors hälsa .....................................................................

49

1.4Förslag till lag om ändring i lagen (1999:353) om

 

rättspsykiatriskt forskningsregister .......................................

54

2

Vårt uppdrag och arbete .............................................

57

2.1

Utredningsuppdraget..............................................................

57

 

2.1.1

Reglering av personuppgiftsbehandling för

 

 

 

forskningsändamål...................................................

57

 

2.1.2

Vissa anpassningar av registerförfattningar ...........

59

 

2.1.3

Fortsatta uppdrag ....................................................

59

2.2

Anknytande utredningar ........................................................

59

 

2.2.1

Dataskyddsutredningen ..........................................

60

 

2.2.2

Samordningsgruppen...............................................

60

 

2.2.3

Övriga kontakter .....................................................

61

5

Innehåll SOU 2017:50

2.3

Utredningsarbetet ..................................................................

61

 

2.3.1

Expertgruppsmöten ................................................

61

 

2.3.2

Referensgruppsmöten.............................................

61

 

2.3.3

Hearing ....................................................................

62

 

2.3.4

Övriga möten ..........................................................

62

2.4

Betänkandets disposition m.m...............................................

63

3

Bakgrund, rättsliga utgångspunkter och begrepp ...........

65

3.1

Inledning .................................................................................

65

3.2

Rättsliga utgångspunkter .......................................................

66

 

3.2.1

Internationell reglering ...........................................

67

 

3.2.2

Nationell lagstiftning ..............................................

73

3.3

Bakgrund utifrån ett forskningsperspektiv...........................

76

 

3.3.1

EU:s dataskyddsreform ..........................................

76

 

3.3.2

Frågor för forskningen vid

 

 

 

dataskyddsförordningens tillkomst .......................

78

 

3.3.3

Sammanfattning ......................................................

86

3.4

Begreppsdefinitioner ..............................................................

87

 

3.4.1

Inledning..................................................................

87

 

3.4.2

Begreppsanvändning i dataskyddsregleringen.......

88

 

3.4.3

Begreppet forskning................................................

90

 

3.4.4

Begreppet forskningsändamål ................................

99

 

3.4.5

Begreppet akademiskt skapande...........................

107

 

3.4.6

Sammanfattning ....................................................

113

4

En forskningsdatalag................................................

115

4.1

Inledning ...............................................................................

115

4.2En kompletterande lag vid personuppgiftsbehandling

för forskningsändamål ska införas.......................................

116

4.2.1

Överväganden och förslag ....................................

116

4.3Forskningsdatalagens förhållande till annan

dataskyddsreglering..............................................................

118

4.3.1

Överväganden och förslag ....................................

119

4.4 Sammanfattning....................................................................

120

6

SOU 2017:50 Innehåll

5

Fastställande av rättslig grund ..................................

121

5.1

Inledning ...............................................................................

121

5.2

Rättsliga förutsättningar.......................................................

121

 

5.2.1

Nuvarande reglering ..............................................

121

 

5.2.2

Dataskyddsförordningen ......................................

122

5.3

Rättslig grund utifrån forskningsaktör................................

133

 

5.3.1

Inledning ................................................................

133

 

5.3.2

Offentligrättsliga forskningsaktörer ....................

134

 

5.3.3

Privaträttsliga forskningsaktörer ..........................

138

 

5.3.4

Överväganden ........................................................

141

5.4Ytterligare behandling av personuppgifter för

forskningsändamål ................................................................

145

5.4.1

Inledning ................................................................

145

5.4.2

Nuvarande reglering ..............................................

145

5.4.3

Dataskyddsförordningen ......................................

146

5.4.4

Sammanfattande analys .........................................

146

5.5 Överväganden och förslag ....................................................

148

5.5.1

Inledning ................................................................

148

5.5.2Fastställande av den rättsliga grunden allmänt

 

 

intresse ...................................................................

150

 

5.5.3

Inledande upplysningsbestämmelse .....................

152

5.6

Sammanfattning ....................................................................

153

6

Behandling av personuppgifter med samtycke ............

155

6.1

Inledning ...............................................................................

155

6.2

Rättsliga förutsättningar.......................................................

156

 

6.2.1

Nuvarande reglering ..............................................

156

 

6.2.2

Dataskyddsförordningen ......................................

158

6.3

Samtycke och känsliga personuppgifter ..............................

159

6.4Samtyckets innehåll och de krav som ställs på giltigt

samtycke ................................................................................

161

6.4.1

Inledning ................................................................

161

6.4.2

Frivillig viljeyttring................................................

163

6.4.3

Specifik viljeyttring ...............................................

168

7

Innehåll

 

SOU 2017:50

6.4.4

Otvetydig viljeyttring ...........................................

171

6.4.5

Informerad viljeyttring .........................................

173

6.4.6

Uttrycklig viljeyttring gällande känsliga

 

 

personuppgifter .....................................................

175

6.4.7

Överväganden........................................................

176

6.5Ytterligare behandling av personuppgifter som lämnats

med stöd av samtycke ..........................................................

177

6.5.1

Inledning................................................................

177

6.5.2

Personuppgiftslagen..............................................

177

6.5.3

Dataskyddsförordningen ......................................

179

6.5.4

Överväganden........................................................

180

6.6 Samtycke tillsammans med annan rättslig grund ...............

180

6.6.1

Inledning................................................................

180

6.6.2Samtidig förekomst av de rättsliga grunderna

 

 

samtycke och allmänt intresse..............................

181

6.7

Sammanfattning....................................................................

182

7

Känsliga personuppgifter ..........................................

185

7.1

Inledning ...............................................................................

185

 

7.1.1

Terminologi ...........................................................

185

7.2

Rättsliga förutsättningar ......................................................

187

 

7.2.1

Nuvarande reglering..............................................

187

 

7.2.2

Dataskyddsförordningen ......................................

190

 

7.2.3

Dataskyddsutredningens förslag..........................

192

7.3

Behandling av känsliga personuppgifter..............................

194

7.3.1Gränsdragningen mellan känsliga och övriga

 

personuppgifter .....................................................

194

7.3.2

Krav på lagstiftning om undantag ........................

195

7.4 Överväganden och förslag ...................................................

200

7.4.1Tillåten behandling av känsliga

personuppgifter .....................................................

200

7.5 Sammanfattning....................................................................

200

8

SOU 2017:50 Innehåll

8

Personuppgifter om lagöverträdelser m.m. .................

201

8.1

Inledning ...............................................................................

201

8.2

Rättsliga förutsättningar.......................................................

202

 

8.2.1

Nuvarande reglering ..............................................

202

 

8.2.2

Dataskyddsförordningen ......................................

204

 

8.2.3

Regleringen i 2016 års dataskyddsdirektiv ...........

205

 

8.2.4

Dataskyddsutredningens förslag ..........................

206

8.3

Kraven på behandlingen och lagstiftningen ........................

206

8.4

Överväganden och förslag ....................................................

208

8.5

Sammanfattning ....................................................................

209

9

Personnummer och samordningsnummer ...................

211

9.1

Inledning ...............................................................................

211

9.2

Rättsliga förutsättningar.......................................................

212

 

9.2.1

Nuvarande reglering ..............................................

212

 

9.2.2

Dataskyddsförordningen ......................................

212

 

9.2.3

Dataskyddsutredningens förslag ..........................

212

9.3

Överväganden .......................................................................

213

9.4

Sammanfattning ....................................................................

213

10

Vissa begränsningar av registrerades rättigheter ..........

215

10.1

Inledning ...............................................................................

215

 

10.1.1

Utredningens uppdrag ..........................................

215

 

10.1.2

Dataskyddsutredningens förslag ..........................

216

10.2

Rättsliga förutsättningar.......................................................

217

10.2.1Möjligheter att göra undantag från vissa

 

rättigheter i nationell rätt ......................................

217

10.2.2

Direkt tillämpliga möjligheter att göra

 

 

undantag från den registrerades rättigheter .........

219

10.2.3

Rättigheter när den enskilde inte kan

 

 

identifieras..............................................................

220

10.2.4Andra möjligheter till undantag för särskilda

ändamål...................................................................

220

9

Innehåll SOU 2017:50

10.3

De aktuella rättigheterna, och behov av att göra

 

 

undantag från dem................................................................

 

221

 

10.3.1 Artikel

15

– Rätt till tillgång (registerutdrag)

..... 221

 

10.3.2 Artikel

16

– Rätt till rättelse .................................

224

 

10.3.3 Artikel

18

– Rätt till begränsning av

 

 

behandling .............................................................

227

 

10.3.4 Artikel

21

– Rätt att göra invändningar ...............

230

10.4

Sammanfattning

....................................................................

 

234

11

Tillsyn och sanktioner ..............................................

235

11.1

Inledning ...............................................................................

 

 

235

11.2

Tillsyn....................................................................................

 

 

235

11.3

Sanktioner .............................................................................

 

 

239

 

11.3.1 Skadestånd .............................................................

239

11.4

Sammanfattning....................................................................

 

 

240

12

Skyddsåtgärder........................................................

 

 

243

12.1

Inledning ...............................................................................

 

 

243

12.2

Rättsliga förutsättningar ......................................................

243

 

12.2.1 Allmän .....................reglering av skyddsåtgärder

244

12.2.2Reglering av skyddsåtgärder i samband med

 

 

forskningsändamål ................................................

245

 

12.2.3 Allmän reglering av säkerhetskrav .......................

245

12.3

Skyddsåtgärder för personuppgiftsbehandling...................

246

 

12.3.1

Skyddsåtgärder enligt

 

 

 

dataskyddsförordningen .......................................

246

 

12.3.2

Begrepp ..................................................................

252

 

12.3.3 Tekniska och organisatoriska skyddsåtgärder.....

258

 

12.3.4

Rättsliga skyddsåtgärder .......................................

271

 

12.3.5

Säkerhet .................................................................

278

12.4

Överväganden och förslag ...................................................

282

 

12.4.1

Lämplig normgivningsnivå ...................................

282

 

12.4.2

Förslag till skyddsåtgärder ...................................

285

 

12.4.3

Övriga överväganden ............................................

291

12.5

Sammanfattning....................................................................

292

10

SOU 2017:50 Innehåll

13

En proportionerlig lagstiftning...................................

295

13.1

Inledning ...............................................................................

295

13.2

Rättsliga förutsättningar.......................................................

296

 

13.2.1

Dataskyddsförordningen ......................................

296

 

13.2.2

Regeringsformen ...................................................

297

 

13.2.3

Övriga rättsliga instrument...................................

299

13.3

Integritetsanalys och proportionalitetsbedömning ............

300

13.3.1Kartläggning av den föreslagna

personuppgiftsbehandlingen.................................

300

13.3.2 Proportionalitetsbedömning.................................

306

13.3.3De föreslagna bestämmelserna kräver

 

 

reglering i lagform .................................................

311

13.4

Överväganden .......................................................................

312

13.5

Sammanfattning ....................................................................

312

14

Etikprövning av personuppgiftsbehandling för

 

 

forskningsändamål ..................................................

315

14.1

Vårt uppdrag i denna del ......................................................

315

14.2

Rättsliga förutsättningar.......................................................

316

 

14.2.1

Inledning ................................................................

316

 

14.2.2

Personuppgiftslagens relation till

 

 

 

etikprövningslagen ................................................

317

14.3

Etikprövning som skyddsåtgärd ..........................................

326

 

14.3.1

Inledning ................................................................

326

 

14.3.2 Etikprövning som befintlig skyddsåtgärd............

327

 

14.3.3

Dataskyddsförordningens krav ............................

329

 

14.3.4

Överväganden ........................................................

332

14.4

Tillämpningsområdet för kravet på etikprövning ...............

335

 

14.4.1

Inledning ................................................................

335

14.4.2Etikprövningslagens ursprungliga

tillämpningsområde ...............................................

336

14.4.3Etikprövningslagens nuvarande

 

tillämpningsområde ...............................................

338

14.4.4

Ett utvidgat tillämpningsområde? ........................

342

14.4.5

Överväganden och förslag ....................................

346

11

Innehåll

SOU 2017:50

14.5 Behov av fortsatt översyn

.................................................... 353

14.5.1 Inledning................................................................

353

14.5.2Etikprövning vid lägre risk för intrång i den

 

 

enskildes integritet ................................................

354

 

14.5.3

Överväganden........................................................

361

14.6

Anpassningar av etikprövningslagen till

 

 

dataskyddsförordningen ......................................................

363

 

14.6.1

Inledning................................................................

363

 

14.6.2

Överväganden och förslag ....................................

364

14.7

Sammanfattning....................................................................

373

15

Anpassningar av vissa registerförfattningar .................

375

15.1

Vårt uppdrag i denna del ......................................................

375

15.2

Rättsliga förutsättningar ......................................................

376

15.3

Lag (2013:794) om vissa register för forskning om vad

 

 

arv och miljö betyder för människors hälsa ........................

378

 

15.3.1

Inledning................................................................

378

15.3.2Dataskyddsförordningens utrymme för nationell lagstiftning – övergripande

 

 

överväganden .........................................................

380

 

15.3.3

Överväganden och förslag ....................................

383

15.4

Lag (1999:353) om rättspsykiatriskt forskningsregister....

401

 

15.4.1

Inledning................................................................

401

 

15.4.2

Dataskyddsförordningens utrymme för

 

 

 

nationell lagstiftning – övergripande

 

 

 

överväganden .........................................................

402

 

15.4.3

Överväganden och förslag ....................................

404

16

Ikraftträdande- och övergångsbestämmelser ...............

423

16.1

Inledning ...............................................................................

423

16.2

Ikraftträdande- och övergångsbestämmelser i

 

 

dataskyddsförordningen ......................................................

423

16.3

Ikraftträdande- och övergångsbestämmelser i

 

 

dataskyddslagen ....................................................................

424

12

SOU 2017:50 Innehåll

16.4

Överväganden och förslag ....................................................

425

 

16.4.1

Ikraftträdande ........................................................

425

 

16.4.2

Övergångsbestämmelser .......................................

425

17

Konsekvenser..........................................................

427

17.1

Inledning ...............................................................................

427

 

17.1.1 Förändringar som följer av våra förslag ...............

427

17.2

Utredningens förslag ............................................................

429

 

17.2.1

Problem- och målbeskrivning...............................

429

 

17.2.2

Alternativa lösningar .............................................

430

 

17.2.3 Vem berörs av våra förslag? ..................................

431

 

17.2.4 Förslagens förenlighet med EU-rätten ................

431

 

17.2.5 Tidpunkt och information inför

 

 

 

ikraftträdande.........................................................

432

17.3

Ekonomiska konsekvenser ...................................................

432

 

17.3.1 Vår bedömning av förslagen .................................

432

 

17.3.2 Ekonomiska konsekvenser av alternativa

 

 

 

lösningar.................................................................

433

17.4

Andra konsekvenser enligt kommittéförordningen ...........

433

17.5

Konsekvenser för den personliga integriteten ....................

434

17.6

Sammanfattning ....................................................................

434

18

Författningskommentar ............................................

437

18.1

Förslaget till forskningsdatalag ............................................

437

18.2

Förslaget till lag om ändring av lagen (2003:460) om

 

 

etikprövning av forskning som avser människor ................

445

18.3

Förslaget till lag om ändring av lagen (2013:794) om

 

 

vissa register för forskning om vad arv och miljö

 

 

betyder för människors hälsa ...............................................

447

18.4

Förslaget till lag om ändring av lagen (1999:353) om

 

 

rättspsykiatriskt forskningsregister .....................................

450

13

Innehåll

 

SOU 2017:50

Bilagor

 

 

 

Bilaga 1

Kommittédirektiv 2016:65...........................................

 

453

Bilaga 2

Kommittédirektiv 2017:29...........................................

 

475

Bilaga 3 Strukturerad begreppsgenomgång av

 

 

 

Europaparlamentets och rådets förordning

 

 

 

(EU) 2016/679 (allmän dataskyddsförordning) ........

479

14

Sammanfattning

Uppdraget

I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförord- ningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författningsförslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i upp- drag att överväga och eventuellt föreslå anpassningar i viss närligg- ande lagstiftning.

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förord- ningen är direkt tillämplig i alla medlemsstater och gäller i stället för motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet (95/46/EG) och dess svenska implementering genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångs- punkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgifts- biträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpnings- område.

15

Sammanfattning

SOU 2017:50

Begreppet forskningsändamål

Förordningens återkommande uttryck ”vetenskapliga eller histo- riska forskningsändamål” innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedöm- ning likställas.

Personuppgiftsbehandling för forskningsändamål bör vidare kunna omfatta hela eller delar av forskningsprocessen. Iordning- ställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är således att de enskilda delarna av denna process ska kunna betecknas som behandling för forskningsändamål utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitu- dinella studier där förlopp studeras över tidsperioder som ibland omfattar många år.

En forskningsdatalag

Utredningen har identifierat ett behov av att införa en forsknings- datalag med syfte att möjliggöra personuppgiftsbehandling för forsk- ningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsi- diär i förhållande till andra lagar och förordningar. Av tydlighets- skäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdata- lagen. En registerförfattning, eller en bestämmelse i en registerför- fattning, som specifikt är tillämplig på personuppgiftsbehandling för ändamålet forskning ska ha företräde framför avvikande be- stämmelser i forskningsdatalagen.

16

SOU 2017:50

Sammanfattning

Rättslig grund

Fastställande av allmänt intresse som rättslig grund

Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framför allt kan komma ifråga för forsknings- ändamål är, enligt utredningens bedömning, samtycke enligt arti- kel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavväg- ning enligt artikel 6.1 f.

Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forsk- ningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komplettera dataskyddsförord- ningen.

Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den sär- skilda behandlingen. Det är således möjligt enligt dataskyddsförord- ningen att införa särskilda bestämmelser i nationell rätt som specifi- cerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

Kravet enligt artikel 6.3 på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forsk- ningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av för- fattningsstöd att basera tillämpningen på.

I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga

17

Sammanfattning

SOU 2017:50

som privata aktörer att utföra uppgifter av allmänt intresse i data- skyddsförordningens mening.

Om inga nationella lagstiftningsåtgärder vidtas innebär förord- ningens bestämmelser att offentliga forskningsaktörer framför allt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forsk- ningsändamål. Privata forskningsaktörer har framför allt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresse- avvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så bety- dande skillnader i möjligheterna att åberopa de olika rättsliga grun- derna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, i praktiken beroende på vilken organisations- form aktören har, är enligt utredningens bedömning rimligen inte avsiktligt.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till sam- verkan och att bedriva forskning som kan komma att få nytta för all- mänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå obero- ende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en be- stämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförord- ningen för behandling av personuppgifter för forskningsändamål.

Ytterligare behandling

Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med

18

SOU 2017:50

Sammanfattning

stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar.

I samband med utlämnande av personuppgifter till annan person- uppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgifts- ansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Samtycke

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Data- skyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som god- känns som samtycke har lagts till i definitionen jämfört med i person- uppgiftslagen.

Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är möjligt att behandla känsliga person- uppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etik- prövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförordningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här

19

Sammanfattning

SOU 2017:50

om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhållanden, dvs. när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas.

Ytterligare behandling av personuppgifter för forskningsända- mål insamlade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny person- uppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt.

Känsliga personuppgifter

Av artikel 9.1 i dataskyddsförordningen framgår att det är förbju- det att behandla personuppgifter som avslöjar ras eller etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens definition av den här kategorin av personuppgifter är något utökad jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförordningen används vidare benämningen särskilda kategorier av personuppgifter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi dock att även fortsatt benämna dessa slags personuppgifter som känsliga personuppgifter.

För att behandling av känsliga personuppgifter ska vara tillåten under vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personupp- giftsbehandling när denna är nödvändig för att uppnå forsknings- ändamålet. Som huvudsaklig skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etikprövningslagen ska kvarstå.

20

SOU 2017:50

Sammanfattning

Personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter om lagöverträdelser m.m. regleras i artikel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personupp- giftsbehandling när denna är nödvändig för att uppnå forsknings- ändamålet.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades rättigheter och friheter. Utredningen föreslår att etikprövning enligt etikprövnings- lagen fortsatt ska vara den huvudsakliga skyddsåtgärden.

Personnummer och samordningsnummer

Den reglering som Dataskyddsutredningen föreslår för behandling av personnummer eller samordningsnummer innehåller samma direkt tillämpliga villkor som återfinns i nuvarande lagstiftning. Dessa vill- kor torde vara uppfyllda i vissa forskningssammanhang.

Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten och regeringen samt tillsynsmyn- digheten har samma möjligheter som tidigare att meddela special- reglering i form av registerförfattningar för vissa typer av behand- lingar. Något behov av ytterligare kompletterande nationell regler- ing finns därmed inte.

Begränsningar av registrerades rättigheter

I dataskyddsförordningens tredje kapitel (artiklarna 12–23) anges den registrerades rättigheter i samband med att dennes personupp- gifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas. Dataskyddsutredningen har föreslagit vissa generella begränsningar i dessa rättigheter.

21

Sammanfattning

SOU 2017:50

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med för- behåll för de villkor och skyddsåtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forsk- ningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen.

Rätten till rättelse (artikel 16) ska inte gälla för sådana person- uppgifter som behandlats för forskningsändamål om de enbart be- varas i arkiveringssyfte. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätt till begränsning av behandling (artikel 18) ska inte gälla när den registrerade bestrider uppgifternas korrekthet under den ut- redningstid som krävs för att kontrollera om personuppgifterna är korrekta, om detta medför att forskningen inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Det saknas behov av ytterligare undantag från rätten till tillgång (artikel 15) samt rätten att göra invändningar (artikel 21) när per- sonuppgifter behandlas för forskningsändamål, utöver vad Data- skyddsutredningen har föreslagit.

Tillsyn och sanktioner

Utredningen har översiktligt behandlat frågor om tillsyn och sanktio- ner i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet, och ha befogenheter enligt dataskyddsförord- ningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen.

Eftersom den föreslagna forskningsdatalagen kompletterar data- skyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen-

22

SOU 2017:50

Sammanfattning

heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som stadgar att rätten till ersättning enligt artikel 82 i data- skyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kom- pletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forsknings- datalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

Skyddsåtgärder

Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forsknings- ändamål och hur åtgärderna bör vara utformade. För känsliga person- uppgifter samt personuppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmel- ser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför analyserat centrala begrepp, som exempelvis person- uppgift, pseudonymisering och anonymisering, för att därefter gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättig- heter, särskilt mot bakgrund på dataskyddsförordningens säkerhets- krav.

Med beaktande av befintliga möjligheter att reglera skyddsåtgär- der när personuppgifter behandlas för forskningsändamål gör vi be- dömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkän- nande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vid- tas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen föreslår att personuppgiftslagens befintliga bestäm- melse som anger att uppgifter som samlats in för forskningsända-

23

Sammanfattning

SOU 2017:50

mål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Vidare föreslår vi att en bestämmelse införs i forskningsdata- lagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis.

Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forsknings- ändamål. Om det visar sig vara omöjligt eller medföra en oproportio- nerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.

En proportionerlig lagstiftning

Utredningen har analyserat de föreslagna bestämmelserna i forsk- ningsdatalagen utifrån de krav på framför allt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förut- sättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen.

Den föreslagna regleringen måste uppfylla krav på proportionali- tet som ställs i flera olika rättsliga sammanhang. Utredningens be- dömning, utifrån den integritetskartläggning som gjorts, de skydds- åtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportio- nell utifrån samtliga dessa proportionalitetskrav.

Etikprövning

Utredningen har analyserat vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras inför att dataskyddsförordningen börjar tillämpas. Utred-

24

SOU 2017:50

Sammanfattning

ningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för person- uppgiftsbehandling för forskningsändamål av känsliga personuppgif- ter eller personuppgifter om lagöverträdelser m.m.

Utredningen har därpå analyserat om etikprövningslagens tillämp- ningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgif- ter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de ytterligare uppgifter som i dagsläget fram- går av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde.

Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Ett differentierat etikprövningsförfarande framstår som mer ända- målsenligt inom framför allt viss samhällsvetenskaplig och rätts- vetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efter- följande behandlingen endast innebär en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.

Slutligen har utredningen analyserat vilka ändringar av etikpröv- ningslagen som i övrigt behöver göras med anledning av att data- skyddsförordningen börjar tillämpas och lämnar behövliga författ- ningsförslag i dessa delar.

Anpassningar av vissa registerförfattningar

Vi har i uppdrag att i utredningens nästa skede bereda Registerforsk- ningsutredningens (U 2013:01) förslag i betänkandet Unik kunskap genom registerforskning (SOU 2014:45) vidare. Eftersom det är

25

Sammanfattning

SOU 2017:50

kort tid tills dataskyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen föreslår, som be- höver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskyddsförord- ningen ska börja tillämpas.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska an- passningar av registerlagarna i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskydds- förordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagarna ska kunna tillämpas även efter att dataskyddsförordningen börjar tilläm- pas och att de befintliga förutsättningarna för att behandla person- uppgifter i enlighet med registerlagarna i vart fall inte ska försämras.

Ikraftträdande

Enligt artikel 99 i dataskyddsförordningen ska förordningen tilläm- pas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstift- ning på generell nivå, ska träda i kraft samma dag och att person- uppgiftslagen samtidigt ska upphöra att gälla. Eftersom forsknings- datalagen utgör kompletterande nationell lagstiftning till dataskydds- förordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.

Av dataskyddsförordningen framgår att hänvisningar till data- skyddsdirektivet ska anses som hänvisningar till dataskyddsförord- ningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på

26

SOU 2017:50

Sammanfattning

plats när förordningen börjar tillämpas. Det är utredningens upp- fattning att det därmed inte finns utrymme för några övergångs- bestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål till- lämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.

Konsekvenser

Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgifts- lagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den person- liga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.

Utredningen bedömer att förslagen inte medför några kostnads- förändringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen över- lag innebär en förstärkning av den personliga integriteten.

27

Summary

Remit

In this interim report, we present our analysis of what regulation of personal data processing for research purposes is possible and may be required given that the Data Protection Regulation (EU 2016/679) is to be applied from 25 May 2018, and submit the legislative proposals required. The proposals refer to regulation in addition to the general provisions proposed by the Data Protection Inquiry (Ju 2016:04) in its report (SOU 2017:39). In addition, we have been tasked with considering, and where necessary proposing, amendments to certain related legislation.

Background, legal position and terms

The Data Protection Regulation entered into force on 24 May 2016, but under Article 99(2) is to apply from 25 May 2018. The Regulation is directly applicable in all Member States and will apply instead of equivalent national regulation. The Data Protection Regulation thus replaces the current Data Protection Directive (95/46/EC) and its implementation in Sweden by means of the Personal Data Act (1998:204). Under Article 2, the Regulation will constitute a legal starting point for the research that uses personal data and is carried out in the context of the activities of an establishment of a controller or a processor in the European Union, regardless of whether the processing takes place in the Union or not (Article 3). Research that does not encompass processing of personal data falls outside the scope of the Regulation as defined in Article 2.

29

Summary

SOU 2017:50

The term “research purposes”

In the view of the Committee, the phrase “scientific or historical research purposes”, used repeatedly in the Regulation, covers research without the need to draw any particular distinctions in meaning between these two aspects in terms of personal data pro- cessing. The Committee judges that the terms “research” and “research purposes” can be considered equivalent.

Personal data processing for research purposes should addition- ally be able to encompass all or parts of the research process. Organising personal data in databases for research purposes should be covered by what is meant by research in a broad sense. The judgment of the Committee is thus that the individual parts of this process could be designated processing for research purposes with- out all the parts having to be included. This is particularly im- portant in longitudinal studies in which subjects are studied over periods of time that sometimes span many years.

A Research Data Act

The Committee has defined a need to introduce a Research Data Act with the purpose of enabling personal data to be processed for the purpose of research and to protect the freedoms and rights of the individual in conjunction with such processing of personal data. The proposed Research Data Act must be applicable to all processing of personal data for research purposes irrespective of the legal basis for such processing.

The proposed Research Data Act is to apply in addition to that set out by the Data Protection Regulation. The general supple- mentary Data Protection Act proposed by the Data Protection Inquiry is to be subsidiary in relation to other acts and ordinances. For reasons of clarity, the Committee proposes that the Research Data Act state that the Data Protection Act applies unless stated otherwise in the Research Data Act. A statute on a specific data register or a provision in such a statute which is specifically appli- cable to processing personal data for research purposes shall take precedence over provisions to the contrary in the Research Data Act.

30

SOU 2017:50

Summary

Legal basis

Establishing public interest as a legal basis

Article 6 of the Data Protection Regulation sets out the conditions that must be met for the processing of personal data to be lawful. In the view of the Committee, the legal grounds that tend to be most relevant for research purposes are consent under Article 6(1)(a), necessary processing for the performance of a task carried out in the public interest under Article 6(1)(e) and (for private actors) balance of interests under Article 6(1)(f).

However, regarding the legal grounds under Article 6(1), the Regulation requires additional national regulation regarding Article 6(1)(e) (processing necessary for the performance of a task carried out in the public interest). Considering that Article 6(1)(e) is central in a research context, because research in general is to be considered a task carried out in the public interest, the Committee has been charged with particularly analysing and, where necessary, supplementing the Data Protection Regulation.

These requirements are set out in Article 6(2) and Article 6(3), which enable and require national provisions to determine and specify the application of the legal grounds in Article 6(1)(e). The legal basis may as an element in such specification also contain general conditions governing the specific processing, for example. Under the Data Protection Regulation, it is thus possible to intro- duce specific provisions in national law that specify when and how personal data processing for research purposes is to take place.

The requirement under Article 6(3) that the basis for the pro- cessing under Article 6(1)(e) must be laid down by Member State law creates a tangible distinction between different categories of re- search actors regarding the legal conditions for processing personal data.

As far as private actors are concerned, the research task is rarely or never laid down as prescribed by the Regulation. However, it is generally accepted that private research may also be considered to constitute a task carried out in the public interest. In order for private actors to be able to cite Article 6(1)(e), statutory provisions need to be introduced on which application can be based.

Recital 45 of the Regulation states that Member States should state which actors, including private ones, are able to perform a

31

Summary

SOU 2017:50

task carried out in the public interest, which shows that it is possible for both public and private actors to perform tasks carried out in the public interest in the sense of the Data Protection Regulation.

If no national legislative measures are taken, the provisions of the Regulation mean that public research actors predominantly have to use tasks carried out in the public interest, under Article 6(1)(e) when processing personal data for research purposes. Private research actors predominantly have to use consent, under Article 6(1)(a), or weighing up interests under Article 6(1)(f) when processing personal data for the same purposes. In the view of the Committee, the fact that the Data Protection Regulation entails such significant differences in opportunities to cite the different legal grounds in Article 6(1) when processing personal data for equivalent research purposes, in practice depending on the organisational form of the actor concerned, is unintentional.

It is necessary to have a coherent fundamental regulatory frame- work for processing personal data for research purposes, not least so as to attain protection for the personal privacy of the individual under the rule of law that is also adequate in other respects. The opportunities of different research actors to collaborate and carry out research that may benefit the public at large should be placed on as equal a footing as possible. Protection of personal privacy must remain equally high irrespective of the category into which the research actor falls. This should be achieved through safe- guards. The Committee therefore proposes that a provision be intro- duced in the Research Data Act that enables both public and private research actors to cite “task carried out in the public interest” as the legal basis for processing personal data for research purposes.

Further processing

The provisions of the Data Protection Regulation mean that personal data for research purposes may be processed further by the same controller without a new legal basis having to be cited, provided that the data was originally collected citing a legal basis under Article 6(1). This differs from the application of the Personal Data Act, in which all processing must be justified under Section 10. When the personal data was originally gathered with consent, how-

32

SOU 2017:50

Summary

ever, it is not as clear-cut whether further processing may be carried out without a new legal basis for doing so.

When transferring personal data to another controller for pro- cessing for research purposes, the new processing is still to be seen as compatible with the original processing, provided that the new purpose is research. However, the new controller must have their own legal basis for their processing for research purposes once the personal data has been transferred to them. This means that re- search actors that collect personal data for research purposes that was previously collected for other purposes, for example, by an- other agency, must cite a legal basis under Article 6(1) for the new processing. Such a legal basis may be research carried out in the public interest under Article 6(1)(e).

Consent

The definition of consent in the Data Protection Regulation essen- tially matches the provisions of the Personal Data Act. The intro- duction of the Data Protection Regulation thus entails no signifi- cant changes to the meaning of consent. Consent must be freely given, specific, informed and for sensitive personal data, explicit, and must be given by means of a statement or an unambiguously confirming document. The latter wording of the type of activity approved as consent has been added to the definition compared with the Personal Data Act.

The Committee judges that Article 9(2)(a) of the Regulation together with the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) means that it is possible to also process sensitive personal data for research pur- poses with consent as the legal basis if consent exists together with ethical approval under the Ethical Review Act.

Recital 33 of the Data Protection Regulation involves expanding the potential scope of consent where the purpose of the research concerned cannot be described precisely at the time of data collection. At the same time, Recital 43 of the Data Protection Regulation in- volves restrictions, for public authorities, regarding the opportunity to use consent as the legal basis for processing personal data. Here,

33

Summary

SOU 2017:50

it is of particular importance whether the legal basis of public interest exists concurrently with consent being obtained.

The Data Protection Regulation offers no final solution to the hybrid circumstances already highlighted by the Article 29 Working Party and which mean that the validity of consent may be questioned.

Further processing of personal data for research purposes should normally be covered by obtaining new consent, irrespective of whether this is carried out by the same or a new controller. This should apply irrespective of the wording of Article 5(1)(b) second sentence if it is possible in practical terms and not inappropriate on ethical grounds.

Sensitive personal data

Article 9(1) of the Data Protection Regulation states that pro- cessing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union member- ship, and the processing of genetic data, biometric data for the pur- pose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. The Data Protection Regulation’s definition of this category of personal data is somewhat expanded compared with that in the Data Protection Directive. Furthermore, Article 9 of the Data Protection Regulation uses the term special categories of personal data. However, in line with the view of the Data Protection Inquiry, we are choosing to continue to term this kind of data sensitive personal data.

For processing of sensitive personal data to be permitted under certain conditions, support must be provided in Member State law with suitable and specific safeguards. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research. As the main safeguard, the Committee proposes that the ethical review requirement in line with the Ethical Review Act remains.

34

SOU 2017:50

Summary

Personal data that concern criminal offences, etc.

Processing of personal data relating to criminal convictions and offences is regulated in Article 10 of the Data Protection Regulation. Under the Data Protection Regulation, supplementary regulation in Member State law is required for bodies other than an official authority to be able to process data that concern criminal offences, etc. for research purposes. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research.

Such regulation must furthermore contain provisions on suitable measures to safeguard the fundamental rights and interests of the data subject. The Committee proposes that ethical review under the Ethical Review Act should continue to be the main safeguard.

Personal identity numbers and coordination numbers

The regulation proposed by the Data Protection Inquiry for the processing of personal identity numbers and coordination numbers contains the same directly applicable conditions as found in current legislation. These conditions are likely to be met in certain research contexts.

The Committee judges that the legal position regarding the use of personal identity numbers for research purposes will not be changed by the provisions proposed by the Data Protection Inquiry. Compared with today, the same conditions must be met to permit processing of personal identity numbers, and the Government and the supervisory authority have the same opportunities as before to issue special provisions in the form of statutes on specific data registers for certain types of processing. There is thus no need for additional supplementary national regulation.

Restrictions on the rights of the data subject

Chapter III of the Data Protection Regulation (Articles 12–23) sets out the rights of the data subject in conjunction with the pro- cessing of his or her personal data. These rights may be restricted

35

Summary

SOU 2017:50

under certain circumstances. The Data Protection Inquiry has pro- posed certain general restrictions to these rights.

According to Article 89(2) of the Data Protection Regulation, where personal data are processed for scientific or historical re- search purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of Article 89. We have therefore analysed the effect of these rights on research and propose certain restrictions in the Research Data Act.

The right to rectification (Article 16) shall not apply to such personal data as is processed for research purposes if this is only preserved for archiving purposes. The right to rectification shall otherwise apply without derogations.

The right to restriction of processing (Article 18) shall not apply where the data subject contests the accuracy of the data during the verification period required in order to verify the accuracy of the personal data if this means that the research cannot be carried out or would be crucially delayed or impeded. The same shall apply when the data subject has objected to processing, pending the veri- fication whether the legitimate grounds of the controller override those of the data subject.

There is no need for further derogations from the right of access (Article 15) or the right to object (Article 21) where personal data is processed for research purposes, in addition to that proposed by the Data Protection Inquiry.

Monitoring and sanctions

The Committee has addressed issues of monitoring and sanctions in a general sense in relation to the processing of personal data for research purposes.

The Data Protection Inquiry proposes that the Swedish Data Protection Authority be appointed as a supervisory authority and have the powers under the Data Protection Regulation over the national Data Protection Act that supplements the Data Protection Regulation at a general level and the other national statutes that supplement the Data Protection Regulation.

36

SOU 2017:50

Summary

Because the proposed Research Data Act supplements the Data Protection Regulation, it is the view of the Committee that the provision proposed by the Data Protection Inquiry thus also covers the Research Data Act regarding the powers of the super- visory authority. Therefore there is no need to introduce a separate provision on monitoring in the Research Data Act.

The Data Protection Inquiry proposes a provision in the Data Protection Act that provides that the right to compensation under Article 82 of the Data Protection Regulation also applies to in- fringement of the provisions of this act, i.e. the Data Protection Act, and other statutes supplementing the Data Protection Regulation. It is the view of the Committee that the provision proposed by the Data Protection Inquiry thereby also covers the right to com- pensation in the event of infringement of the Research Data Act. There is therefore no need to introduce a specific provision on compensation in the Research Data Act.

Safeguards

Our mandate was to analyse the safeguards that should apply to all processing of personal data for research purposes and the form these safeguards should take. Regarding sensitive personal data and personal data relating to criminal offences, etc, our mandate was to analyse the need for supplementary provisions in order to be able to process this data at all, and to determine which suitable and specific measures such a regulation should contain.

We have therefore analysed key concepts, such as personal data, pseudonymisation and anonymisation, so as to subsequently examine the requirements in the Data Protection Regulation regarding safeguards. Furthermore, we have analysed a selection of organi- sational, technical and legal measures to safeguard the fundamental rights of the data subject, particularly in the light of the security requirements of the Data Protection Regulation.

Bearing in mind existing opportunities to regulate safeguards when personal data is processed for research purposes, we judge that it is possible and appropriate to introduce such regulation in the form of a statute. Compared with conditions set in conjunction with ethical approval and codes of conduct, statutory regulation

37

Summary

SOU 2017:50

can provide greater clarity in application and ensure that suitable measures are also taken regarding processing that does not cover sensitive personal data or personal data that concerns criminal offences, etc.

The Committee proposes that the existing provision in the Personal Data Act, which states that data gathered for research purposes may not normally be used to take measures regarding the data subject, be transferred to the Research Data Act.

Furthermore, we propose that a provision be introduced in the Research Data Act stating that personal data must be pseudonymised or protected in an equivalent manner when processed for research purposes provided that the purpose can be attained by doing so.

Finally, we propose that the individual be given an opportunity to contest their personal data being processed for research pur- poses. If providing the data subject with the opportunity to contest the processing of their data proves to be impossible or involves disproportionate effort, or if the purposes of the research cannot otherwise be attained, the data may, however, be processed never- theless.

Proportionate legislation

The Committee has analysed the proposed provisions of the Research Data Act on the basis of the requirements predominantly of proportionality laid down in the Data Protection Regulation, the Instrument of Government and other relevant legal instruments. The analysis has been carried out on the assumption that the pro- posed Act is a form of framework legislation which is unable to regulate the processing of personal data at a detailed level, and that the actual processing of personal data carried out in research projects must be examined on the basis of the same proportionality requirement. Here, the proposed safeguards constitute a basis for ensuring that the infringement that the processing of personal data in question involves is proportionate to the expected benefit of the research.

The proposed regulation must meet requirements of propor- tionality laid down in several different legal contexts. The view of the Committee, on the basis of the survey of privacy carried out,

38

SOU 2017:50

Summary

the safeguards proposed and the value of the processing of personal data enabled by the regulation, is that the Research Data Act is pro- portionate on the basis of all these proportionality requirements.

Ethical review

The Committee has analysed the modifications that need to be made to the Act (2003:460) concerning the Ethical Review of Research Involving Humans before the Data Protection Regulation starts to be applied. Initially, the Committee has addressed the issue of ethical review as a safeguard in line with the requirements of the Data Protection Regulation and reached the conclusion that ethical review constitutes such a suitable and specific safeguard as required by the Data Protection Regulation to process for research purposes sensitive personal data or personal data that concerns criminal offences, etc.

The Committee subsequently analysed whether the area of application of the Ethical Review Act should be expanded to apply to all processing of personal data for research purposes and reached the conclusion that this would be far too invasive a measure that is disproportionate for its purpose. The Committee therefore pro- poses that the requirement for ethical review, also in the future, cover the processing for research purposes of sensitive personal data or personal data that concerns criminal offences, etc. in line with the definitions set out in Articles 9(1) and 10 of the Data Protection Regulation, and that the ethical review requirement regarding the additional data currently set out in Section 21 of the Personal Data Act should continue to be covered by the area of application in the Ethical Review Act in the future.

The Committee has further found that there is reason to further investigate the need for changes to the ethical review procedure. A differentiated ethical review procedure appears to be more fit for purpose predominantly in certain sociological and legal research. We submit several examples of such needs in conjunction with pro- cessing personal data for research purposes being based on data that is already published and where subsequent processing merely involves a minor privacy risk. In the light of restrictions to our

39

Summary

SOU 2017:50

mandate and frameworks in general, we propose that this be in- vestigated further in a separate form.

Finally, the Committee has analysed the amendments to the Ethical Review Act that otherwise need to be made as the Data Protection Regulation starts to be applied and submits the necessary statutory proposals in this regard.

Modifications to certain register statutes

In the next stage of the inquiry we have been charged with further preparing the proposals of the Register-based Research Inquiry (U 2013:01) in the report Unik kunskap genom registerforskning

(Unique knowledge through register-based research) (SOU 2014:45). As it is not long until the Data Protection Regulation starts to be applied, 25 May 2018, no general regulation governing research databases will be in place by then. Therefore, in an initial phase, an analysis needs to be carried out regarding which adaptations in respect to the Data Protection Regulation and the general regulation proposed by the Data Protection Inquiry that need to be carried out to the Act (2013:794) on certain registers for research into the impact of genetics and environment on people’s health and the Act (1999:353) on a forensic psychiatric research register until the Data Protection Regulation starts to be applied.

Because the Committee has a mandate in a second phase to in- vestigate and propose long-term regulation of research databases, this first part of the mandate has focused solely on technical legal modifications to the register statutes in relation to the provisions of the Data Protection Regulation. This means that, in present phase, the Committee has assumed that considerations already made and its views on this matter should be adopted where these are compatible with the Data Protection Regulation. The analysis is thus focused on such amendments as are necessary due to the Data Protection Regulation. The overall purpose of the mandate in this phase is to ensure that the legislation on registers can also be applied after the Data Protection Regulation starts to be applied on 25 May 2018, and that the existing conditions for processing personal data in line with legislation on registers will not in any case be watered down.

40

SOU 2017:50

Summary

Entry into force

According to Article 99 of the Data Protection Regulation, the Regulation is to be applied from 25 May 2018. The Data Protection Inquiry proposes that the Data Protection Act, which constitutes supplementary national legislation at a general level, is to enter into force the same day and that the Personal Data Act cease to apply at the same time. Because the Research Data Act constitutes supple- mentary national legislation to the Data Protection Act in the research sector, we also propose that it should enter into force the same day.

The Regulation states that references to the Data Protection Directive must be construed as references to the Data Protection Regulation as this starts to be applied and the Directive is thus repealed. Recital 171 of the Data Protection Regulation further- more states that adaptations in Member States should be in place when the Regulation starts to be applied. It is the view of the Committee that there is thereby no scope for any transitional provisions in the Research Data Act. From 25 May 2018 all pro- cessing of personal data for research purposes must thus apply the Data Protection Regulation and, where this is supplemented, the Research Data Act and at a general level also the Data Protection Act.

Consequences

The Commission has been charged with analysing the consequences of our proposals on the basis of certain specifically stated aspects. Our proposals are simultaneously primarily caused by other changes, mainly the abolition of the Personal Data Act and the entry into force of the Data Protection Regulation, but also the proposals sub- mitted by the Data Protection Inquiry. We have therefore limited the analysis to such consequences that we have an opportunity to influence in any real sense, and operated on the basis of the aim of retaining the opportunities for research and protection of personal privacy that follow from current regulation. We will therefore not analyse the consequences of the Data Protection Regulation starting to be applied.

41

Summary

SOU 2017:50

The Committee judges that the proposals will not involve any changes in costs for the actors referred to in the Swedish Committees Ordinance (1998:1474). Furthermore, it is the view of the Committee that the proposals in general will reinforce personal privacy.

42

1 Författningsförslag

1.1Förslag till forskningsdatalag

Inledande bestämmelser

1 § Syftet med denna lag är att möjliggöra personuppgiftsbehand- ling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

2 § Denna lag kompletterar Europaparlamentet och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskydds- förordningen.

3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen).

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som av- viker från denna lag ska de bestämmelserna gälla.

Lagens tillämpningsområde

4 § Denna lag tillämpas vid behandling av personuppgifter för forskningsändamål.

43

Författningsförslag

SOU 2017:50

Behandling av personuppgifter för forskningsändamål

Rättslig grund

5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

6 § Personuppgifter får med stöd av artikel 6.1 e i dataskydds- förordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndig- heter, kommuner och landsting, andra juridiska personer och en- skilda näringsidkare.

Generella skyddsåtgärder

7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8–10 §§ denna lag.

8 § Vid personuppgiftsbehandling för forskningsändamål ska personuppgifterna pseudonymiseras eller vara skyddade på likvär- digt sätt, om ändamålet kan uppfyllas på det viset.

9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.

Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att mot- sätta sig behandlingen, eller om ändamålet annars inte kan upp- fyllas, får personuppgiftsbehandling ändå utföras.

10 § Personuppgifter som behandlas för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

44

SOU 2017:50

Författningsförslag

Känsliga personuppgifter

11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etik- prövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.

Personuppgifter om lagöverträdelser m.m.

12 § Personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etik- prövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forsk- ningsändamål.

Undantag från registrerades rättigheter

13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskydds- förordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgif- ter behandlas för forskningsändamål om utövandet av rätten med- för att forskningen inte kan utföras, eller på ett avgörande sätt för- senas eller försvåras.

45

Författningsförslag

SOU 2017:50

Utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut för att behandlas för forsk- ningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forsk- ning som avser människor får avse den information som ska lämnas till den registrerade.

Denna lag träder i kraft den 25 maj 2018.

46

behandling av personupp- gifter: sådan behandling som anges i artikel 4.2 i Europaparla- mentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförord- ningen.
47

SOU 2017:50

Författningsförslag

1.2Förslag till

lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikpröv- ning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskole- utbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personupp- gifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

1 Senaste lydelse SFS 2008:192.

Författningsförslag

SOU 2017:50

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling

av

1.känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2.personuppgifter om lag- överträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförord- ningen (känsliga personuppgifter), eller

2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse SFS 2008:192.

48

SOU 2017:50

Författningsförslag

1.3Förslag till

lag om ändring i lagen (2013:794) om vissa register för forskning om

vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13 och 17 §§ ska upphöra att gälla,

dels att 2, 3, 12, 14 och 16 §§ och rubriken närmast före 3 § och 16 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §3

Lagen gäller behandling av personuppgifter som utförs av så- dana statliga universitet och högskolor som omfattas av högskole- lagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1§ 1.

Lagen gäller bara om behand- lingen är helt eller delvis automa- tiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.

3 Senaste lydelse SFS 2013:794.

49

3 §4
Personuppgiftslagen (1998:204) Denna lag kompletterar Europa- gäller vid behandling av person- parlamentets och rådets förordning uppgifter, om inte annat följer av (EU) 2016/679 av den 27 april denna lag. 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförord-
ningen.
3 a §
Lagen (2018:XX) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (dataskydds- lagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har med- delats med stöd av denna lag eller lagen med kompletterande bestäm- melser till EU:s dataskyddsförord- ning.
12 §5
Personuppgifter som inte Personuppgifter som inte längre behövs för de ändamål längre behövs för de ändamål som avses i 5 § 1 och 2 ska gall- som avses i 5 § 1 och 2 ska gall- ras, om inte regeringen eller den ras, om inte regeringen eller den myndighet som regeringen be- myndighet som regeringen be- stämmer har meddelat föreskrif- stämmer har meddelat föreskrif-
4 Senaste lydelse SFS 2013:794.
5 Senaste lydelse SFS 2013:794.
50
Författningsförslag
Förhållandet till personuppgiftslagen

SOU 2017:50

Förhållandet till

annan dataskyddsreglering

SOU 2017:50 Författningsförslag

ter om eller i ett enskilt fall be-

ter om eller i ett enskilt fall be-

slutat att uppgifter får bevaras

slutat att uppgifter får bevaras

för historiska, statistiska eller

för

arkivändamål av allmänt

vetenskapliga ändamål.

intresse, vetenskapliga eller histo-

 

riska

forskningsändamål eller

 

statistiska ändamål.

14 §6

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personupp-

gifter behandlas enligt denna lag.

 

 

 

 

 

 

Innan en person lämnar sitt

Utöver vad som framgår av

samtycke enligt första stycket ska

artiklarna 13 och 14 i dataskydds-

han eller hon ha informerats om

förordningen ska en person innan

 

 

 

 

 

 

han eller hon lämnar sitt samtycke

 

 

 

 

 

 

enligt första stycket ha informerats

 

 

 

 

 

 

om

 

 

 

 

 

1. att

det

är

frivilligt

att

1. att

det

är

frivilligt

att

lämna uppgifter,

medverka

till

lämna uppgifter,

medverka

till

upptagningar

eller

genomgå

upptagningar

eller

genomgå

undersökningar i syfte att upp-

undersökningar i syfte att upp-

gifter om detta förs in i registret

gifter om detta förs in i registret

samt att den registrerade när

samt att den registrerade när

som helst kan avbryta sitt upp-

som helst kan avbryta sitt upp-

giftslämnande,

sin

medverkan

giftslämnande,

sin

medverkan

eller sitt deltagande helt eller

eller sitt deltagande helt eller

delvis,

 

 

 

 

 

delvis,

 

 

 

 

 

2. för vilka ändamål behand-

2. vilka uppgifter som

får

ling kan ske enligt 5–7 §§ och vilka

registreras enligt 9 §,

 

 

uppgifter

som

får

registreras

 

 

 

 

 

 

enligt 9 §,

 

 

 

 

 

 

 

 

 

 

3. de

sekretess-

och säker-

3. de

sekretess-

och säker-

hetsbestämmelser som gäller för

hetsbestämmelser som gäller för

registret,

 

 

 

 

 

registret,

 

 

 

 

 

6 Senaste lydelse SFS 2013:794.

51

Författningsförslag

SOU 2017:50

4.vem som är personuppgifts- ansvarig,

5.hur länge uppgifterna sparas,

6.rätten till rättelse av upp- gifterna,

7.rätten till information en- ligt 15 § denna lag och 26 § per- sonuppgiftslagen (1998:204),

8.vilken myndighet som har tillsyn över att denna lag följs,

9.rätten till skadestånd, och

10.rätten att få uppgifter ut- plånade.

4.rätten till information en- ligt 15 § denna lag och artikel 15

idataskyddsförordningen,

5.vilken myndighet som har tillsyn över att denna lag följs, och

6.rätten till skadestånd.

Utplåning av uppgifter

Radering av uppgifter

16 §7

 

 

 

Den registrerade har rätt att

I

artikel 17

i dataskyddsför-

när som helst begära att uppgifter

ordningen finns bestämmelser om

i registret om honom eller henne

rätt till radering. En begäran om

ska utplånas. En sådan begäran

radering

ska

göras skriftligen

ska göras skriftligen hos den

hos

den

personuppgiftsansva-

personuppgiftsansvarige och vara

rige och vara undertecknad av

undertecknad av den registrerade

den registrerade själv. Om begä-

själv. Om begäran innefattar ut-

ran innefattar radering av sådana

plåning av sådana uppgifter som

uppgifter som avses i 9 § första

avses i 9 § första stycket 7 ska

stycket 7 ska detta särskilt anges.

detta särskilt anges.

 

 

 

 

Den personuppgiftsansvarige

Den personuppgiftsansvarige

ska inom två månader från det

ska inom två månader från det

att begäran gjordes utplåna upp-

att begäran gjordes radera upp-

gifterna i enlighet med begäran

gifterna i enlighet med begäran

och sända den registrerade en

och sända den registrerade en

bekräftelse på att så har skett.

bekräftelse på att så har skett.

Om den enskilde inte har be-

Om den enskilde inte har be-

gärd utplåning även av uppgifter

gärd radering även av uppgifter

som avses i 9 § första stycket 7

som avses i 9 § första stycket 7

7 Senaste lydelse SFS 2013:794.

52

SOU 2017:50

Författningsförslag

ska en kopia på dessa uppgifter bifogas bekräftelsen med en på- minnelse om att den enskilde har rätt att begära att även få dem utplånade.

ska en kopia på dessa uppgifter bifogas bekräftelsen med en på- minnelse om att den enskilde har rätt att begära att även få dem raderade.

Denna lag träder i kraft den 25 maj 2018.

53

Vid behandling av personupp- gifter för det rättspsykiatriska forsk- ningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad data- skyddsförordningen.
2 a §
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (dataskydds-

Författningsförslag

SOU 2017:50

1.4Förslag till

lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykia- triskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

2 §8

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykia- triska forskningsregistret.

8 Senaste lydelse SFS 1999:353.

54

SOU 2017:50

Författningsförslag

lagen) gäller vid behandling av personuppgifter för det rättspsykia- triska forskningsregistret, om inte annat följer av denna lag eller före- skrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

 

 

12 §9

 

 

 

När personuppgifter i ett mål

När personuppgifter i ett mål

första gången registreras i det

första gången registreras i det

rättspsykiatriska

forsknings-

rättspsykiatriska

forsknings-

registret skall

Rättsmedicinal-

registret

ska

Rättsmedicinal-

verket lämna

den

registrerade

verket lämna

den

registrerade

information om behandlingen.

information om behandlingen.

Informationen skall innehålla

Utöver vad som framgår av

upplysningar om

 

artikel 14

i

dataskyddsförord-

1.att Rättsmedicinalverket är ningen ska informationen inne- personuppgiftsansvarigt för be- hålla upplysningar om handlingen,

2.ändamålen med behand-

lingen,

 

 

 

3. vilken typ av uppgifter be-

 

 

 

handlingen avser,

 

 

 

4. mottagarna av uppgifterna,

 

 

 

5. de sekretess- och säkerhets-

1. de sekretess- och säkerhets-

bestämmelser som gäller för be-

bestämmelser som gäller för be-

handlingen,

handlingen,

 

 

6. bestämmelserna i person-

2. bestämmelserna

i

data-

uppgiftslagen (1998:204) om infor-

skyddsförordningen

och

data-

mation som skall lämnas efter an-

skyddslagen om den

registrerades

sökan samt om rättelse och skade-

rätt till skadestånd, samt

 

stånd, samt

 

 

 

9 Senaste lydelse SFS 1999:353.

55

Författningsförslag SOU 2017:50

7. de begränsningar i fråga

3. de begränsningar i fråga

om tillgång till uppgifter, utläm-

om tillgång till uppgifter, utläm-

nande av uppgifter på medium

nande av uppgifter på medium

för automatiserad behandling och

för automatiserad behandling och

bevarande av uppgifter som gäller

bevarande av uppgifter som gäller

för behandlingen.

för behandlingen.

Denna lag träder i kraft den 25 maj 2018.

56

2 Vårt uppdrag och arbete

2.1Utredningsuppdraget

Vårt övergripande uppdrag (dir. 2016:65, se bilaga 1) har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen1 börjar tillämpas den 25 maj 2018, dels lämna nödvändiga författningsförslag. Förslagen ska gälla regler- ing utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning. Det uppdrag som nu redovisas har bestått av två huvudsakliga delar: reglering av personuppgiftsbehand- ling för forskningsändamål samt anpassningar av vissa registerförfatt- ningar.

2.1.1Reglering av personuppgiftsbehandling för forskningsändamål

Den första delen av vårt uppdrag har varit att föreslå komplette- rande reglering i förhållande till de anpassningar av svensk lagstift- ning som Dataskyddsutredningen (Ju 2016:04) föreslår. Syftet med denna kompletterande reglering är att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Uppdraget inne- fattar huvudsakligen följande:

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning).

57

Vårt uppdrag och arbete

SOU 2017:50

Att lämna förslag på lämpliga skyddsåtgärder för den registrera- des fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av.

Att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Att, vid en sådan eventuell utvidgning av kravet på etikprövning, analysera vilka anpassningar som kan behöva göras i de bestäm- melser i etikprövningslagen som reglerar handläggningen av ären- dena, samt att överväga om det bör införas ett enklare förfar- ande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den en- skildes integritet.

Att se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår.

Att analysera om det, utöver den generella reglering som Data- skyddsutredningen föreslår och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som regle- rar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka be- stämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla.

Att analysera om det utöver den generella reglering som Data- skyddsutredningen föreslår även finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och histo- riska forskningsändamål och lämna förslag på hur sådana undan- tag i så fall bör utformas, samt

Att lämna de författningsförslag som behövs.

58

SOU 2017:50

Vårt uppdrag och arbete

2.1.2Vissa anpassningar av registerförfattningar

Eftersom det är kort tid tills dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser då inte kommer att kunna vara på plats, behöver det i ett första skede analyseras vilka anpassningar som behöver göras i viss lagstiftning som reglerar specifika forskningsdatabaser. De författningar som anges i utredningens direktiv är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister.

2.1.3Fortsatta uppdrag

I tilläggsdirektiv (dir. 2017:29, se bilaga 2) har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskydds- förordningen, kan behövas för att personuppgifter ska kunna be- handlas på ett ändamålsenligt sätt i Kungliga bibliotekets verksam- het. Detta deluppdrag ska redovisas senast den 13 oktober 2017.

Utöver ovanstående har utredningen även i uppdrag att i ett nästa skede föreslå långsiktiga regleringar av forskningsdatabaser, analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning samt lämna för- slag till en reglering av Nationella biobanksregistret. Detta deluppdrag ska redovisas senast den 27 april 2018.

2.2Anknytande utredningar

Det framhålls i utredningens direktiv att en enhetlig tolkning bör eftersträvas vid anpassningen av svensk rätt till den nya EU-regler- ingen. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Behovet av planering och samordning när det gäller utrednings- och lagstift- ningsarbetet på detta område har även uppmärksammats av Justitie- kanslern.2

Utredningen har därför på flera sätt samverkat med andra utred- ningar vars uppdrag berör dataskyddsförordningen.

2 Remissyttrande över betänkandet Hur står det till med den personliga integriteten? (SOU 2016:41), dnr 4260-16-80.

59

Vårt uppdrag och arbete

SOU 2017:50

2.2.1Dataskyddsutredningen

Av utredningsdirektiven framgår på flera ställen att vi ska förhålla oss till den reglering som Dataskyddsutredningen (Ju 2016:04) haft i uppdrag att föreslå. Vi har därför löpande hållit oss uppdaterade om Dataskyddsutredningens arbete och utgått från dess förslag när vi bedömt vilken ytterligare reglering som behövs för personuppgifts- behandling för forskningsändamål.

Av Dataskyddsutredningens direktiv (dir. 2016:15) framgår att den utredningen har att analysera vilka övriga kompletterande be- stämmelser om behandling av personuppgifter för arkivering i all- mänhetens intresse samt för vetenskapliga eller historiska forsk- ningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. Eftersom våra utredningsdirektiv beslutades efter ovanstående direktiv resulterade detta i ett delvis överlapp- ande uppdrag för dessa båda utredningar. Mot denna bakgrund har vi i samråd med Dataskyddsutredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdata- utredningen är bäst lämpad att göra den analys och de övervägan- den som krävs i detta sammanhang. Dataskyddsutredningen har därför på eget initiativ avstått från att i sitt betänkande behandla frågan om behandling av personuppgifter för forskningsändamål.

2.2.2Samordningsgruppen

Dataskyddsförordningen har föranlett ett stort antal utrednings- initiativ, både i form av uppdrag för särskilda utredare såväl som departementsinterna utredningar. Uppdragen har handlat om såväl anpassning av befintlig lagstiftning inom en viss sektor för att vara förenlig med dataskyddsförordningen, som annat lagstiftnings- arbete som måste beakta dataskyddsförordningens krav.

Av direktiven framgår att utredningen ska hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, i syfte att uppnå en enhetlig nationell reglering. Mångfalden utredningar som haft anledning att utforska dataskyddsförordningen ur ett svenskt perspektiv föranledde bildandet av en informell samord- ningsgrupp. Gruppen har haft tio möten under hösten 2016 och

60

SOU 2017:50

Vårt uppdrag och arbete

våren 2017, och har utgjort ett forum för dialog om gemensamma frågor om terminologi, avgränsningar, rättsliga bedömningar m.m. i arbetet med att anpassa den nationella lagstiftningen till dataskydds- förordningen.

Sammanlagt har representanter för ett femtontal utredningar deltagit i gruppens möten.

2.2.3Övriga kontakter

Utöver arbetet i samordningsgruppen har utredningen genom en- skilda möten hållit sig särskilt informerad om och beaktat arbetet i Dataskyddsutredningen (Ju 2016:04), Utbildningsdatautredningen (U 2016:03), Socialdataskyddsutredningen (S 2016:05), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), Utred- ningen om översyn av etikprövningen (U 2016:02) och Integritets- kommittén (Ju 2014:09).

2.3Utredningsarbetet

Arbetet har utgått från utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och två övriga sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga.

2.3.1Expertgruppsmöten

Utredningens expertgrupp (inbegripet de sakkunniga) har hittills sammanträtt sammanlagt sex gånger, inklusive ett internatsamman- träde. I samband med dessa möten har ett antal promemorior pre- senterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utred- ningen vid särskilda möten och i dialog om specifika frågor m.m.

2.3.2Referensgruppsmöten

Utöver expertgruppen har utredningen bildat en referensgrupp med närmare tjugo deltagare. Syftet med denna grupp har varit att komplettera utredningens perspektiv och ta tillvara kompetens i

61

Vårt uppdrag och arbete

SOU 2017:50

utredningens frågor som deltagarna besitter. Personerna i referens- gruppen har medverkat i arbetet utan ersättning och i mån av tid.

Utredningen har hittills haft två möten med referensgruppen i sin helhet för att diskutera uppdraget och anknytande frågor av särskild betydelse för utredningen, samt flera mindre möten med delar av referensgruppen för att närmare diskutera tekniska och organisatoriska skyddsåtgärder.

2.3.3Hearing

Utredningen har uppmärksammats på vissa behov av översyn av etikprövningslagens nuvarande krav avseende bland annat forsk- ning som innefattar behandling av personuppgifter ur offentligt material. Med anledning av detta anordnade utredningen den 2 mars 2017 en hearing. Deltagare var företrädare för rättsveten- skaplig forskning från Linköpings universitet, Lunds universitet, Stockholms universitet, Umeå universitet, Uppsala universitet och Örebro universitet, som delgav utredningen synpunkter på dagens etikprövningskrav och behovet av en översyn i vissa delar.

2.3.4Övriga möten

Utredningen har i olika sammanhang träffat representanter från Stockholms läns landsting, Kungliga biblioteket, Rättsmedicinal- verket och Finansdepartementets utredning om mikrosimulerings- modellen FASIT. Utredningen har även presenterat pågående arbete på ett möte med nätverket för EU:s dataskyddsförordning, organi- serat av Pensionsmyndigheten.3 Utredningen har också deltagit i det årliga nationella mötet med SUNET4 som i år varit inriktat på konsekvenserna av förordningens införande för svenska universitet.

Utredningen har utöver detta tillsammans med utbildnings- departementets representant medverkat vid två möten i ett nor- diskt samarbete mellan företrädare för regeringar och myndigheter

3Nätverket för EU:s dataskyddsförordning arbetar med att bevaka den nationella rätts- utvecklingen och tolka bestämmelserna i dataskyddsförordningen.

Se http://www.esamverka.se/om-esam/organisation-och-forum/natverket-for-eus- dataskyddsforordning.html

4Swedish University computer Network, se http://www.sunet.se

62

SOU 2017:50

Vårt uppdrag och arbete

kring förberedelser inför dataskyddsförordningens införande. Utred- ningen har dessutom deltagit i ett möte med representanter för forskarintressen i de nordiska länderna.

2.4Betänkandets disposition m.m.

Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till dataskyddsförordningen och den nuvarande regleringen, med ett särskilt fokus på villkoren för forskning.

Kapitel 4 behandlar förslaget till forskningsdatalag och lagens tillämpningsområde. Kapitel 5 redogör för utredningens bedöm- ning och förslag avseende fastställande av den rättsliga grunden all- mänt intresse. Kapitel 6 behandlar samtycke till personuppgifts- behandling för forskningsändamål. Kapitel 7, 8 och 9 redogör för särskilda regler för känsliga personuppgifter, personuppgifter om lag- överträdelser m.m. samt personnummer och samordningsnummer. Kapitel 10 behandlar vissa begränsningar av registrerades rättig- heter och kapitel 11 rör frågor om tillsyn och sanktioner.

Eftersom dataskyddsförordningen särskilt kräver skyddsåtgär- der för behandling av personuppgifter i flera sammanhang inne- håller kapitel 12 en översiktlig analys av förordningens krav, tänk- bara skyddsåtgärder av olika slag samt författningsförslag till vissa skyddsåtgärder.

I kapitel 13 bedöms den föreslagna lagstiftningens proportiona- litet gentemot de grundläggande rättigheter som framgår ur bl.a. regeringsformen och Europakonventionen.

Frågor om etikprövning avhandlas i kapitel 14, bl.a. hur etik- prövningen ska regleras för att uppfylla förordningens krav på sär- skilda och lämpliga skyddsåtgärder och frågan om etikprövnings- lagens tillämpningsområde.

Den del av utredningens uppdrag som rör översyn av befintliga registerförfattningar för att föreslå nödvändiga förändringar i sam- band med dataskyddsförordningen redovisas i kapitel 15.

Nödvändiga ikraftträdandebestämmelser avhandlas i kapitel 16. Konsekvensbedömningar finns i kapitel 17. Författningsförslagen kommenteras i kapitel 18.

Utredningens direktiv återges i bilaga 1 och 2. Avslutningsvis finns även en strukturerad genomgång av dataskyddsförordningen

63

Vårt uppdrag och arbete

SOU 2017:50

med betoning på de bestämmelser som är av vikt för forskning i bilaga 3.

Till sist kan noteras att betänkandetexten är utformad med an- vändning av ”vi-form” omfattande utredningen i sin helhet. Arbetet har bedrivits med aktivt deltagande av och i samverkan med experter och sakkunniga. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika special- områden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

64

3Bakgrund, rättsliga utgångspunkter och begrepp

3.1Inledning

Dataskyddsutredningen (Ju 2016:04) har i uppdrag att redogöra för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen1 börjar tillämpas.2 Utöver detta ska ett antal sektorsspecifika utred- ningar analysera konsekvenserna för specifika samhällssektorer. Forskningsdatautredningen har i uppdrag att analysera vilken regler- ing av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella kompletterings- lagstiftning som Dataskyddsutredningen föreslår, samt komma med lämpliga författningsförslag.3 I detta kapitel presenteras utgångs- punkterna för arbetet i form av bakgrund, rättsliga utgångspunkter och centrala begrepp.

Kapitlet inleds med en kort redogörelse för den reglering som för närvarande gäller med avseende på personuppgiftsbehandling för forskningsändamål. Därefter följer en redogörelse för EU:s data- skyddsreform utifrån ett forskningsperspektiv, där utvecklingen fram till den slutgiltiga förordningstexten vad gäller några för forsk- ningen särskilt viktiga frågor beskrivs.

För att avgränsa konsekvenserna av dataskyddsförordningens införande, och kunna lämna de författningsförslag som behövs, krävs som utgångspunkt en genomgång av några centrala begrepp. Därför följer också en allmänt hållen analys av vad som i detta sam- manhang avses med begreppet forskning och vad som avses med

1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

2Dir. 2016:15.

3Dir. 2016:65.

65

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

förordningens uttryck ”vetenskapliga och historiska forsknings- ändamål”. Även överväganden om behovet av att skilja mellan vetenskapliga och historiska forskningsändamål samt om det finns behov av att skilja på begreppen forskning och forskningsändamål behandlas. Slutligen görs en bedömning av vad som avses med personuppgiftsbehandling för forskningsändamål, som därmed utgör avgränsningen för det materiella tillämpningsområdet av dataskydds- förordningens bestämmelser och de kompletterande bestämmelser som föreslås i detta betänkande.

3.2Rättsliga utgångspunkter

Persondataskydd regleras på många nivåer, av olika aktörer. FN:s allmänna förklaring om de mänskliga rättigheterna, Europakonven- tionen och EU:s rättighetsstadga innehåller alla någon form av skydd för privatlivet, i vilket ingår ett skydd för den enskildes personliga integritet och personuppgifter. I anslutning till sådana allmänna rättighetsförklaringar finns ofta även mer detaljerade konventioner eller andra rättsliga instrument som närmare behandlar persondata- skydd.

I det följande ger vi en inledande översikt av de rättsliga instru- ment som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Det nuvarande dataskyddsdirektivet och data- skyddsförordningen behandlas löpande genom hela betänkande- texten. Övriga rättsliga instrument behandlas mer ingående i vissa avsnitt, exempelvis i kapitlen om proportionerlig lagstiftning och etikprövning. Genomgången utgår delvis från liknande översikter i framför allt SOU 2014:45 samt SOU 2016:41.4

4 SOU 2014:45 – Unik kunskap genom registerforskning (Registerforskningsutredningen) respektive SOU 2016:41 – Hur står det till med den personliga integriteten? (Integritets- kommittén).

66

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

3.2.1Internationell reglering

I det följande behandlas reglering som härstammar från Förenta nationerna, Europarådet samt Europeiska unionen, i den ordningen.

FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Artikel 12 i FN:s allmänna förklaring om mänskliga rättigheter stadgar att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för an- grepp på sin heder eller sitt anseende. Var och en har rätt till lagligt skydd mot sådana ingripanden och angrepp. FN:s allmänna förklar- ing om de mänskliga rättigheterna är inte rättsligt bindande men ses som ett uttryck för sedvanerättsliga regler.

Sverige är ansluten till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i ovan- nämnda artikel 12 i den allmänna förklaringen. Konventionen är till skillnad från förklaringen bindande för anslutna stater.

FN:s generalförsamling antog den 14 december 1990 riktlinjer om datoriserade register med personuppgifter.5 Riktlinjerna anger tio grundläggande principer rörande minimigarantier som medlems- staternas lagstiftning ska uppfylla. Dessa principer rör bland annat uppgifters korrekthet, ändamålsbeskrivningar, insyn i behandlingen och för vilka skäl undantag från dessa principer kan tillåtas.

Europakonventionen m.m.

En utgångspunkt för all personuppgiftsbehandling är den Europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen in- korporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.6 Av 2 kap. 19 § regeringsformen framgår att lag

5”Guidelines concerning computerized personal data files”, resolution 45/95.

6Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna.

67

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

eller annan föreskrift inte får meddelas i strid med Sveriges åtagan- den på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för personuppgiftsbehandling. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikel 8 innebär att staten ska avhålla sig från in- grepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär.

Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utvecklingen och relationer till andra individer. Det krävs inte att det är fråga om rent privata relationer, utan skyddet kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv. Skyddet gäller även mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden. Vidare omfattar rätten till respekt för privatlivet ett skydd mot registrer- ing och utlämnande av uppgifter ur allmänna register.7

Dataskyddskonventionen

Europarådets konvention (nr 108) till skydd för enskilda vid automa- tisk databehandling av personuppgifter (dataskyddskonventionen) från år 1981 har till syfte att säkerställa respekten för grundlägg- ande fri- och rättigheter, särskilt rätten till personlig integritet, i samband med automatisk databehandling av personuppgifter. Kon- ventionens tillämpningsområde är automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen har ändrats år 1999 och ett tilläggsproto- koll (nr 181) har antagits år 2001.

Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10, antagen den 23 september 1983, till skydd för personuppgifter som används för vetenskaplig forskning

7 Se SOU 2016:41 s. 151 och där refererade rättsfall.

68

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

och statistik. Rekommendationerna är, till skillnad från konventio- nen, inte direkt bindande.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår. De övergripande syftena med översynen är att bemöta utmaningar för den personliga integriteten som en följd av användning av ny informations- och kommunikationsteknik, samt att stärka konventionens uppföljningsmekanism.

Första fasen av detta arbete slutfördes år 2014. Den andra fasen, som inleddes år 2016, syftar till att ta fram ett slutligt förslag som även ska säkerställa överensstämmelse med dataskyddsförordningen.8

Europarådets konvention om mänskliga rättigheter och biomedicin

Europarådet antog år 1996 en konvention om mänskliga rättigheter och biomedicin. Konventionen skyddar människor i samband med hälso- och sjukvård och medicinsk forskning, och innehåller bl.a. principer om information och samtycke, ställföreträdare för icke beslutskompetenta personer, gendiagnostik och genterapi, forsk- ning och försök på människor, tagande och användning av biolo- giskt material från människor.

Europeiska unionens stadga om de grundläggande rättigheterna m.m.

Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) antogs år 2000. Lissabonfördraget har medfört att stadgan numera är rättligt bindande när EU-institutionerna och medlems- länderna tillämpar EU:s regelverk.

Vad gäller skyddet för den personliga integriteten anger stadgan att var och en har rätt till fysisk och mental integritet (artikel 3), respekt för sitt privatliv och familjeliv, sin bostad och sina kommu- nikationer (artikel 7) samt skydd av de personuppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att person- uppgifter ska behandlas lagenligt för bestämda ändamål och på

8 Se även http://www.coe.int/en/web/portal/28-january-data-protection-day-factsheet för en beskrivning av översynsarbetet.

69

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till in- samlade uppgifter och att få rättelse av dem.

Även artikel 16.1 i fördraget om Europeiska unionens funktions- sätt anger att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Dataskyddsdirektivet och dataskyddsförordningen

Det nuvarande dataskyddsdirektivet9 har införts i svensk lagstift- ning i form av personuppgiftslagen (1998:204). Dataskyddsdirekti- vet utgör en precisering och en förstärkning av principerna i data- skyddskonventionen.

Dataskyddsförordningen, som ersätter dataskyddsdirektivet och vars tillkomst behandlas ingående i de olika delarna av detta betän- kande, utgår från och respekterar de grundläggande friheter som erkänns i stadgan.

Det nya dataskyddsdirektivet

Parallellt med de nationella anpassningarna till dataskyddsförord- ningen sker arbete med införlivande av det nya dataskyddsdirekti- vet.10 Enligt artikel 63 i det nya dataskyddsdirektivet ska medlems- staterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att efterleva detta direktiv. Det är Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) som har i uppdrag att föreslå en sådan reglering.11 Utredningen har lämnat ett delbetänkande den 5 april 201712 och lämnar slutbetän- kande senast den 30 september 2017. Utredningens förslag till brotts- datalag syftar till att genomföra dataskyddsdirektivet i svensk rätt.

9Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

10Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

11Dir. 2016:21.

12SOU 2017:29 Brottsdatalag.

70

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsdirektivets mål är att fastställa bestämmelser om skydd för fysiska personer med avseende på behandling av person- uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straff- rättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1).

Dataskyddsdirektivets tillämpningsområde är därmed snävare än dataskyddsförordningens, som syftar till att fastställa bestäm- melser om skydd för fysiska personer med avseende på behand- lingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1). Gränsdragningen mellan direktivet och förordningen kan dock behöva tydliggöras, särskilt avseende personuppgifts- behandling för vetenskapliga forskningsändamål.

Behandling av personuppgifter för vetenskapliga ändamål inom dataskyddsdirektivets tillämpningsområde

Principer för behandling av personuppgifter framgår av artikel 4 i dataskyddsdirektivet. Artikel 4.3 anger att behandling som utförs av en personuppgiftsansvarig kan inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och fri- heter. Utredningen om 2016 års dataskyddsdirektiv föreslår en be- stämmelse i 2 kap. 5 § brottsdatalagen som föreskriver att en behörig myndighet får behandla personuppgifter för vetenskapliga, statis- tiska eller historiska ändamål inom denna lags tillämpningsområde.

Detta gäller således behandling av personuppgifter för veten- skapliga ändamål inom direktivets och den föreslagna brottsdata- lagens tillämpningsområde, dvs. för ändamålen att förebygga, för- hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller behandling i syfte att upprätthålla allmän ordning och säkerhet (förslag till 1 kap. 2 § brottsdatalagen).

71

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Behandling av personuppgifter för vetenskapliga forskningsändamål utanför dataskyddsdirektivets tillämpningsområde

Regleringen i dataskyddsdirektivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde, vilket innebär att om personuppgifter behandlas för något annat ändamål än brotts- bekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet ska direktivet, och den föreslagna brottsdatalagen, inte tillämpas. En myndighet kan således ha såväl verksamhet som faller inom direktivets tillämpningsområde som utanför det. Det är de faktiska aktiviteterna som styr när direktivet blir tillämpligt. Detta innebär att behandling av personuppgifter som omfattas av unionsrätten faller in under tillämpningsområdet för antingen direktivet eller förordningen. Direktivet och förord- ningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan såväl direk- tivet som förordningen vara tillämpliga parallellt.13

I artikel 9.1 i dataskyddsdirektivet anges att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska data- skyddsförordningen tillämpas, om behandlingen omfattas av unions- rätten.

Artikel 9.2 anger vidare att om myndigheter som omfattas av direktivet har andra verksamhetsuppgifter än dem som anges i arti- kel 1.1 ska dataskyddsförordningen tillämpas på behandling för sådana andra ändamål. Det gäller även behandling för arkivändamål av allmänt intresse eller för historiska eller vetenskapliga forsk- ningsändamål eller för statistiska ändamål, om behandlingen om- fattas av unionsrätten.

Detta gäller således för personuppgiftsbehandling för ändamål utanför direktivets tillämpningsområde. Prövningen av om sådan behandling är tillåten ska därmed enbart göras utifrån bestämmel- serna i dataskyddsförordningen och nationell kompletterade lag- stiftning.

13 SOU 2017:29 s. 171 f.

72

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Av artikel 2.1 d i dataskyddsförordningen framgår att förord- ningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dessa bestämmelser i direktivet och förordningen mynnar ut i att Utredningen om 2016 års dataskyddsdirektiv föreslår en upplysande bestämmelse i 2 kap. 21 § brottsdatalagen med följande lydelse:

Behandling för ändamål utanför denna lags tillämpningsområde

21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med av- seende på behandling av personuppgifter och om det fria flödet av så- dana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), i den ursprungliga lydelsen, framgår att dataskydds- förordningen ska tillämpas när en behörig myndighet behandlar person- uppgifter för ändamål utanför denna lags tillämpningsområde.

Detta innebär sammanfattningsvis att personuppgiftsbehandling för vetenskapliga ändamål i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verk- ställa straffrättsliga påföljder eller i syfte att upprätthålla allmän ordning och säkerhet faller inom dataskyddsdirektivets, och den föreslagna brottsdatalagens, tillämpningsområde. En ytterligare förutsättning är att behandlingen också utförs av en behörig myndig- het enligt direktivet.

All annan personuppgiftsbehandling för vetenskapliga forsk- ningsändamål ska tillämpa dataskyddsförordningen och komplette- rande nationell rätt.

3.2.2Nationell lagstiftning

Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. I för- arbetena till denna bestämmelse anförs bl.a. att kränkningar av den

73

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

personliga integriteten utgör intrång i den fredade sfär som den en- skilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.

I 2 kap. 6 § RF föreskrivs ett skydd mot bl.a. husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtro- lig försändelse och mot hemlig avlyssning eller upptagning av telefon- samtal eller annat förtroligt meddelande.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestäm- melsen anges nu även att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes per- sonliga förhållanden.

Offentlighet och sekretess

Offentlighetsprincipen, som framgår av 2 kap. tryckfrihetsförord- ningen (TF), medför en grundläggande rätt för alla att ta del av allmänna handlingar hos en myndighet. Med handling avses enligt 2 kap. 3 § TF framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tek- niskt hjälpmedel. Rätten att ta del av allmänna handlingar får endast begränsas om det är påkallat med hänsyn till något av de intressen som framgår av 2 kap. 2 § TF första stycket, där sjätte punkten (skyddet för enskilds personliga eller ekonomiska förhållanden) är av särskilt intresse vad gäller personuppgiftsbehandling.

I offentlighets- och sekretesslagen (2009:400) finns undantag från huvudregeln om handlingsoffentlighet som medför att möjlig- heterna att ta del av allmänna handlingar begränsas. Lagen inne- håller bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar, gemensamt betecknat som sekretess. Bestämmelserna om offentlighet och sekretess är så- ledes av avgörande betydelse för möjligheten att få ta del av myndig- heters handlingar. Bestämmelserna reglerar också skyddet för de uppgifter myndigheter förvarar hos sig.

74

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Personuppgiftslagen

Personuppgiftslagen är, som ovan nämnts, resultatet av det svenska genomförandet av det nuvarande dataskyddsdirektivet. Personupp- giftslagen följer i stort sett dataskyddsdirektivets text och disposi- tion och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den regi- strerade, säkerhet och sanktioner.14 Det angivna syftet med person- uppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Etikprövningslagen

I syfte att bland annat uppfylla de krav som ställdes i Europarådets konvention om mänskliga rättigheter och biomedicin infördes den 1 januari 2004 lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestäm- melser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestäm- melser om samtycke till sådan forskning.

Registerspecifika författningar

Utöver generell lagstiftning finns ett antal författningar som regle- rar personuppgiftsbehandling för forskningsändamål i specifika verksamheter. Nedan presenteras ett par författningar av detta slag.

Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”) tillkom för att ge ett tyd- ligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att

14 Sedan år 2007 (SFS 2006:398) har dock den hanteringsmodell som framgår av dataskydds- direktivet i personuppgiftslagen kompletterats av en missbruksmodell, med omfattande undantag när personuppgifter i s.k. ostrukturerat material behandlas.

75

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjuk- domar och för människors hälsa i övrigt. Lagens giltighet tidsbegrän- sades i avvaktan på beredningen av den översyn av förutsättning- arna för registerbaserad forskning som gjordes av Registerforsk- ningsutredningen (SOU 2014:45). Efter förlängning gäller lagen till och med den 31 december 2017. Förslag om ytterligare förlängning bereds för närvarande inom Regeringskansliet. Nödvändiga anpass- ningar av denna lag inför att dataskyddsförordningen börjar tilläm- pas behandlas i kapitel 15.

Lag (1999:353) om rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts en- ligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin (ut- vecklingsarbete). Registret regleras i lagen (1999:353) om rätts- psykiatriskt forskningsregister. Nödvändiga anpassningar av denna lag inför att dataskyddsförordningen börjar tillämpas behandlas i kapitel 15.

3.3Bakgrund utifrån ett forskningsperspektiv

3.3.1EU:s dataskyddsreform

EU-kommissionen initierade den 1 maj 2009 en konsultation riktad till allmänheten rörande skyddet för personuppgifter inom EU.15 Utgångspunkter för det kommande arbetet presenterades genom ett bidrag av den s.k. artikel 29-gruppen,16 publicerat den 1 december

15Se http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm

16Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.

76

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

samma år.17 Den 25 januari 2012 presenterade EU-kommissionen ett förslag till ny allmän uppgiftsskyddsförordning för Europa.18 Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) arbetade under år 2012 och 2013 fram ett ändringsförslag som i sina huvuddrag antogs av parla- mentet efter den s.k. första läsningen i mars 2014.19 Ministerrådet antog en i väsentliga delar annan ståndpunkt i sitt ändringsförslag av den 11 juni 2015.20 Som resultat av den därpå följande trilogen21 antogs en gemensam ståndpunkt den 15 december 2015. Det slut- liga förslaget till allmän dataskyddsförordning antogs av minister- rådet den 8 april 2016 och av parlamentet den 14 april samma år.

Dataskyddsförordningen publicerades den 4 maj och trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas först från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och ersätter motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande data- skyddsdirektivet och dess svenska implementering genom person- uppgiftslagen. Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av person- uppgifter och bedrivs av en personuppgiftsansvarig eller person- uppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens materiella tillämpningsområde.

17The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. 02356/09/EN WP 168.

18COM (2012) 11 final av den 11 januari 2012. Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).

19P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).

20Note 9565/15 from the Presidency to the Council, 11 June 2015. Annex: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).

21Trepartsförhandlingar mellan kommissionen, ministerrådet och parlamentet.

77

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

3.3.2Frågor för forskningen vid dataskyddsförordningens tillkomst

Två grundläggande syften bakom den nya dataskyddsförordningen är:22

Att skydda fysiska personers fundamentala rättigheter och fri- heter med avseende på skyddet för personuppgifter mot bak- grund av den snabba utveckling av teknik och organisation som har gjort att kommersiella företag och myndigheter har allt större möjligheter att samla in, lagra och samutnyttja personlig infor- mation från olika källor.

Att underlätta den fria rörligheten vad gäller personuppgifter inom den Europeiska unionen genom likformig lagstiftning i alla medlemsstater. Härigenom avses att även inom de områden där personuppgifter används komma närmare förverkligandet av artikel 179 i EUF-fördraget23 som verkar för att skapa ett gemen- samt europeiskt forskningsområde.

Dataskyddsförordningen kommer att få central betydelse för forsk- ning inom EU. I Sverige liksom i några andra länder är möjligheten att använda personuppgifter i stora befolkningsbaserade register av särskilt intresse. Förekomsten av register som täcker flera generatio- ner av hela befolkningen, deras omfattning vad gäller olika samhälls- sektorer, samt existensen av ett nationellt personnummer ger sär- skilda möjligheter för forskning och ställer samtidigt höga krav på ett starkt integritetsskydd för fysiska personer. Det nuvarande svenska regelverket utgör en implementering av dataskyddsdirektivet från år 1995 som kan sägas ha tagit hänsyn till behovet av att balan- sera dessa motstående intressen.

Under den process som ledde fram till den slutliga utformningen av dataskyddsförordningen gjordes ansträngningar från den svenska regeringens företrädare, med stöd från olika forskningsaktörer, att klargöra dessa för Sverige speciella förutsättningar och värdera de förslag till förordningstexter som lades fram utifrån ett forsknings-

22Se skäl 1–7 i dataskyddsförordningen.

23Fördraget om Europeiska Unionens funktionssätt EUT C 326, 26.10.2012 s. 47.

78

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

perspektiv. De nordiska länderna och andra länder med motsvar- ande behov samverkade i detta arbete.

En viktig fråga för forskningen hade att göra med forskningens möjligheter att använda personuppgifter hämtade från andra verk- samheter än de som har forskning som primärt syfte. En annan fråga hade att göra med samtyckets roll som rättslig grund för person- uppgiftsbehandling när mängden personuppgifter är så stor att in- hämtandet av individuella samtycken försvåras. En tredje fråga rörde de rättsliga möjligheterna att kombinera uppgifter från olika datakällor och över långa tidsperioder med användning av person- nummer eller motsvarande personbundna identifikatorer.

Med detta som allmän utgångspunkt framstod tre frågor som särskilt betydelsefulla för forskningen:

Det s.k. forskningsundantagets24 plats i förordningstexten (i den slutliga förordningen i artikel 5 b).

Förslag till särskilda regler om obligatoriskt samtycke vid forsk- ning med användning av personuppgifter om hälsa (tidigare för- slag till skrivning av artikel 81).

Förslag om pseudonymisering som skyddsåtgärd (i den slutliga förordningen i artikel 89.1).

Med avseende på de två första frågorna fanns skillnader mellan Europaparlamentets position25 efter första läsningen26 och minister- rådets uppfattning.27 Den sista punkten, som rör pseudonymiser- ingens ställning, diskuterades mellan representanter för medlems- länderna under hela processen fram till den överenskommelse som träffades som resultat av trilogen den 15 december 2015.

24Artikel 5 b i dataskyddsförordningen, andra meningen: ”Ytterligare behandling för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ända- målen.”

25P7_TA(2014)0212.

26Beslutet togs den 12 mars 2014 efter den inledande parlamentsbehandlingen. Beslut efter den andra läsningen i parlamentet var det konsoliderade förslaget (nuvarande förordnings- text) efter trilogen som antogs den 14 april 2016.

27Note 9565/15 from the Presidency to the Council, 11 June 2015.

79

201228

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Forskningsundantaget

I 9 § andra stycket personuppgiftslagen anges (med hänvisning till be- stämmelsen om den i första stycket föreskrivna finalitetsprincipen):

I fråga om första stycket d gäller dock att en behandling av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samla- des in.

Denna särställning för bland annat forskning benämns ibland

”forskningsundantaget”.

I dataskyddsförordningen finns de allmänna principerna för personuppgiftsbehandling i artikel 5. Ytterligare behandling för forskning regleras genom att sådan behandling enligt 5 b inte ska betraktas som oförenlig med det ursprungliga ändamålet för in- samlingen av personuppgifter. Formuleringen av denna bestäm- melse är således parallell till det nuvarande dataskyddsdirektivet och dess implementering i personuppgiftslagen.

Forskningsundantaget fanns varken med i kommissionens ur- sprungliga förslag till ny uppgiftsskyddsförordning från januari eller i parlamentets förslag till modifikationer från mars 2014.29 I stället för ett generellt undantag fanns i kommissionens förslag skäl 4030 där formuleringen föreföll tillåta forskning för ändamål som inte står i motsättning till det ursprungliga ändamålet. Detta torde ha utgjort en inskränkning av den nuvarande regeln där inte något nytt ändamål för ytterligare behandling behöver anges utan ett generellt undantag görs för behandling för forsknings- ändamål utförd av samma personuppgiftsansvarig. Dessutom åter- fanns formuleringen om forskning i ett skäl och inte i den artikel

som beskriver ändamålsbegränsning och finalitetsprincip. Parlamentet tog ett ytterligare steg i denna riktning genom att

helt stryka skäl 40 från förslaget31 utan att införa undantaget i artikel- texten. Den förändring i förhållande till gällande rätt det skulle medföra att forskningsundantaget saknas i förordningen skulle enligt den dåvarande svenska bedömningen kraftigt kunna begränsa forskningen. Möjligheten att i forskning återanvända personuppgif-

28COM (2012) 11 final av den 25 januari 2012.

29P7_TA(2014)0212.

30COM (2012) 11 final av den 25 januari 2012, skäl 40.

31P7_TA(2014)0212.

80

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

ter från administrativa register eller verksamhetsregister, samt att återanvända data insamlade för vissa forskningsändamål för annan forskning är av central betydelse. Det skulle därmed också påverka möjligheten att dela information mellan forskargrupper, och att använda sig av historiska uppgifter, exempelvis för retrospektiva kohortstudier.32

Förslaget att eliminera undantaget från texten torde ha varit ett led i att förstärka skyddet för enskilda mot bakgrund av de allt större tekniska möjligheterna att samla in och samutnyttja stora mängder av personuppgifter som i skäl 6 beskrivs som ett av de grundläggande motiven för dataskyddsreformen.

Forskningsfrågorna upptog en viktig plats i ministerrådets arbete, bland annat var det en av de frågor som prioriterades av den svenska regeringen under förhandlingsarbetet. De framsteg inom bland annat den medicinska forskningen som ytterligare behand- ling av personuppgifter från befolkningsregister har inneburit ut- gjorde ett tungt vägande skäl för att behålla forskningsundantaget.

Ministerrådet kompletterade kommissionens förslag genom att i artikel 5 b lägga till undantaget för arkivändamål, forskning och statistik med samma ordalydelse som återfinns i det nuvarande dataskyddsdirektivet, och man omformulerade skäl 40 i enlighet med detta. Tillägget ingår nu som andra mening i artikel 5 b till- sammans med ett förtydligande i skäl 50.

Samtycke för uppgifter om hälsa

Artikel 9.2 j (i kommissionens förslag artikel 9.2 i33) fastställer att behandling av särskilda kategorier av personuppgifter (”känsliga personuppgifter” i nuvarande lagtext) är tillåten för vetenskapliga eller historiska forskningsändamål under förutsättning att behand- lingen är nödvändig enligt artikel 89.1 (tidigare artikel 83), att det i unionsrätten eller den nationella rätten finns ett rättsligt grundat

32Studier där en population följs under lång tid, baserad på uppgifter som samlats in för många år sedan och sedan används i efterhand av forskare.

33COM(2012) 11 final av den 25 januari 2012, s. 47.

81

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

skydd för uppgifterna, och att proportionalitetsprincipen34 beak- tats. I definitionen innefattas enligt artikel 9.1 uppgifter om hälsa.

Utöver detta föreslog kommissionen särskilda bestämmelser om hälsa i artikel 81.35 Kommissionen föreslog att personuppgifter om den registrerades hälsotillstånd enligt artikel 81 får behandlas för forskningsändamål i enlighet med bestämmelser i (dåvarande) arti- kel 83.

Parlamentet gick även i detta avseende längre än kommissionen när det gällde att föreslå skydd genom att i artikel 81.2 som huvud- princip lägga till ett krav på samtycke när uppgifterna behandlas för forskningsändamål.36 Ett ytterligare tillägg (artikel 81.2 a) möjlig- gjorde dock undantag från denna restriktion “with regard to research that serves a high public interest, if that research cannot possibly be carried out otherwise”.37 Utöver detta innebar parlamentsförslaget krav på anonymisering eller pseudonymisering38 och att den regi- strerade skulle ha rätt att motsätta sig behandlingen när som helst under processen. Vad som är “high public interest” skulle enligt förslaget avgöras av kommissionen efter konsultation med den Europeiska dataskyddsstyrelsen39 (dåvarande artikel 81.3). De tillägg som föreslogs av parlamentet skulle innebära ett särskilt förstärkt skydd för personuppgifter om hälsa utöver vad som stadgas i artikel 9 om särskilda kategorier av personuppgifter.

Mot detta ska vägas de konsekvenser ett sådant tillägg skulle kunna få för forskning och statistikverksamhet. Forskning om hälsa

34Den europeiska unionsrätten anger att åtgärden för att vara proportionerlig ska vara ägnad att tillgodose ändamålet, nödvändig för att uppnå ändamålet samtidigt som mindre inskränk- ande alternativ saknas, och den fördel som uppnås med åtgärden ska stå i rimlig proportion till den eventuella skada den kan orsaka för de berörda.

35COM(2012) 11 final av den 25 januari 2012, s. 96–97.

36P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), s. 305

37A.a., s. 307.

38I dataskyddsförordningens terminologi är pseudonymisering enligt artikel 4.5 person- uppgifter som inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Anonymisering är enligt skäl 26 information som inte hänför sig till en identifierad eller identifierbar fysisk person. Förordningen är inte tillämpbar på anonyma uppgifter. Terminologin i förordningen kan avvika något från i Sverige etablerade uppfatt- ningar om dessa termers betydelse.

39Se dataskyddsförordningens avsnitt 3 där denna styrelse inrättas som ett unionsorgan med uppgift att se till att förordningen tillämpas enhetligt. Styrelsen ersätter den nuvarande artikel 29-gruppen som haft en liknande uppgift i relation till det nuvarande dataskyddsdirektivet.

82

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

använder sig i Skandinavien ofta av hundratusentals uppgifter från befolkningsomfattande hälsodataregister. Registerbaserade studier utgör en betydelsefull del av den europeiska epidemiologin. Det föreslagna kravet på samtycke skulle i praktiken förhindra denna forskning.

Från forskare framhålls också ofta att samtycke kan medföra snedvridning i forskningsresultaten. Att söka aktivt samtycke med- för ofta överrepresentation av personer med bättre hälsa, under- representation av personer i vissa åldersgrupper, etc. Om syftet exempelvis är att undersöka förekomsten av hälsoproblem kan detta medföra att problemens förekomst undervärderas. I vilken riktning en icke representativ selektion snedvrider resultaten av forskningen kan inte generellt värderas och är därför svårt att kompensera för i resultatredovisningen.

Eftersom det av parlamentet föreslagna tillägget till artikel 81.2 tog sikte också på statistiska ändamål skulle myndigheter som en- bart använder personuppgifterna för statistikproduktion antingen bli skyldiga att inhämta samtycke från samtliga, eller i det fall undantaget i artikel 81.2 a gällde, erbjuda den registrerade möjlig- heten att bli struken från registret. I samband med kravet på sam- tycke uppkom därför frågan om hur de grundläggande nationella personnummerbaserade populationstäckande registren vid Statistiska Centralbyrån, Socialstyrelsen, Försäkringskassan, Folkhälsomyndig- heten och andra myndigheter med uppgifter om hälsa skulle påver- kas av krav på samtycke som grundprincip och en absolut rätt att motsätta sig behandling i efterhand. Den nuvarande svenska lag- stiftningen rörande obligatoriska hälsodataregister skulle då behöva modifieras, och förändringar skulle också bli nödvändiga i vissa registerförfattningar, som i särskilda fall innefattar möjligheten att motsätta sig behandling med andra formuleringar än de föreslagna.40

Ministerrådet föreslog strykning av de särskilda regler om hälso- uppgifter som fanns i artikel 81. Man ansåg att den reglering som enligt artikel 9 erbjuder ett förhöjt skydd för särskilda kategorier av personuppgifter och som innefattar uppgifter om hälsa skulle vara tillräcklig. Detta vann gehör i trilogen. Därmed upphävdes den före- slagna artikel 81 i sin helhet.

40 Exempelvis enligt 7 kap. 2 § patientdatalagen som reglerar kvalitetsregister i hälso- och sjuk- vården.

83

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Pseudonymiseringens ställning som skyddsåtgärd

Frågan om pseudonymiseringens ställning som skyddsåtgärd var föremål för diskussion mellan medlemsstaterna under hela för- handlingsprocessen. Pseudonymisering innebär att uppgifter som möjliggör identifiering av personer hålls separerade från andra upp- gifter. Pseudonymiserade uppgifter är personuppgifter, vilket inne- bär att uppgifterna kan återidentifieras med tillförande av komplette- rande uppgifter (artikel 4.5 i dataskyddsförordningen). Pseudo- nymisering innebär enligt förordningen “tekniska eller organisato- riska åtgärder”, men regleringen identifierar inte vad detta innebär i detalj. Artikel 29-gruppen har gjort en genomgång av de vanligaste metoderna.41

Det kan vara personuppgifter som är indirekt identifierbara och/eller data som försetts med en kodnyckel av mer eller mindre avancerat slag. Pseudonymiseringen kan även innebära att indirekt identifiering ska försvåras. Eftersom indirekt identifiering ofta kan åstadkommas med hjälp av relativt få uppgifter (t.ex. ålder, kön, diagnosdatum, diagnoskod och geografisk region) skulle många så- dana uppgifter komma att behöva elimineras eller omkodas för att uppnå erforderligt skydd.

Pseudonymisering har framhållits som en av de viktigaste skydds- åtgärderna för forskningsdata. Kommissionens förslag till reglering av forskning i artikel 83 löd som följer:42

Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

a)dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

b)uppgifter som gör det möjligt att hänföra information till en identi- fierad eller identifierbar registrerad person hålls åtskilda från övrig infor- mation så länge som dessa ändamål kan uppfyllas på det sättet.

410829/14/EN WP216. Yttrande 05/2014 om avidentifieringsmetoder, avsnitt 4 s. 20 f.

42COM(2012) 11 final av den 25 januari 2012, s. 97.

84

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Parlamentet föreslog som ett led i att öka personuppgiftsskyddet en förstärkning av formuleringarna i artikel 83 b genom att stryka bisatsen ”så länge som dessa ändamål kan uppfyllas på det sättet”.43

Man föreslog således i praktiken ett obligatoriskt krav på pseudo- nymisering för statistik och forskningsändamål.

I ministerrådets behandling av frågan fanns skilda meningar om pseudonymiseringens roll i förhållande till andra skyddsåtgärder. En synpunkt var att pseudonymisering borde likställas med andra skyddsåtgärder och att en dominerande ställning för denna speci- fika skyddsåtgärd skulle medföra en reglering som inte var teknik- neutral. Ministerrådets slutförslag innehöll en formulering som lyfte fram pseudonymisering utan krav på obligatorium och med ett liknande undantag som kommissionen hade föreslagit:

The appropriate safeguards referred to in paragraphs 1 and 1a shall be laid down in Union or Member State law and be such to ensure that technological and/or organisational protection measures pursuant to this Regulation are applied to the personal data (…), to minimise the processing of personal data in pursuance of the proportionality and necessity principles, such as pseudonymising the data, unless those measures prevent achieving the purpose of the processing and such purpose cannot be otherwise fulfilled within reasonable means.44

Ett långtgående krav skulle för forskningens del kunna leda till att de uppgiftssamlingar som är tillräckligt pseudonymiserade i prakti- ken inte kan användas av forskare som avser att sambearbeta upp- gifter från olika källor och där insamlingen av uppgifter försiggår under långa tidsperioder.

Användning av pseudonymer vid påförande av nya data medför också sannolikt fel i matchningsproceduren. De kan orsakas både av rena datafel och av att de data som används som grund för pseudo- nymiseringen ändras för en individ över tid. Pseudonymisering kommer därför att resultera i förlust av datakvalitet i datamängder som förs över tid och behöver uppdateras.45 I vissa sammanhang,

43P7_TA (2014)0212, s. 316.

44COM(2012) 11 final av den 25 januari 2012, s. 195.

45Felkällor som uppstår med användning av pseudonymiserade data illustreras närmare i en jämförelse mellan skandinavisk och tysk cancerstatistik: Andersen MR, Storm HH, on behalf of the Eurocourse Work Package G. Cancer registration, public health and the reform of the European data protection framework: Abandoning or improving European public health research? European journal of cancer. 2013. doi:10.1016/j.ejca.2013.09.005.

85

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

t.ex. vad avser uppgifter i biobanker, kan det vara svårt att åstad- komma en tillräcklig eliminering av uppgifter för att tillgodose kravet på pseudonymisering enligt artikel 4.5.

Ett krav på pseudonymisering skulle påverka såväl uppgifts- samlingar för forskningsändamål som registerhållningen hos stati- stik- och arkivmyndigheter. Ett exempel kan vara Statistiska central- byråns (SCB) register över totalbefolkningen (RTB) som är ett ut- drag från Skatteverkets grunduppgifter. RTB används för befolk- ningsstatistiken och utgör en viktig bas i snart sagt alla populations- baserade studier eller i urvalsstudier där uttag och samkörningar mot andra uppgifter behöver göras. Möjligheten att behandla person- nummer har således avgörande betydelse för den svenska forskningen.

Kravet på pseudonymisering kvarstod under hela trilogen. I slut- skedet av förhandlingen föreslogs obligatorisk pseudonymisering om ändamålet ändå skulle kunna uppfyllas med användning av denna skyddsåtgärd. Till slut modifierades dock skrivningen i artikel 89.1 till att skyddsåtgärderna ”får inbegripa pseudonymisering under förutsättning att dessa ändamål kan uppfyllas på det sättet” (vår kursivering). Pseudonymiseringen kvarstår därmed som en i för- ordningen prioriterad skyddsåtgärd, men förutsätts bara användas när så är möjligt med hänsyn till personuppgiftsbehandlingens syfte.

3.3.3Sammanfattning

Några frågor som diskuterades som särskilt viktiga för forskningen under den slutliga processen var finalitetsprincipen och forsknings- undantaget, samtycke som grundprincip för hälsoinriktad forsk- ning, och obligatorisk pseudonymisering av forskningsdata.

Efter att ha varit frånvarande från kommissionens förslag och parlamentets modifieringsförslag efter första läsningen togs ett undantag från finalitetsprincipen, för bland annat personuppgifts- behandling för forskningsändamål, med i artikel 5 b i dataskydds- förordningen. Det har i princip samma lydelse som det undantag som finns i 9 § personuppgiftslagen.

De särskilda regler som kommissionen föreslog för personuppgif- ter om hälsa, och som genom parlamentets tillägg innebar mycket strikta begränsningar i forskningens möjlighet att utnyttja person- uppgifter utan att samtycke inhämtats, upphävdes i sin helhet i den

86

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

slutliga förordningstexten där känsliga personuppgifter innefatt- ande uppgifter om hälsa regleras genom artikel 9 tillsammans med andra känsliga personuppgifter.

Kravet på obligatorisk pseudonymisering om inte detta förhind- rar att forskningen kan utföras fanns med sent under förhandlingen mellan ministerrådet, parlamentet och kommissionen, men ersattes slutligen med en formulering som innebär att pseudonymisering får användas om syftet med personuppgiftsbehandlingen ändå kan upp- nås.

I flera fall innebar förhandlingarna att heterogeniteten mellan olika materiella tillämpningsområden och delar av det territoriella tillämpningsområdet (t.ex. mellan medlemsstaterna) var så stor att den slutliga texten innehåller en rad bestämmelser om att medlems- staterna kan eller ska instifta nationella regler som kompletterar förordningen.

3.4Begreppsdefinitioner

3.4.1Inledning

Forskningsdatautredningen har, till skillnad från Utredningen om översyn av etikprövningen (U 2016:02),46 inte fått särskilda direktiv att se över definitionen av forskningsbegreppet. Eftersom särskilda regler kommer att gälla för personuppgiftsbehandling för veten- skapliga och historiska forskningsändamål finner utredningen ändå ett behov av att adressera gränsdragningen mellan sådan behandling och annan behandling av personuppgifter. För forskningsändamål finns i dataskyddsförordningen möjlighet till undantag från flera bestämmelser som avser att skydda fysiska personer. Det är därför väsentligt att forskningsändamål ges en innebörd som möjliggör nuvarande och framtida forskning, men inte omfattar mer än vad som behövs och är tillåtligt enligt dataskyddsförordningen.47

I detta avsnitt görs först en genomgång av de begrepp och ut- tryck som används i dataskyddsdirektivet, personuppgiftslagen och

46Dir. 2016:45.

47Detta motiveras också genom de grundläggande friheter och rättigheter som fastställs i regeringsformens andra kapitel och i de internationella överenskommelser om mänskliga rättigheter som har Sverige anslutit sig till.

87

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

dataskyddsförordningen för att beskriva forskning. Därefter dis- kuteras hur en avgränsning av begreppet ”forskning” lämpligen kan göras och dess relation till begreppet ”forskningsändamål”, samt hur det närliggande begreppet ”akademiskt skapande” förhåller sig till forskning.

3.4.2Begreppsanvändning i dataskyddsregleringen

Nuvarande reglering

I det nuvarande dataskyddsdirektivet förekommer begreppet ”forsk- ning” i artikel 13.2 i uttrycket ”ändamål som har med vetenskaplig forskning att göra”, i artikel 32.3 där ”historisk forskning” omnämns, samt i skäl 34 där uttrycket ”vetenskaplig forskning” används. På flera ställen förekommer uttrycket ”vetenskapliga ändamål” (arti- kel 6 b och e samt skäl 29 och 40) och i ett fall ”vetenskapliga forsk- ningsändamål” (artikel 11.2). Formuleringarna i de olika delarna av direktivet är således inte identiska eller konsekventa.

I 9 § andra stycket personuppgiftslagen används, i överensstäm- melse med motsvarande artikel 6 b i direktivet, uttrycket ”veten- skapliga ändamål” för att beskriva de undantag från 9 c § som med- ges för bland annat forskning och i 26 § om den registrerades rätt till information efter ansökan. När det gäller forskning med käns- liga personuppgifter används i 19 § uttrycket ”forskningsändamål”.

Dataskyddsförordningen

I bilaga 3 finns en detaljerad genomgång av alla de termer i data- skyddsförordningens skäl och artiklar som berör forskning. Några av dessa termer har definierats i dataskyddsförordningens artikel 4. Denna artikel innehåller dock inga definitioner av just forskning eller forskningsändamål. Begreppet ”forskning” förekommer över huvud taget inte i artiklarna, där man genomgående använder det sammansatta uttrycket ”vetenskapliga eller historiska forsknings- ändamål”.

När det gäller ”forskning” får man därför vända sig till skälen för att få vägledning. ”Forskning” eller ”vetenskaplig forskning” omnämns i skälen 33, 157, 159, 160 och 161. De fyra senare ger viss

88

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

vägledning om vad som bör innefattas i forskningsbegreppet när det omfattar personuppgiftsbehandling.

I skäl 159 ges en allmän vägledning till vad forskning ska anses innefatta. Skälet inleds med att fastställa att personuppgiftsbehand- ling för forskningsändamål omfattas av förordningen. Därefter anges att denna typ av personuppgiftsbehandling bör ges en vid tolkning som innefattar:

Teknisk utveckling och demonstration.

Grundforskning.

Tillämpad forskning.

Privatfinansierad forskning.

Studier som utförs av ett allmänt intresse inom folkhälsoområdet.

Skäl 160 tillägger att forskning för historiska och genealogiska48 ändamål ska innefattas, dock med beaktande av att förordningen inte gäller för avlidna. Vad gäller vetenskaplig forskning inom ramen för kliniska prövningar hänvisar skäl 161 till Europaparlamentets och rådets förordning (EU) nr 536/2014.49 Forskning som inne- fattar kliniska prövningar torde dock även omfattas av den uppräk- ning som görs i skäl 159.

Uppräkningarna i de angivna skälen förefaller ange en viljeinrikt- ning snarare än att vara heltäckande. Det bör därför finnas utrymme för att i nationell reglering skapa, alternativt behålla, en avgränsning av forskningsbegreppet som är relevant för den forskning som an- vänder personuppgifter. En sådan avgränsning ska överensstämma med den i skäl 159 uttryckta viljeinriktningen att forskning ska ges en vid tolkning.

48Vetenskaplig släktforskning.

49Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG (EUT L 158,27.5.2014, s. 1).

89

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

3.4.3Begreppet forskning

Begreppets definition i närliggande sammanhang

Det huvudsakliga arbetet i Sverige med att definiera forskning har skett inom ramen för etikprövningssystemets utveckling. Diskussio- nen har dominerats av överväganden som har att göra med etik- prövningens syften, nämligen att utgöra ett skydd mot otillbörligt utnyttjande av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Forskning som enbart omfattar teoretiska överväganden utan att använda uppgifter som härrör från enskilda personer ska inte omfattas av etikprövning. Forskning som inte omfattar känsliga personuppgifter ska inte heller etikprövas. Sådan forskning som inte berörs av etikprövningen kan således ha givits mindre uppmärksamhet i arbetet med att definiera forskning i etik- prövningslagen.

Eftersom känsliga personuppgifter ofta förekommer i hälso- inriktad forskning har de exempel lagstiftaren utgått ifrån troligen ofta härrört från medicinsk och epidemiologisk empirisk forskning med användning av denna kategori av känsliga personuppgifter.

Forskningsdatautredningen har i uppdrag att föreslå den kom- pletterande reglering till dataskyddsförordningen som behövs för all slags behandling av personuppgifter för forskningsändamål. Utöver detta ska utredningen i sin senare fas ta ställning till en lång- siktig generell reglering av forskningsdatabaser.

Utredningen ska således framöver lämna förslag på ett bredare område än det som i dag omfattas av etikprövning, men den ska inte ta ställning till forskning som inte innefattar personuppgifts- behandling. Avgränsningen till behandling av personuppgifter för forskningsändamål är således gemensam. Etikprövningslagens forskningsdefinition och de bedömningar som föregick dess för- ändring från och med år 200850 utgör därmed en relevant bakgrund.

Den lydelse av forskningsdefinitionen som gällde före 1 januari 2008 enligt 2 § etikprövningslagen var:

Vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund.51

50SFS 2008:192.

51SOU 2005:78, s. 23.

90

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

En anledning till den utredning som föregick 2008 års ändring i etikprövningslagens definition var att den äldre formuleringen innehöll ett cirkelresonemang (forskning definierades som veten- skaplig forskning) och var dessutom alltför allmänt hållen för att utgöra en väl fungerande vägledning för etikprövningsnämndernas arbete.52

Den äldre definitionen inkluderade såväl grundläggande veten- skaplig verksamhet (grundforskning) som utvecklingsarbete (tilläm- pad forskning), men uteslöt utvecklingsarbete som inte vilade på vetenskaplig grund. Detta synsätt får anses överensstämma med intentionerna i dataskyddsförordningen såsom de uttrycks i skäl 159.

Inför revideringen av etikprövningslagen efterfrågades också en tydligare avgränsning mellan forskning och lärosätenas utbildnings- verksamhet. Detta har tillgodosetts genom en kompletterande bi- sats i 2008 års formulering som undantar utbildning på grund- och avancerad nivå från forskningsdefinitionen. I propositionen anges att forskning som utförs av studenter på forskarnivå ska genomgå etikprövning om den faller inom ramen för lagens tillämpnings- område.53 Den avgränsning som görs avser därmed utbildning på grundnivå samt avancerad nivå enligt högskolelagen54, men inte ut- bildning på forskarnivå. Denna avgränsning mot utbildning åter- finns inte uttryckligen i dataskyddsförordningen, men står enligt utredningens bedömning inte i motsättning till formuleringarna i skäl 159 som genomgående använder uttrycket ”vetenskapliga forsk- ningsändamål”.

Etikprövningsutredningen fann vid sin genomgång att Centrala etikprövningsnämnden (CEPN) i praktiken har definierat verk- samheter som forskning utifrån företrädesvis två aspekter:55

Utförarnas egenskaper eller anställning (”kvalificerade forskare”).

Forskarnas/utförarnas intentioner (framför allt att publicera arbetet i vetenskaplig tidskrift).

52SOU 2005:78, s. 55 f.

53Prop. 2007/08:44, s. 20.

541 kap. 7 § högskolelagen (1992:1434) samt lag (2006:173) om ändring i högskolelagen.

55SOU 2005:78 s. 50.

91

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Regelrätta definitioner av forskning saknas i andra förarbeten till lagstiftning om personuppgiftsbehandling, men forskning diskuteras i olika sammanhang. Efter 2008 hänvisar 19 § personuppgiftslagen till etikprövningslagen.56 För tiden före denna förändring sägs i Etikprövningsutredningen:

Före den nu nämnda förändringen av 19 § PUL beskrevs forsknings- begreppet i litteraturen på följande sätt. Begreppet forskning i 19 § sades i första hand avse den verksamhet som bedrevs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletable- rade forskningsinstitut. Även sådana epidemiologiska undersökningar som utfördes vetenskapligt omfattades. Släktforskning föll utanför, lik- som annan forskning eller utredningsverksamhet av mera privat natur. Det krävdes ett samhällsintresse av att forskningen bedrevs, och den behövde vara vetenskaplig i någon mening.57

Här hänvisades således huvudsakligen till vem som är forsknings- aktör.

Man kan alltså urskilja tre huvudlinjer i resonemangen. I de teoretiska övervägandena görs försök att definiera forskning ut- ifrån verksamhetens karaktär och inriktning. När man ser till de praktiska överväganden som görs i etikprövningsnämnderna eller av forskningsfinansiärer så spelar verksamhetens organisatoriska inramning en större roll, samt de rent praktiskt närliggande målen för verksamheten, såsom vetenskaplig publicering.

Utifrån detta resonemang skulle man kunna utveckla en ”check- lista” för forskning som har liknande karaktär som de just citerade praktiskt tillämpade kriterierna. Således skulle en verksamhet kunna betecknas som forskning exempelvis om:

Den som är ansvarig för forskningen har avslutad forskarutbild- ning.

Den som är ansvarig för forskningen är aktiv forskarstuderande.

Arbetet avses publiceras i vetenskaplig tidskrift. (Vad som menas med en vetenskaplig tidskrift kan diskuteras och varierar mellan olika discipliner).

56Personuppgiftslagens 19 § anger att personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål är tillåten om den godkänts enligt lagen (2003:460) om etikprövning av forskning.

57SOU 2005:78, s. 50.

92

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Arbetet avses publiceras i annat vetenskapligt alster (exempelvis monografi, doktorsavhandling, datorprogram, konstinstallation, bildmaterial, bearbetade rådata i digital form, andra media).

Arbetet bedrivs inom universitet, högskola eller privat forsknings- institut och betecknas där som forskning.

Arbetet finansieras av budget avsedd för forskning i privat närings- verksamhet och betecknas där som forskning.

Arbetet finansieras av eller drivs inom ideell organisation och betecknas där som forskning.

Arbetet finansieras av ett etablerat statligt eller privat forsknings- råd.

Arbetet finansieras av annan forskningsaktör som betecknar aktiviteten som forskning.

Arbetet finansieras av ett offentligt anslag avsett för forskning i offentlig budget.

Exemplen ovan gör inte anspråk på att vara heltäckande eller ha någon prioritetsordning, men där ingår kriterier som grundar sig på:

Finansiering av forskningen.

Dokumentation av forskningen.

Vem som utför forskningen.

Forskningens organisatoriska inramning.

Inget av dessa kriterier tar på ett tillfredsställande sätt fasta på den vägledning som ges i förordningens skäl 159. I detta skäl anges att

”privatfinansierad forskning” ska inräknas, dock utan att offentligt finansierad forskning räknas upp särskilt. Detta torde kunna för- stås som att skäl 159 framhåller att finansieringsformen inte ska vara avgörande för bedömningen.

Inget i skälet aviserar något krav på forskares kvalifikationer eller, utöver finansieringsformen, vilken organisatorisk ram som är acceptabel. Skälet anger som allmän riktlinje att behandling av personuppgifter för forskningsändamål bör ges en vid tolkning och att forskning förekommer i flera olika sammanhang. Utredningens

93

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

bedömning av skälets formulering är att verksamhetens innehåll därför bör vara avgörande.

Etikprövningsutredningen föreslog en forskningsdefinition med inriktning på verksamhetens innehåll. För att undvika styrning av forskningens inriktning och för att lämna öppet för framtida ut- veckling föreslog man efter den genomgång som refererats ovan en nästan lika vid definition av forskning som tidigare:

Vetenskapligt systematiskt sökande efter ny kunskap.58

Av den proposition som följde på denna utredning framgår att flera remissinstanser ansåg att Etikprövningsutredningens förslag var alltför allmängiltigt för att tjäna som användbar avgränsning för etikprövningsnämndernas verksamhet.59 Cirkelresonemanget i den gamla definitionen var visserligen borta, men vidden och osäker- heten i forskningsbegreppet kvarstod. Regeringen ville därför ha en tydligare avgränsning av begreppet.

Organisationen för ekonomiskt samarbete och utveckling (OECD) har som ett led i sitt stöd till olika verksamheter över världen tagit fram den s.k. Frascati-manualen, i vilken man gör ett försök att definiera forsknings- och utvecklingsverksamhet.60 Man urskiljer tre nivåer:

The term R&D covers three activities: basic research, applied research and experimental development; these are described in detail in Chapter 4. Basic research is experimental or theoretical work undertaken primarily to acquire new knowledge of the underlying foundation of phenomena and observable facts without any particular application or use in view. Applied research is also original investigation undertaken in order to acquire new knowledge. It is, however, directed primarily towards a specific practical aim or objective. Experimental development is systematic work, drawing on existing knowledge gained from research and/or practical experience, which is directed to producing new materials, products or devices, to installing new processes, systems and services, or to improving substantially those already produced or installed. R&D covers both formal R&D in R&D units and informal or occasional R&D in other units. (Våra kursiveringar.)

58SOU 2005:78, s. 23.

59Prop. 2007/08:44 s. 17 f.

60OECD (2002) Frascati Manual: Proposed Standard Practice for Surveys on Research and Experimental Development, 6th ed., 2002, Ch 7, p. 30.

94

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Den vida inriktning av forskningsbegreppet som OECD använder motsvarar i stora drag ambitionerna i skäl 159. Dock utgör OECD:s definition en avgränsning av forsknings- och utvecklingsarbete, medan förordningen ska tillämpas på personuppgiftsbehandling för vetenskapliga forskningsändamål. Det får anses som en något smal- are målsättning eftersom det utvecklingsarbete (”teknisk utveckling och demonstration”) som omnämns i skäl 159 fortfarande torde förutsätta att arbetet sker på vetenskaplig grund och har vetenskap- ligt ändamål.

I regeringens proposition om ändring av etikprövningslagen föreslogs ett forskningsbegrepp som nära ansluter till OECD:s, men där indelningen i tre grupper slopats.61 Den nuvarande lydel- sen av 2 § etikprövningslagen är:

Vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Efter ändringen har även denna definition visat sig vara otillräcklig. Detta påpekas av Centrala etikprövningsnämnden i en skrivelse till regeringen.62 Definitionen sägs vara för smal, och i vissa fall även för bred, för att vara tillämplig. Den synes exempelvis utesluta andra vetenskapliga metoder för analys av data än de experimentella.

Etikprövningslagens definition av empirisk forskning63 pekar på den typ av forskning som genererar observationer experimentellt genom att manipulera ett eller flera forskningssubjekt i syfte att studera resultaten på ett kontrollerat sätt. När det gäller människor sker detta ofta genom att slumpmässigt indela försökspersoner i försöksgrupp och kontrollgrupp och studera skillnaden i ett utfall efter manipulering av försöksgruppen (s.k. randomiserad studie).

De vetenskapliga studier som använder personuppgifter och ska bli föremål för etisk prövning domineras av andra metoder än de experimentella. Etikprövningslagen ska tillämpas om forskningen medför fysisk eller psykisk påverkan på försökspersonerna även utan närvaro av någon experimentell manipulering.64 I många fall

61Prop. 2007/08:44 s. 17.

62CEPN dnr A28-2009, RK dnr U2009/4528/F.

63Dvs. forskning som använder data.

643 och 4 §§ lagen (2003:460) om etikprövning av forskning som avser människor.

95

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

studeras människor och processer utan forskarens ingripande. Det gäller exempelvis redan insamlade uppgifter om personer i myndig- hetsregister. Det gäller när biologiska prover tagna inom hälso- och sjukvården även används för forskningsändamål. Inom exempelvis pedagogik kan forskning innebära att undervisning i praktiken studeras, beskrivs och systematiseras av en forskare. Inom etno- grafi kan datainsamling bestå av passiv observation och/eller inspel- ning av ett naturligt skeende, där systematisering av informationen i huvudsak sker i efterhand. Ett liknande förfaringssätt aktualiseras vid studier av dokument, exempelvis i rättsvetenskaplig eller histo- risk forskning.

En samlande beteckning på detta är ”observationsstudier”.65

Observationsstudier innefattar antingen användning av uppgifter insamlade primärt för forskningsändamål eller andrahandsanvänd- ning av uppgifter som samlats in för andra ändamål än forskning. Här utgör de befolkningsbaserade administrativa registren ett sär- skilt viktigt underlag. I denna grupp ingår exempelvis uppgifter från folkbokföringen (SCB), hälsodataregister (Socialstyrelsen), hälso- och sjukvårdens kvalitetsregister (landstingen), register över inkomster (Skatteverket) m.m. Uppgifter som har samlats in pri- märt för forskningsändamål kan innefatta frågeundersökningar, medicinsk provtagning eller fysiska/mentala tester. Slutligen in- ryms i observationsstudier forskningsmaterial som till stor del är ostrukturerat med avseende på forskningssyftet, t.ex. inspelningar av naturlig konversation, bilder och olika slag av textdokument.

Etikprövningslagens nuvarande definition av forskning före- faller därmed inte täcka hela det område etikprövningen har om- fattat. I skrivelsen till regeringen föreslog CEPN att en ny definition av forskning som anpassas till etikprövningsnämndernas ansvars- område införs:

I denna lag avses med

1. forskning: empiriskt vetenskapligt arbete och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå [---]66

65Ett något missvisande begrepp eftersom även experiment genererar observationer. Här avses dock observationer av naturliga fenomen, dvs. de som inte genererats av forskaren.

66CEPN dnr A28-2009, RK dnr U2009/4528/F.

96

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

CEPN:s förslag innefattar observationsstudier och tydliggör dess- utom, liksom Frascatimanualen och skäl 159 i dataskyddsförord- ningen, att visst utvecklingsarbete ska betraktas som forskning. Det tydliggör också att det för etikprövningens del är fråga om att ta ställning till empirisk forskning (som använder personuppgifter) och inte till eventuella etiska aspekter på rent teoretisk forskning.

Överväganden

Utredningens bedömning: Begreppet forskning bör vid person- uppgiftsbehandling för forskningsändamål avgränsas på följande sätt: ”vetenskapligt arbete för att inhämta ny kunskap och ut- vecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå”.

Utredningen föreslår i föreliggande betänkande en forsknings- datalag. Av detta följer att lagens materiella tillämpningsområde behöver avgränsas. Det medför i sin tur behov av att definiera vad som i lagens mening avses med forskning och för vilka typer av forskning lagen ska vara tillämplig.

För utredningen framstår det inte som aktuellt att i lagens tillämpningsområde innefatta rent teoretiskt arbete, dvs. som inte innefattar personuppgiftsbehandling, innebärande utveckling av perspektiv, begreppssystem och förklaringsmodeller utan använd- ning av observationer. CEPN:s förslag till ändrad lydelse av 2 § etikprövningslagen innebär att termen ”teoretiskt arbete” bör ute- slutas från avgränsningen.

CEPN har därutöver påpekat att den nu gällande lydelsen ”veten- skapligt experimentellt arbete” är alltför smal och bör ersättas med den bredare termen ”empiriskt vetenskapligt arbete”. Enligt vår be- dömning omfattar inte begreppet ”empiriskt” med självklarhet all den behandling av personuppgifter för forskningsändamål som är möjlig och som omfattas av dataskyddsförordningen. Det kan exempelvis ifrågasättas om behandling för forskningsändamål av redan insamlade uppgifter i rättsvetenskapliga källor kan betecknas som ”empirisk”.

97

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

En bättre precisering av den forskning som lagen ska tillämpas på skulle åstadkommas genom en avgränsning till ”vetenskapligt arbete … som omfattar personuppgiftsbehandling”. Utredningen konstaterar dock att denna begränsning redan följer av dataskydds- förordningens artikel 2.1 som avgränsar förordningens materiella tillämpningsområde. Eftersom forskningsdatalagen uteslutande ska gälla inom dataskyddsförordningens tillämpningsområde saknas behov av att tydliggöra en sådan avgränsning.

Med hänsyn till ovanstående resonemang anser utredningen att termerna ”experimentellt”, ”teoretiskt” och ”empiriskt” bör undvi- kas, och konstaterar att en avgränsning till personuppgifter redan följer av dataskyddsförordningen. Utredningen bedömer därmed att en anpassad mindre modifikation av CEPN:s förslag behövs i detta avseende. Vidare föreslår utredningen att avgränsningen för- tydligas ytterligare genom att arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå undan- tas. Detta för att tydliggöra gränsdragningen mellan utbildning och forskning. Utredningens bedömning är således att inom forsknings- datalagens tillämpningsområde ska med forskning avses:

Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Den föreslagna formuleringen innefattar utvecklingsarbete på vetenskaplig grund och inbegriper därmed de intentioner som be- skrivs i skäl 159. Den ska betraktas som en fungerande avgränsning av den forskning som omfattas av förordningens särskilda bestäm- melser om personuppgiftsbehandling för vetenskapliga och histo- riska forskningsändamål.

Det är avslutningsvis utredningens bedömning att någon defini- tion av begreppet forskning inte bör införas i den föreslagna forsk- ningsdatalagen. Den avgränsning utredningen här har redogjort för får anses vara en tillräcklig utgångspunkt för hur forskningsbegreppet ska tolkas vid personuppgiftsbehandling för forskningsändamål, samtidigt som arbete pågår i en annan utredning (U 2016:02) med att se över definitionen av forskning i etikprövningslagen.

98

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

3.4.4Begreppet forskningsändamål

Begreppets användning i dataskyddsförordningen

I dataskyddsförordningens artiklar används genomgående och kon- sekvent uttrycket ”vetenskapliga eller historiska forskningsända- mål”. Uttrycket används i artikel 5 som rör principerna för behand- ling av personuppgifter och i artikel 9 som rör känsliga personupp- gifter (i förordningen kallat särskilda kategorier av uppgifter). Det förekommer också i samband med föreskrifter om undantag för forskningsändamål från vissa av de registrerades rättigheter i artik- larna 14, 17 och 21. Det återfinns även i artikel 89.1 som anger att personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder och i artikel 89.2 som lämnar utrymme för att i unionsrätten eller nationell rätt föreskriva undantag från artik- larna 15, 16, 18 och 21. Dessa artiklar behandlar den registrerades rättigheter i det fall personuppgifter behandlas för forskningsända- mål. Undantag från rättigheterna får göras när behoven av skydds- åtgärder är tillgodosedda och när det behövs för att forskningen ska kunna genomföras. För närmare analyser av dessa bestämmel- ser hänvisas till separata avsnitt i detta betänkande.

I artikel 6, som handlar om laglig behandling av personuppgifter, omnämns inte forskningsändamål särskilt. Det ingår här i den mer omfattande grupp ändamål som tillsammans kan (eller förutsätts) bli föremål för medlemsstaternas eller unionens kompletterande reglering (artikel 6.1 e allmänt intresse och 6.1 c rättslig förpliktelse).

Begreppet forskningsändamål förekommer tillsammans med mer eller mindre avgränsade uttryck67 och formuleringar i flera av förordningens skäl. I skäl 26 fastställs exempelvis att anonym infor- mation för forskningsändamål faller utanför förordningens tillämp- ningsområde. I skäl 33 förtydligas att samtycke till personuppgifts- behandling för forskningsändamål kan innefatta avgränsade forsk- ningsområden av bredare karaktär än enskilda projekt. Skäl 50 innehåller ett förtydligande av artikel 5.1 b om vilka krav som ställs på ytterligare behandling av redan insamlade personuppgifter. Skälen 52 och 53 förtydligar att undantag i unionsrätten eller natio- nell rätt från förbudet att behandla särskilda kategorier av person-

67 Se fig. 1 i bilaga 3.

99

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

uppgifter i artikel 9.1 kan göras för forskningsändamål. Skälen 62 och 65 beskriver undantag från de registrerades rättigheter vid personuppgiftsbehandling för forskningsändamål. I skäl 113 anges att hänsyn till samhällets legitima förväntningar om ny kunskap ska tas när överföring till tredje land görs för forskningsändamål. I skäl 156 formuleras riktlinjer för skyddsåtgärder och undantag från de registrerades rättigheter när uppgifter används för forsk- ningsändamål. I skäl 157 framhålls vikten av att den personuppgifts- behandling för forskningsändamål som innebär samkörning av personuppgifter från olika register kan göras. I skälen 159–162 be- skrivs, som diskuterats i föregående avsnitt, vad som ska anses inne- fattas i personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål.

Varken i skälen eller i de bindande artiklarna finns någon väg- ledning vad avser den eventuella distinktionen mellan ”vetenskap- liga forskningsändamål” och ”historiska forskningsändamål”. De förekommer åtskilda från varandra endast i de vägledande skälen 159, som särskilt beskriver vetenskapliga forskningsändamål, och 160, som särskilt behandlar vad som innefattas i historiska forsknings- ändamål. Huruvida de separata formuleringar som finns i dessa skäl är avsett att skilja dem åt med avseende på bestämmelserna om personuppgiftsbehandling framgår inte tydligt. Inte heller finns det någon klart uttalad beskrivning av distinktionen mellan ”forskning” och ”forskningsändamål”.

Dessa två frågeställningar har betydelse för hur förordningen bör tolkas, och analyseras i det följande.

Historiska, statistiska och vetenskapliga forskningsändamål

I kommissionens ursprungliga förslag från januari 2012 förekom- mer uttrycket ”historiska, statistiska och vetenskapliga forsknings-

ändamål”.68 Denna sammanhållna formulering förekommer inte i det nuvarande dataskyddsdirektivet, där motsvarande uttryck i arti- kel 6 b och e är ”historiska, statistiska eller vetenskapliga ändamål”.

Frågan uppstod om den nya sammanhållna satsen i kommissionens

68 COM (2012) 11 final av den 25 januari 2012, s. 97.

100

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

förslag skulle förstås som hänförlig till olika typer av forskning, eller om de två första områdena inte skulle avse forskningsändamål.

Avgränsningsproblemet blev särskilt tydligt i den engelsksprå- kiga versionen genom att uttrycket ”research purposes” kan ges en bredare definition än svenskans ”forskningsändamål”. Avsikten visade sig vara att historiska och statistiska ändamål inte ska avse forskning. Man strök därför ordet ”research” och ändrade ordfölj- den i formuleringen till ”archiving purposes in the public interest or for scientific, historical and statistical purposes”69 varmed det tydliggjordes att de vetenskapliga ändamålen är separerade från övriga ändamål. Förslaget innebar med andra ord att förutom ändringen av ordföljd återgå till den formulering som finns i dataskyddsdirektivet.

Det fanns dock ett önskemål om att tydliggöra att historisk och statistisk forskning inte skulle undantas från de bestämmelser som gäller forskning. För att lösa detta delade man upp begreppet ”histo- riska ändamål” i två beståndsdelar: ”arkivändamål av allmänt intresse” och ”historiska forskningsändamål”. Den formulering som genom- gående används i förordningen blev därmed ”arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Man återinförde därmed termen ”forskning” i formuleringen, men den placerades på ett sätt som inte återskapade den ursprungliga ambivalensen vad gäller historisk forskning. In- förandet av det separata uttrycket ”historiska forskningsändamål” torde därmed inte vara avsett att skilja på historisk och vetenskap- lig forskning. Det är snarare ämnat att särskilja historiska forsk- ningsändamål från arkivändamål av allmänt intresse.

Det bör noteras att motsvarande ändring inte infördes för statis- tisk forskning. Ingen vägledning finns till hur detta ska uppfattas. Utredningens bedömning är att statistisk forskning, snarare än att innefattas i ”statistiska ändamål”, bör omfattas av ”vetenskapliga och historiska forskningsändamål”.

69 Note 9565/15 from the Presidency to the Council, 11 June 2015 s. 195.

101

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Forskning och forskningsändamål

I det följande görs en bedömning av huruvida begreppen ”forskning” och ”forskningsändamål” bör åtskiljas när man bedömer vilken personuppgiftsbehandling för forskningsändamål som är tillåten enligt förordningen. En utförlig genomgång av allmänna principer och rättsliga grunder för forskningens användning av personuppgif- ter görs i kapitel 5. Behandling av personuppgifter för forsknings- ändamål med samtycke och behandling av känsliga personuppgifter för forskningsändamål tas upp i kapitel 6 respektive kapitel 7. Av dessa kapitel framgår att insamling av personuppgifter kan ske för forskningsändamål och att ytterligare behandling för forskningsända- mål av personuppgifter insamlade för andra ändamål än forskning är tillåten. Nedan diskuteras innebörden av detta med avseende på vad som ska förstås som personuppgiftsbehandling för forsknings- ändamål.

Enligt nuvarande bestämmelser i 9 § c personuppgiftslagen ska personuppgifter samlas in för särskilt, uttryckligt angivna och be- rättigade ändamål. Uppgifterna får inte behandlas för ändamål som är oförenliga med dessa ändamål (9 § d) Behandling för vetenskap- liga ändamål ska inte anses som oförenligt med dessa ändamål enligt 9 § andra stycket. Motsvarande formuleringar finns i dataskydds- förordningens artikel 5 b. Personuppgiftsbehandling för vetenskap- liga ändamål ska tillgodose proportionalitetsprincipen och principen om uppgiftsminimering (9 § f personuppgiftslagen och artikel 5 c i förordningen). Syftet med behandlingen för forskningsändamål måste vara tillräckligt beskrivet för att en bedömning enligt dessa kriterier ska kunna göras. Förordningen synes inte innebära någon förändring av bestämmelserna i dessa avseenden.

Begreppet forskningsändamål intar därför en central roll för att avgöra om den avsedda behandlingen avser forskning och därmed ska omfattas av de särskilda regler och undantag som ska gäller för detta. Det är enligt utredningens bedömning lämpligt att person- uppgiftsbehandling för ändamålet forskning och för forsknings- ändamål likställs och omfattas av förordningens regelverk på samma sätt oavsett om den ena eller andra termen används.

I det följande görs en analys av vissa aspekter som aktualiseras av detta ställningstagande. Analysen föranleds av behovet av att avgöra om en personuppgiftsbehandling avser forskningsändamål

102

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

eller inte. En för utredningens fortsatta arbete särskilt intressant frågeställning är huruvida iordningsställande av databaser för breda syften, exempelvis inom ramen för ett forskningsprogram, ska anses ingå i forskningsprocessen och således anses ha forskningsändamål.

Observationsstudier innefattar ofta en lång process där data samlas in över tid och naturliga förlopp studeras. Vanliga beskriv- ningar av den empiriskt inriktade forskningsprocessen innefattar bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, data- insamling (inklusive i förekommande fall prövning enligt offentlig- hets- och sekretesslagen (2009:400)), konstruktion av databas, lag- ring av data, analys av data, manusförfattande, publicering, doku- mentation (bl.a. av data), samt arkivering av data. Detta benämns ibland med termen ”forskningsprotokoll” och ingår som en helhet i forskningen. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt förekommande om forskningen följer ett program med flera enskilda separata forskningsprojekt som ingående delar.

Det kan som sagt ibland vara svårt att exakt definiera enskilda ändamål vid insamlingstillfället. Detta är exempelvis fallet när det gäller forskningsprogram som är utsträckta över en lång tidsperiod. En långvarig process kan här innebära att alla delar av forskningen inte kan vara slutligen planerade. För att arbetet ska kunna beteck- nas som personuppgiftsbehandling för forskningsändamål krävs dock fortfarande en tydlig avgränsning av behandlingens ändamål. Det är enligt utredningens bedömning rimligt att konstruktionen av forskningsdatabaser, under förutsättning att syftet fastställs som ett väl avgränsat forskningsområde, kan bedömas som personuppgifts- behandling för forskningsändamål och därmed utgöra en del av själva forskningen.

I kapitel 6 om behandling av personuppgifter för forskningsända- mål med samtycke redogörs kortfattat för det så kallade LifeGene- projektet70 som av bl. a. Datainspektionen ansågs ha ett alltför brett ändamål för att kunna tillåtas enligt personuppgiftslagen. LifeGene- projektet omfattade under de första åren ett förberedande insam- lingsarbete som behövs för att långt senare kunna formulera när- mare hypoteser och genomföra analyser av de långsiktiga konse-

70 Se http://www.lifegene.se

103

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

kvenserna som arv och miljö har på hälsan. Den centrala etikpröv- ningsnämnden bedömde att detta arbete på grund av att det saknades ett tillräckligt tydligt avgränsat forskningsändamål skulle betraktas som skapande av en infrastruktur för forskning och därmed inte utgjorde sådan forskning som ska etikprövas. Databaser som har denna bredare karaktär har i stället ansetts behöva grundas på sär- skild lagstiftning. Riksdagen har i vissa fall stiftat sådana lagar för insamlingar av forskningsdata. Utöver lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) finns exempelvis lagen (2012:741) om be- handling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen).

Att tillskapa forskningsinfrastrukturer är enligt utredningens preliminära bedömning en integrerad del av forskningsprocessen som i vissa fall är nödvändig och som har bredare formulerade forskningsändamål än de som förekommer i enskilda forsknings- projekt. I dataskyddsförordningens skäl 33 har nu tillkommit en tydligt uttryckt ambition att tillåta bredare samtycken för forsk- ningsändamål.71 Hur artikel 33 ska tolkas med avseende på insam- ling i enlighet med den plan som finns i LifeGene-projektet, utan att stöd måste finnas i särskild författning, utgör en av utredning- ens kommande uppgifter i samband med att vi tar ställning till långsiktig reglering av forskningsdatabaser.72

Forskningsdatabaser som ytterligare behandling av personuppgifter

I det föregående avsnittet har insamling av data i en databas för framtida forskning inom ett specificerat forskningsområde diskute- rats. En näraliggande men separat frågeställning är om myndigheter och andra personuppgiftsansvariga kan iordningsställa personuppgif- ter i databaser för forskningsändamål med hjälp av uppgifter som redan samlats in för andra ändamål.

Två exempel på databaser avsedda helt eller delvis för forsknings- ändamål är Statistiska Centralbyråns av forskare flitigt använda databas Longitudinell Integrationsdatabas för Sjukförsäkrings- och

71För en mer utförlig redogörelse se kapitel 6.

72Se dir. 2016:65.

104

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Arbetsmarknadsstudier (LISA) och Försäkringskassans Mikrodata för analys av sjukförsäkringen (MiDAS). Här har personuppgifter som lagras hos myndigheten iordningställts för forskningsändamål och annat analysarbete. I SCB:s terminologi används begreppet

”studier” och i Försäkringskassans ”analys” i databasernas namn, vilket anger deras syfte. Uppgifter kan begäras ut och användas så- väl för forskningsändamål som för andra ändamål.

Varken LISA eller MiDAS grundas på särskilda registerförfatt- ningar. MiDAS används såväl för myndighetens egen verksamhets- uppföljning som för forskning, företrädesvis vid universiteten. LISA används inte i myndighetens egen verksamhet utan är avsedd att underlätta iordningställandet av uppgifter för externa projekt. Såväl SCB som Försäkringskassan är statistikmyndigheter och har därmed stöd i 14 och 15 §§ lagen (2001:99) om den officiella stati- stiken för behandling av personuppgifter för framställning av statistik inom de områden respektive myndighet ansvarar för enligt förordningen (2001:100) om den officiella statistiken med dess bilaga där statistikområden för respektive myndighet anges.

Det är tveksamt om uppbyggnaden av de beskrivna databaserna för studier och analyser bör grundas på den lagstiftning som avser statistikproduktion. En alternativ tolkning kan vara att söka lagligt stöd för databasernas skapande i 9 § personuppgiftslagen, att be- handling av myndighetens personuppgifter för vetenskapliga ända- mål inte ska anses stå i motsättning till de ändamål för vilka data ursprungligen samlades in. Denna formulering återfinns, som be- skrivits ovan, också i förordningens artikel 5 b.

Sammanställningen av befintliga personuppgifter för forsknings- och analysändamål har hos myndigheterna betraktats som tillåten utan att ett eller flera specifika ändamål måste anges före det att personuppgifterna sammanställts. Först när uppgifterna begärs ut och ska användas i ett specifikt vetenskapligt projekt av en ny person- uppgiftsansvarig har de regler som gäller insamling (i detta fall från sekundär källa) tillämpats.

SCB och Försäkringskassan omfattas av statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Ett läro- säte är i många fall en myndighet. Detta medför bland annat att personuppgifter som skyddas av sekretess och som lämnas ut för

105

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

forskningsändamål vid lärosätet omfattas av den sekretess som gäller för uppgifterna vid den utlämnande myndigheten.73

Vid lärosätet kan uppgifter på ett liknande sätt som LISA och MiDAS med stöd av dataskyddsförordningens artikel 5.1 b och skäl 50 kunna sammanställas för forskningsändamål utan att ett nytt ändamål behöver fastställas.

De allmänna principer som föreskrivs i artikel 5.1 ska dock vara uppfyllda. Enligt artikel 5.2 ska den personuppgiftsansvarige kunna visa att dessa efterlevs. Därutöver ska skyddsåtgärder enligt arti- kel 89.1 finnas och den rättsliga reglering som krävs enligt artik- larna 6.3 och 9.2 j ska vara tillgodosedd. Hur detta kan kombineras med iordningsställande av forskningsdatabaser på ovan angivet sätt kräver ytterligare analys. Utredningen avser att återkomma till detta i vårt slutbetänkande.

Överväganden

Utredningens bedömning: Historiska, statistiska och veten- skapliga forskningsändamål ska betraktas som likställda.

Förordningens återkommande uttryck ”vetenskapliga eller histo- riska forskningsändamål” innefattar enligt utredningens bedöm- ning forskningsändamål utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgifts- behandling.

Vidare bedömer utredningen att statistiska ändamål inte inne- fattar forskning. Statistisk forskning kan därmed i stället innefattas i uttrycket ”vetenskapliga forskningsändamål” och omfattas av samma bestämmelser om personuppgiftsbehandling för forsknings- ändamål som andra vetenskapsområden.

Utredningens bedömning: Personuppgiftsbehandling för ända- målet forskning och för forskningsändamål ska betraktas som likställda.

73 11 kap. 3 § offentlighets- och sekretesslagen (2009:400).

106

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Arbete med forskningsändamål bör kunna omfatta hela eller delar av forskningsprocessen. Iordningsställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i vid bemärkelse. De allmänna principer för personuppgiftsbehandling som föreskrivs i artikel 5 ska gälla för detta arbete. Av särskild betydelse är här bedömningen av hur forskningsdatabaser med bredare ändamål än ett enskilt forsknings- projekt kan tillfredsställa principen om uppgiftsminimering i artikel 5 c. Viss vägledning till detta ges i förordningens skäl 33 som anger att samtycke ska kunna inhämtas för områden för veten- skaplig forskning när det exakta syftet med insamlingen inte fullt ut kan identifieras vid insamlingstillfället.

Utredningen bedömer att det kan finnas visst stöd för att den personuppgiftsansvarige med hänvisning till artikel 5 b i förord- ningen kan behandla redan insamlade personuppgifter för att iord- ningsställa databaser avsedda för forskningsändamål. Att ändamålet är forskning bör vara tydligt för att artikel 5 b ska vara tillämplig.

Utredningens bedömning är att de enskilda delarna av forsk- ningsprocessen ska kunna betecknas som arbete med vetenskapligt ändamål och forskningsändamål var för sig utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier (också kallat kohortstudier) där förlopp studeras över tidsperioder som ibland omfattar många år. Det måste dock stå klart att arbetet är en del av forskningsprocessen och tillgodoser de principer som gäller för all personuppgiftsbehandling enligt förordningens artikel 5.

Utredningen avser att återkomma bland annat till hur begreppet forskningsändamål ska betraktas i relation till uppbyggnaden av forskningsdatabaser i vårt slutbetänkande. Utredningens samman- fattande bedömning i detta skede är att personuppgiftsbehandling för ändamålet forskning och för forskningsändamål ska betraktas som likställda.

3.4.5Begreppet akademiskt skapande

Vårt uppdrag är att utreda och föreslå en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål. Dataskyddsförordningen öppnar för ett flertal möjligheter till sådan nationell reglering genom att direkt hänvisa till personuppgifts-

107

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

behandling för historiska och vetenskapliga forskningsändamål i ett flertal artiklar och skäl, vilka utredningen kommer att behandla i de olika delarna av betänkandet. I ett fall förekommer dock ett begrepp som kan tyckas angränsande till vetenskapliga forskningsändamål. I artikel 85 i dataskyddsförordningen återfinns begreppet akade- miskt skapande. Utredningen kommer i det följande att analysera begreppet akademiskt skapande sett i relation till vårt uppdrag att utreda och föreslå reglering för personuppgiftsbehandling för forsk- ningsändamål.

Rättsliga förutsättningar

I 7 § andra stycket personuppgiftslagen anges att flertalet bestäm- melser i lagen inte ska tillämpas på sådan behandling av person- uppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Denna bestämmelse har sin grund i artikel 9 i det nuvarande dataskyddsdirektivet som anger att medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande ska besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.

I artikel 85 i dataskyddsförordningen återfinns motsvarande be- stämmelse:

Artikel 85

Behandling och yttrande- och informationsfriheten

1.Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

2.Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fast- ställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (obero- ende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

108

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

3. Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Det kan inledningsvis noteras att dataskyddsförordningen, till skillnad från dataskyddsdirektivet och personuppgiftslagen, inte föreskriver att enbart sådan behandling som sker uteslutande för de uppräknade ändamålen får undantas, utan det räcker att det sker för sådant ändamål. Undantagsmöjligheten är således utökad i data- skyddsförordningen.

Vad som dessutom skiljer artikel 85 från artikel 9 i dataskydds- direktivet och 7 § andra stycket personuppgiftslagen är att även personuppgiftsbehandling som sker för akademiskt skapande får undantas. Eftersom begreppet akademiskt skapande är nytt i sam- manhanget uppkommer frågan vad som innefattas i detta begrepp och även hur det förhåller sig till begreppet vetenskapliga forsk- ningsändamål.

Dataskyddsutredningens uppdrag och förslag

Det framgår av Dataskyddsutredningens direktiv att regeringen anser att artikel 85 i dataskyddsförordningen innebär att det blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rätts- liga dataskyddsregleringen inte inkräktar på området för tryckfri- hetsförordningen och yttrandefrihetsgrundlagen. Det ingår inte i Dataskyddsutredningens uppdrag att överväga eller lämna förslag till grundlagsändringar, men utanför grundlagarnas tillämpnings- område är det regeringens bedömning att det även fortsättningsvis torde finnas behov av bestämmelser som, liksom 7 § andra stycket personuppgiftslagen, balanserar personuppgiftsskyddet mot ytt- rande- och informationsfriheten. Det ingår därför i Dataskydds- utredningens uppdrag att analysera hur sådana regler bör utformas och lämna sådana författningsförslag som är behövliga och lämp- liga.74

74 Dir. 2016:15 s. 22.

109

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

Av Dataskyddsutredningens betänkande framgår att utredningen föreslår att ett undantag för sådan behandling som sker för journalis- tiska ändamål eller för akademiskt, konstnärligt eller litterärt skap- ande ska införas i den nya dataskyddslag som föreslås komplettera dataskyddsförordningen på nationell generell nivå. Detta undantag föreslås innebära att enbart dataskyddsförordningens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndig- heten, rättsmedel, ansvar och sanktioner ska tillämpas i dessa fall.

Det är Dataskyddsutredningens bedömning att ordalydelsen i artikel 85.2 i dataskyddsförordningen synes ålägga medlemsstat- erna att göra vissa undantag från förordningen under förutsättning att de är nödvändiga för att förena rätten till integritet med ytt- rande- och informationsfriheten. Samma krav på nödvändighet finns i dataskyddsdirektivet, och den befintliga bestämmelsen i 7 § andra stycket personuppgiftslagen bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara förenliga med yttrande- och informationsfriheten. Förslaget till bestämmelse i dataskyddslagen är således utformat med 7 § andra stycket person- uppgiftslagen som förebild.75

Beträffande begreppet akademiskt skapande konstaterar Data- skyddsutredningen att det är nytt och inte närmare definierats i artiklar eller skäl. Dataskyddsutredningen gör vidare bedömningen att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i dataskyddsförordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen, anser Dataskydds- utredningen, skulle behandling i samband med själva färdigställan- det och spridningen av texter med vetenskapligt innehåll kunna avses. Dataskyddsutredningens slutsats är att innebörden av be- greppet akademiskt skapande är oklar och att dess närmare bety- delse får utvecklas i praxis.76

75SOU 2017:39 avsnitt 7.4.

76A.a. avsnitt 7.4.

110

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

Överväganden

Utredningens bedömning: Personuppgiftsbehandling för akade- miskt skapande är inte detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål. De två begreppen om- fattar olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritets- skyddande regelverket.

Artikel 85 i dataskyddsförordningen och Dataskyddsutredningens förslag till kompletterande nationell bestämmelse på generell nivå i dataskyddslagen innebär alltså att behandling av personuppgifter för akademiskt skapande undantas från dataskyddsförordningens bestämmelser förutom vad avser bestämmelser om syfte, tillämp- ningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner. Eftersom detta är ett omfattande undantag, vars motsvarighet inte finns i dag, och med tanke på att begreppet akademiskt skapande kan te sig likartat med begreppet vetenskap- liga forskningsändamål är det vår uppfattning att vi behöver göra en något djupare analys av hur dessa begrepp förhåller sig till varandra, än vad som framgår av Dataskyddsutredningens betänkande.

Vi kan inledningsvis konstatera, precis som Dataskyddsutred- ningen gjort, att begreppet akademiskt skapande återfinns i enbart en artikel i dataskyddsförordningen, medan begreppet vetenskap- liga forskningsändamål återfinns i ett flertal artiklar och skäl. Att akademiskt skapande skulle vara detsamma som vetenskapliga forskningsändamål finner vi därför inte troligt. Gränsdragningen mellan dessa begrepp är dock inte alldeles tydlig.

Av skäl 159 i dataskyddsförordningen framgår att om person- uppgifter behandlas för vetenskapliga forskningsändamål bör för- ordningen gälla också denna behandling. Begreppet vetenskapliga forskningsändamål bör enligt skäl 159 ges en vid tolkning och om- fatta till exempel teknisk utveckling och demonstration, grund- forskning, tillämpad forskning och privatfinansierad forskning. Vidare framgår att för att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forsknings- ändamål bör specifika villkor gälla, särskilt vad avser offentliggör-

111

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

ande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.

Inget i detta skäl indikerar således att de undantag som artikel 85.2 öppnar för beträffande akademiskt skapande ska tillämpas på per- sonuppgiftsbehandling för vetenskapliga forskningsändamål. Detta skulle, enligt utredningens uppfattning, också vara en orimlig tolk- ning mot bakgrund av de omfattande undantag som artikel 85.2 och förslaget till bestämmelse i dataskyddslagen möjliggör från data- skyddsförordningens bestämmelser. Att all personuppgiftsbehand- ling för vetenskapliga forskningsändamål skulle undantas från fler- talet av dataskyddsförordningens bestämmelser är helt enkelt inte överensstämmande med dataskyddsförordningens syfte.

Frågan är då vad som avses med begreppet akademiskt skap- ande. En översiktlig jämförelse av översättningarna av begreppet akademiskt skapande i artikel 85 visar att de engelska, franska, italienska, nederländska, portugisiska och spanska versionerna använ- der ordet expression i betydelsen uttryck eller yttrande (på holländska heter detta uitdrukkingsvormen, de övriga har ordet expression i olika stavningar). De tyska och danska versionerna använder zwecken (syssla) och virksomhed (verksamhet). Endast den svenska versionen använder ordet skapande (som i engelsk översättning närmast skulle bli creation). Detta ger, enligt utredningens uppfattning, vid handen att akademiskt skapande närmast ska tolkas som akade- miskt uttryck eller yttrande, dvs. snarare att koppla till akademisk yttrandefrihet. Detta är ju också i enlighet med vad artikel 85 i dataskyddsförordningen, och även artikel 9 i dataskyddsdirektivet och 7 § personuppgiftslagen, handlar om, nämligen relationen mellan regleringen av behandling av personuppgifter och yttrande- och informationsfriheten.

Behandling för akademiskt skapande, som därmed skulle komma att omfattas av undantag enligt artikel 85.2 i dataskyddsförord- ningen samt dataskyddslagens bestämmelse, skulle således enligt utredningens uppfattning kunna vara behandling av personuppgif- ter som syftar till skydd av den akademiska yttrandefriheten. De undantag som möjliggörs genom dataskyddsförordningen och för- slaget till bestämmelse i dataskyddslagen syftar ju också till att främja yttrande- och informationsfriheten enligt grundlagarna. Exakt vilken slags personuppgiftsbehandling detta skulle kunna vara är dock svårt att göra en generell bedömning av. Det är utredningens

112

SOU 2017:50

Bakgrund, rättsliga utgångspunkter och begrepp

uppfattning att det i vart fall inte är detsamma som behandling av personuppgifter i samband med utförande av den faktiska forsk- ningsverksamheten.

Det är avslutningsvis viktigt att påminna om att, enligt Data- skyddsutredningens förslag, bestämmelser om syfte, tillämpnings- område och definitioner samt bestämmelser om säkerhet för person- uppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner alltjämt ska tillämpas även för personuppgiftsbehand- ling för akademiskt skapande. Detta innebär att lämpliga skydds- åtgärder ska finnas också vid sådan personuppgiftsbehandling, att tillsyn ska kunna ske och att sanktioner ska kunna utgå vid felaktig behandling.

Sammanfattningsvis är det således vår bedömning att person- uppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket. En närmare definition av vad som utgör akademiskt skapande anser vi, liksom Dataskyddsutredningen, får utvecklas i praxis.

3.4.6Sammanfattning

Det är utredningens bedömning att dataskyddsförordningen lik- ställer vetenskaplig och historisk forskning, samt att statistisk forsk- ning kan innefattas i vetenskapliga och historiska forskningsända- mål. Samma bestämmelser torde således gälla oavsett om det är fråga om personuppgiftsbehandling för historiska forskningsända- mål, statistiska forskningsändamål eller forskningsändamål inom andra discipliner.

Begreppet forskningsändamål har inte varit föremål för utred- ningar på samma sätt som begreppet forskning. Utredningens be- dömning är att begreppen forskning och forskningsändamål bör likställas så att den reglering som gäller forskning också kommer att gälla forskningsändamål. Personuppgiftsbehandling för forsk- ningsändamål är enligt utredningens bedömning arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordningsställande och dokumen- tation av databaser för användning i forskning eller arkivering av

113

Bakgrund, rättsliga utgångspunkter och begrepp

SOU 2017:50

forskningsmaterial. Begreppen kan därmed ges en tolkning som innebär att personuppgiftsbehandling för forskningsändamål inte behöver innefatta hela utan i vissa fall kan avgränsas till en del av forskningsprocessen, vilket möjliggör långsiktig forskning med an- vändning av personuppgifter.

Slutligen är det vår bedömning att personuppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehand- ling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket.

114

4 En forskningsdatalag

4.1Inledning

I samband med att dataskyddsförordningen (EU 2016/679) börjar tillämpas behöver behovet av kompletterande bestämmelser i natio- nell rätt avseende förutsättningarna för laglig behandling av person- uppgifter ses över. Dataskyddsutredningen (Ju 2016:04) har i upp- drag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behand- ling av personuppgifter och att lämna behövliga och lämpliga för- fattningsförslag.

När det gäller behandling av personuppgifter för forsknings- ändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ända- målsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.1

Utredningen har därför fått i uppdrag att undersöka vilken regler- ing av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Data- skyddsutredningen kommer att föreslå, och att lämna de författ- ningsförslag som behövs. I detta uppdrag ingår att analysera om det finns ett behov av bestämmelser som reglerar behandling av käns- liga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundlägg- ande rättigheter och intressen en sådan reglering bör innehålla. Det ingår vidare i uppdraget att analysera om det finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16,

1 Dir. 2016:65.

115

En forskningsdatalag

SOU 2017:50

18 och 21 i dataskyddsförordningen vid behandling för forsknings- ändamål och lämna förslag till hur sådana undantag i så fall bör ut- formas.

4.2En kompletterande lag

vid personuppgiftsbehandling

för forskningsändamål ska införas

Utredningen kommer i detta betänkande visa att det föreligger ett behov av kompletterande nationell reglering vid personuppgifts- behandling för forskningsändamål. Den möjlighet som dataskydds- förordningen ger för sådan kompletterande nationell reglering, som enligt utredningens bedömning är nödvändig för en ändamålsenlig personuppgiftsbehandling som beaktar skyddet för den registrerades fri- och rättigheter, ingår inte i Dataskyddsutredningens förslag till en generell kompletterande dataskyddslag.2

4.2.1Överväganden och förslag

Utredningens förslag: En lag som kompletterar dataskydds- förordningen vid personuppgiftsbehandling för forskningsända- mål ska införas. Syftet med lagen ska vara att möjliggöra person- uppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

Eftersom den aktuella EU-regleringen har förordningsform är möjligheterna att behålla eller införa nationella bestämmelser om dataskydd mycket begränsade. En förordning är i alla delar direkt tillämplig som lag i medlemsstaterna. Dataskyddsförordningen har dock i viss mån en direktivliknande karaktär genom att flera artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens bestämmelser. Det är också möjligt att införliva delar av förordningen i nationell rätt, enligt skäl 8, i de fall förordningen föreskriver förtydliganden eller begränsningar och det är nödvändigt för samstämmigheten samt

2 SOU 2017:39.

116

SOU 2017:50

En forskningsdatalag

för att göra de nationella bestämmelserna begripliga för de personer som ska tillämpa dem.

Enligt skäl 10 i dataskyddsförordningen utesluter inte förord- ningen att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där personuppgifter be- handlas, inbegripet mer exakta villkor för laglig behandling av person- uppgifter.

Utredningen har funnit att dataskyddsförordningens utrymme för nationell kompletterande reglering är särskilt gynnat vad gäller personuppgiftsbehandling för forskningsändamål, vilket vi kommer att analysera närmare i betänkandets övriga delar. De bestämmelser som dataskyddsförordningen förutsätter och möjliggör och som utredningen föreslår i de olika delarna bör, enligt utredningens be- dömning, samlas i en forskningsdatalag.

Den forskningsdatalag vi föreslår ska ha som syfte att möjlig- göra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Lagen ska tillämpas vid all behandling av personuppgifter för forskningsändamål, oav- sett rättslig grund för behandlingen, och samla de kompletterande nationella bestämmelser som utredningen bedömt nödvändiga för att dataskyddsförordningen, den föreslagna dataskyddslagen och vår föreslagna forskningsdatalag sammantaget ska uppfylla det över- gripande syftet att möjliggöra personuppgiftsbehandling för forsk- ningsändamål och samtidigt skydda den enskildes fri- och rättig- heter.

Begrepp och uttryck

I artikel 4 i dataskyddsförordningen definieras de centrala begrepp och uttryck som används i förordningen. De begrepp och uttryck som används i den föreslagna forskningsdatalagen har samma bety- delse som i dataskyddsförordningen.

Hänvisningsteknik

Den föreslagna forskningsdatalagen innehåller hänvisningar till be- stämmelser i dataskyddsförordningen. Hänvisningar till EU-rätts- akter kan göras antingen statiska eller dynamiska. En statisk hän-

117

En forskningsdatalag

SOU 2017:50

visning innebär att hänvisningen avser EU-rättsakten i en viss an- given lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. De hänvisningar till dataskyddsförordningen som finns i vår föreslagna forskningsdatalag är dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Det är utredningens bedömning att detta är mest lämpligt. Detta innebär att ändringar i dataskyddsför- ordningen får omedelbart genomslag i den nationella rätten, även om ändringar i förordningen också kan komma att innebära behov av ändringar i den föreslagna forskningsdatalagen. Hänvisningarna till dataskyddsförordningen i den föreslagna forskningsdatalagen kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

4.3Forskningsdatalagens förhållande till annan dataskyddsreglering

Den föreslagna forskningsdatalagen måste tillämpas i kombination med flera andra rättskällor. En utgångspunkt i detta avseende är att det är dataskyddsförordningen som utgör den centrala regleringen på området.

Det finns och kommer att finnas ytterligare tillämpliga författ- ningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen medför ett för- slag till en svensk kompletteringslag (dataskyddslagen). I enstaka fall kan bestämmelser i den av oss föreslagna lagen komma att av- vika från bestämmelser i dataskyddslagen.

Utöver den föreslagna forskningsdatalagen kommer det att finnas författningar med karaktären av registerförfattningar, som innehåller bestämmelser som specifikt är inriktade på behandling av person- uppgifter för forskningsändamål. I den mån sådana registerförfatt- ningar innehåller avvikande bestämmelser, exempelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förutsättas att dessa be- stämmelser är utformade efter de konkreta förutsättningar för den specifika behandlingen som regleras i registerförfattningen i fråga. En sådan registerförfattning bör därför tillämpas framför forsk- ningsdatalagen.

118

SOU 2017:50

En forskningsdatalag

4.3.1Överväganden och förslag

Utredningens förslag: En upplysande bestämmelse om att denna lag kompletterar dataskyddsförordningen ska tas in i forsknings- datalagen.

EU-rätten, som dataskyddsförordningen tillhör, har företräde fram- för nationell rätt. Med tanke på forskningsdatalagens tillämpnings- område, och att den ersätter den tidigare lagstiftning som genom- förde det nuvarande dataskyddsdirektivet, är det befogat att ta in en upplysande bestämmelse av vilken det framgår att den föreslagna lagen måste läsas tillsammans med dataskyddsförordningen.

Utredningens förslag: En upplysande bestämmelse om att om inte annat följer av denna lag så gäller lagen med kompletterande bestämmelser till dataskyddsförordningen (dataskyddslagen) ska tas in i forskningsdatalagen.

Den kompletterande dataskyddslagen föreslås vara subsidiär i för- hållande till andra lagar och förordningar. Av tydlighetsskäl föreslår vi att det av forskningsdatalagen framgår att dataskyddslagen gäller om inte annat följer av forskningsdatalagen.

Utredningens förslag: Av forskningsdatalagen ska framgå att om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.

Registerförfattningar som tar sikte på personuppgiftsbehandling för forskningsändamål förekommer i betydande utsträckning. För att tydliggöra att en registerförfattning eller en bestämmelse i en register- författning som specifikt är tillämplig på personuppgiftsbehandling för forskningsändamål ska ha företräde framför bestämmelserna i forskningsdatalagen föreslår vi att en särskild avgränsad subsidiaritets- bestämmelse tas in i forskningsdatalagen. Registerförfattningar som inte omfattar behandlingar för forskningsändamål bör däremot inte generellt gälla framför den föreslagna forskningsdatalagen. Vid be-

119

En forskningsdatalag

SOU 2017:50

dömningen om en registerförfattning avser behandling för forsk- ningsändamål får särskilt beaktas den breda definition av forsk- ningsändamål som framgår av dataskyddsförordningen, exempelvis i skäl 159.

4.4Sammanfattning

Utredningen har identifierat ett behov av att införa en forsknings- datalag med syfte att möjliggöra personuppgiftsbehandling för forsk- ningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen, framför den komplette- rande dataskyddslagen och vara subsidiär till andra lagar eller för- ordningar med bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatalagen.

120

5 Fastställande av rättslig grund

5.1Inledning

När personuppgifter behandlas för forskningsändamål sker det i dags- läget normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d person- uppgiftslagen (1998:204). Denna bestämmelse i personuppgiftslagen motsvaras av artikel 6.1 e i dataskyddsförordningen (EU 2016/679). Enligt artikel 6.3 i dataskyddsförordningen ska grunden för behand- ling av personuppgifter enligt bl.a. artikel 6.1 e fastställas i unions- rätten eller en medlemsstats nationella rätt. I detta avsnitt behand- las fastställande av den rättsliga grunden uppgift av allmänt intresse vid personuppgiftsbehandling för forskningsändamål.

5.2Rättsliga förutsättningar

5.2.1Nuvarande reglering

I dag är det framför allt personuppgiftslagen som reglerar hur fors- kare får behandla personuppgifter för forskningsändamål. Det finns också särskilda registerförfattningar som är tillämpliga på person- uppgiftsbehandling för forskningsändamål.1 I en registerförfattning finns det bestämmelser om att personuppgifter får behandlas för visst eller vissa ändamål. Eftersom personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning har avvikande bestäm-

1 Till exempel lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

121

Fastställande av rättslig grund SOU 2017:50

melser i dessa författningar, om bland annat tillåten behandling, företräde.

All behandling av personuppgifter måste uppfylla de grundlägg- ande kraven i 9 § personuppgiftslagen. För att behandlingen ska vara tillåten krävs vidare giltigt samtycke från den enskilde, eller i annat fall att behandlingen är nödvändig enligt någon av de situa- tioner som räknas upp i 10 § personuppgiftslagen. Vid behandling av personuppgifter för forskningsändamål kan det framför allt vara fråga om nödvändig behandling för att en arbetsuppgift av allmänt intresse ska kunna utföras (10 § d) eller nödvändig behandling efter en intresseavvägning (10 § f).

5.2.2Dataskyddsförordningen

Allmänna principer i artikel 5

Grundläggande krav för all behandling av personuppgifter är de all- männa dataskyddsprinciperna som framgår av artikel 5.

Artikel 5 Principer för behandling av personuppgifter

1. Vid behandling av personuppgifter ska följande gälla:

a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)De ska vara adekvata, relevanta och inte för omfattande i förhåll- ande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är fel- aktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ända- mål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behand- las för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1,

122

SOU 2017:50

Fastställande av rättslig grund

under förutsättning att de lämpliga tekniska och organisatoriska åtgär- der som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten be- handling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artiklarna 5 och 6 är helt grundläggande och kumulativa, genom att minst en av de rättsliga grunderna enligt artikel 6.1 måste vara tillämplig samtidigt som samtliga principer i artikel 5.1 måste följas vid all personuppgiftsbehandling.

Laglig behandling av personuppgifter enligt artikel 6.1

I dataskyddsförordningen återfinns bestämmelserna om laglig be- handling av personuppgifter i artikel 6. Artikel 6.1 motsvaras i den nuvarande lagstiftningen huvudsakligen av 10 § personuppgifts- lagen, som utgår från artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG). Artikel 6 är således central för all personuppgiftsbehand- ling inom dataskyddsförordningens tillämpningsområde.

Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den regi- strerade är part eller för att vidta åtgärder på begäran av den registre- rade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grund- läggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning.

123

Fastställande av rättslig grund

SOU 2017:50

f) Behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registre- rade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offent- liga myndigheter när de fullgör sina uppgifter.

Uppräkningen av vad som kan utgöra rättslig grund för behandling av personuppgifter i artikel 6.1 är uttömmande. Behandling av personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för forsk- ningsändamål kan i teorin grundas på vilken som helst av punkt- erna i artikel 6.1, men framför allt torde punkt a och e bli aktuella att tillämpa. Punkt f är, som framgår av andra stycket, inte möjlig att åberopa för myndigheter när de fullgör sina uppgifter.

Det är den personuppgiftsansvariges ansvar att efterleva de all- männa principerna för behandling av personuppgifter samt att under- söka och ta ställning till om en behandling är tillåten enligt gällande rätt.

Utöver att behandlingen är laglig enligt artikel 6.1 krävs att övriga krav enligt förordningen är uppfyllda. För behandling av vad som i förordningen benämns särskilda kategorier av personuppgifter (känsliga personuppgifter) finns exempelvis ytterligare villkor i artikel 9, se kapitel 7.

Nödvändighetsrekvisitet

En behandling utan samtycke måste vara nödvändig för ett visst ändamål för att vara tillåten enligt artikel 6.1 b–f i dataskydds- förordningen. Rekvisitet gäller även enligt den nuvarande 10 § personuppgiftslagen. Nödvändighetsrekvisitet är således centralt i dataskyddslagstiftningen. Den enda vägledningen till hur nödvän- dig behandling ska tolkas enligt dataskyddsförordningen återfinns i skäl 39, som anger att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.

124

SOU 2017:50

Fastställande av rättslig grund

Det torde inte finnas anledning att anta att nödvändighetsrekvi- sitet i artikel 6.1 i dataskyddsförordningen ska ha någon annan innebörd än den har i dataskyddsdirektivet och personuppgifts- lagen. Av skäl 9 i dataskyddsförordningen framgår också att samma mål och principer som gällde för dataskyddsdirektivet alltjämt ska vara giltiga. För förståelsen av begreppet nödvändighet kan det där- för vara av intresse att se något närmare på såväl EU-domstolens uttalanden som förarbeten till nuvarande lagstiftning.

EU-domstolen har uttalat följande vad gäller tolkningen av be- greppet nödvändighet i medlemsstaterna:

Med beaktande av målet att göra skyddsnivån likvärdig i alla medlems- stater kan begreppet nödvändighet, såsom det följer av artikel 7 e i direktiv 95/46, vars syfte just är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts, således inte förstås olika från medlemsstat till medlemsstat. Det rör sig därmed om ett självständigt gemenskapsrättsligt begrepp som ska tolkas så, att det till fullo upp- fyller syftet med detta direktiv, såsom det definieras i artikel 1.1.2

I den aktuella domen ansågs vidare behandling av personuppgifter utan samtycke vara nödvändig eftersom den effektiviserade tillämp- ningen av viss lagstiftning kopplad till den aktuella registerföringen.

Av förarbetena till personuppgiftslagen framgår att Datalags- kommittén ansåg att nödvändighetskravet inte rimligen kan inne- bära att det ska vara helt omöjligt att utföra till exempel en uppgift av allmänt intresse utan personuppgifter för att behandling av personuppgifter ska få ske:

Vad nödvändighetskravet närmare innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt. Som vi ser det kan nödvändighets- kravet inte rimligen innebära att det skall vara faktiskt omöjligt att ut- föra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behand- las, kan det inte anses nödvändigt att behandla personuppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.3

2Dom den 16 december 2008 i mål C-524/06, REG 2008.

3SOU 1997:39 s. 361 f.

125

Fastställande av rättslig grund

SOU 2017:50

Nödvändighetskravet har också analyserats i senare lagstiftnings- arbete, avseende en registerförfattning med företräde framför person- uppgiftslagen:

Kan en arbetsuppgift lösas även om personuppgiften utelämnas eller avidentifieras är behandlingen inte nödvändig. Vidare skall det vara nödvändigt att behandla personuppgifterna på ett sätt som omfattas av lagens tillämpningsområde, dvs. genom helt eller delvis automatiserad behandling eller i manuellt behandlade register. Det krävs dock inte att det skall vara faktiskt omöjligt att utföra en uppgift enligt något ända- mål utan att behandla personuppgifterna automatiserat eller i register. Det räcker att det innebär en påtaglig förenkling att personuppgifter behandlas automatiserat eller i register i stället för manuellt utanför register. Avsikten är att utlänningsdatalagens nödvändighetsrekvisit skall förstås på samma sätt som motsvarande rekvisit i 10 § person- uppgiftslagen.4

I vissa registerförfattningar har begreppet nödvändig behandling bytts ut mot behandling som behövs för vissa angivna ändamål. I för- arbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering återfinns t.ex. följande resonemang:

I personuppgiftslagen används begreppet nödvändig i ändamålsbestäm- melsen eftersom detta uttryckssätt används i dataskyddsdirektivet. I de flesta registerlagar av den karaktär som nu föreslås för IFAU har dock ändamålsbestämmelserna formulerats på så sätt att myndigheten får be- handla vissa uppgifter om det behövs för vissa angivna ändamål. I dessa sammanhang anses de båda uttryckssätten vara synonyma. För inne- börden av en ändamålsbestämmelse spelar det således ingen roll vilket begrepp som används.5

Sammanfattningsvis innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen för forskningens del att personuppgifts- behandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forsknings- sammanhang torde den rimlighetsbedömningen även kunna om- fatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet. Om kravet på nödvändighet kan anses uppfyllt är det viktigt att

4SOU 2003:40 s. 169.

5Prop. 2011/12:176 s. 30.

126

SOU 2017:50

Fastställande av rättslig grund

komma ihåg att först och främst måste de grundläggande allmänna principerna som framgår av artikel 5.1 vara uppfyllda för all behand- ling av personuppgifter.

Eftersom dataskyddsförordningen är direkt tillämplig som lag i medlemsstaterna, och till skillnad från ett direktiv därför inte ska införlivas i nationell rätt, torde det inte vara möjligt att använda ett annat begrepp än just nödvändig i kompletterande nationell lag- stiftning.

Uppgift av allmänt intresse

Begreppet allmänt intresse definieras inte närmare vare sig i data- skyddsförordningen eller i det nuvarande dataskyddsdirektivet som ligger till grund för personuppgiftslagen. Någon praxis från EU- domstolen står inte heller att finna för tolkning av innebörden av begreppet i fråga. Forskningsuppgiften har hittills ansetts vara en uppgift av allmänt intresse, i den mening som avses i personupp- giftslagen. Det torde inte finnas någon anledning att anta att be- greppet allmänt intresse ska tolkas annorlunda enligt dataskydds- förordningen. För förståelsen av bedömningen av forskning som en arbetsuppgift av allmänt intresse kan det vara av värde att under- söka något närmare i vilka sammanhang denna tolkning har förts fram.

I det nuvarande dataskyddsdirektivets skäl 34 framhålls veten- skaplig forskning som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga person- uppgifter.

I förarbetena till personuppgiftslagen exemplifieras arbetsuppgif- ter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resone- mang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den.6

6 SOU 1997:39 s. 364.

127

Fastställande av rättslig grund

SOU 2017:50

Flera centrala myndigheter inom forskningssektorn har gemen- samt konstaterat att personuppgifter får behandlas för forsknings- ändamål efter samtycke eller om behandlingen är nödvändig för att forskningsuppgiften ska kunna utföras. I en informationsskrift framhålls t.ex. att:

En nödvändig behandling kan vara att personuppgifter hanteras för att en arbetsuppgift av allmänt intresse ska kunna utföras. Eftersom forskning normalt sett är en arbetsuppgift av allmänt intresse, är det tillåtet att behandla personuppgifter för forskningsändamål om be- handlingen är nödvändig för att kunna utföra forskningen.7

Dataskyddsutredningen resonerar kring en något utvidgad defini- tion av begreppet allmänt intresse i dataskyddsförordningen, jäm- fört med dagens lagstiftning. Bakgrunden till detta är dataskydds- förordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att be- handla personuppgifter inom ramen för sin verksamhet. Data- skyddsutredningens bedömning är därför att detta sammantaget talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförord- ningen än det hittills har haft.8 En bredare betydelse av begreppet allmänt intresse får för forskningens del antas innebära att det är än mer som talar för att uppgiften att forska också fortsättningsvis ska ingå i vad som anses vara av allmänt intresse.

Sammanfattningsvis bör således arbetsuppgiften forskning även fortsatt som huvudregel anses utgöra en uppgift av allmänt intresse i dataskyddsförordningens mening. Detta innebär att sådan be- handling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d personuppgiftslagen (artikel 7 e i dataskydds- direktivet), på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt arti- kel 6.1 e i dataskyddsförordningen.

Forskning som är av allmänt intresse kan bedrivas av såväl offent- liga som privata forskningsaktörer. Det är dock inte självklart att all

7Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövnings- nämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013, s. 4.

8SOU 2017:39 avsnitt 8.3.4.

128

SOU 2017:50

Fastställande av rättslig grund

forskning som bedrivs är av allmänt intresse. Utredningen har dock inte sett det som sin uppgift att försöka dra några exakta gränser för vilken slags forskning som är att anse som av allmänt intresse, utan detta får bedömas av rättstillämparen i varje enskilt fall.

Möjligheten att behålla eller införa mer specifika tillämpningsbestämmelser enligt artikel 6.2

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna be- hålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen av förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och 6.1 e. Sådana nationella bestämmelser får fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I dagsläget förekommer sådana mer specifika bestämmelser framför allt i registerförfattningar.

Artikel 6 Laglig behandling av personuppgifter

2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

Artikel 6.2 möjliggör för medlemsstaterna att uppfylla kravet på fastställande av den rättsliga grunden för artikel 6.1 c och e som gäller enligt artikel 6.3. Artikel 6.2 är således grundläggande för möjligheterna att komplettera förordningen med nationella bestäm- melser avseende laglighet för behandling av personuppgifter för forskningsändamål.

Krav på fastställande av grunden i vissa fall enligt artikel 6.3

Artikel 6.1 i dataskyddsförordningen är direkt tillämplig i nationell rätt, men ytterligare villkor för att kunna tillämpa delar av bestäm- melsen uppställs i artikel 6.3. Enligt artikel 6.3 ska den grund för behandlingen som avses i 6.1 c och e fastställas i enlighet med unions- rätten eller den nationella rätten.

129

Fastställande av rättslig grund

SOU 2017:50

Artikel 6 Laglig behandling av personuppgifter

3. Den grund för behandlingen som avses i punkt 1 c och e ska fast- ställas i enlighet med

a)unionsrätten, eller

b)en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att ut- föra en uppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmel- serna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av upp- gifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamåls- begränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situatio- ner enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Bestämmelsen i artikel 6.3 får antas innebära att det inte kommer att vara möjligt att enbart åberopa den generella regleringen i arti- kel 6.1 c och e vid sådan behandling av personuppgifter. Den rätts- liga grunden måste dessutom vara fastställd i unionsrätten eller den nationella rätten på det sätt som anges i artikel 6.3. Syftet med be- handlingen ska fastställas med utgångspunkt i den rättsliga grunden eller, i fråga om behandling enligt 6.1 e, vara nödvändigt för att ut- föra en uppgift av allmänt intresse eller vara ett led i den person- uppgiftsansvariges myndighetsutövning. Detta begränsar tillämp- ningsområdet för den rättsliga grunden avseende uppgift av allmänt intresse, som är av särskild vikt i forskningssammanhang, eftersom det inte räcker med att en behandling av personuppgifter är nöd- vändig för att utföra en uppgift av allmänt intresse, själva forsk- ningsuppgiften (av allmänt intresse) måste också vara fastställd i enlighet med gällande rätt.

Enligt skäl 45 i dataskyddsförordningen medför inte bestäm- melsen i artikel 6.3 något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för nödvändig behandling för att utföra en viss slags uppgift av allmänt intresse.

130

SOU 2017:50

Fastställande av rättslig grund

Det är dock viktigt att den fastställda rättsliga grunden är tydlig och precis och att tillämpningen av den bör vara förutsägbar för per- soner som omfattas av den, i enlighet med skäl 41 i förordningen.

Dataskyddsförordningens krav och villkor enligt artikel 6.3 för tillämpningen av artikel 6.1 e har varit föremål för analys av Data- skyddsutredningen.9 Dataskyddsutredningens tolkning av kravet på fastställande av den rättsliga grunden är att det inte krävs någon ytterligare kompletterande reglering på nationell generell nivå. Detta eftersom det redan framgår av direkt tillämpliga bestämmelser i förordningen att uppgiften måste utgöra ett allmänt intresse, att uppgiften måste vara fastställd i enlighet med unionsrätt eller nationell rätt och att behandlingen måste ske för ett ändamål som är nödvändigt för uppgiften. Med uppgiften av allmänt intresse menas i vårt fall arbetsuppgiften att forska. Denna slutsats gäller oavsett om aktören är offentlig eller privat.

Mot bakgrund av denna tolkning föreslås upplysande, och i viss mån förtydligande, bestämmelser föras in i den nya dataskyddslag som Dataskyddsutredningen föreslår och som kommer att kom- plettera dataskyddsförordningen på generell nivå. För artikel 6.1 e innebär detta således att dataskyddslagen förtydligar att:

Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskydds- förordningen om behandlingen är nödvändig för att den personupp- giftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.

Detta innebär i praktiken att för att åberopa rättslig grund enligt artikel 6.1 e för behandling av personuppgifter för forskningsända- mål (allmänt intresse) kommer det att krävas att forskningsuppgif- ten följer av lag eller annan författning eller av beslut som meddelats med stöd av lag eller annan författning. Grunden måste således vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt, för att uppfylla förordningens krav.

Syftet med behandlingen ska enligt artikel 6.3 vara nödvändigt för att utföra en uppgift av allmänt intresse. Detta innebär att:

1.Den specifika behandlingen ska vara nödvändig för ett visst ändamål.

9 SOU 2017:39 avsnitt 8.3.4.

131

Fastställande av rättslig grund

SOU 2017:50

2.Ändamålet ska i sin tur vara nödvändigt för att uppgiften av all- mänt intresse ska kunna utföras.

I forskningssammanhang kan detta konkretiseras till att person- uppgiftsbehandlingen ska vara nödvändig för att uppfylla forsk- ningsändamålet, som i sig utgör den uppgift av allmänt intresse som forskningsaktören har i uppdrag att utföra. Det är således en bedömning av nödvändighet i två steg som dels tar sikte på själva behandlingen, dels på uppfyllandet av den reglerade forskningsupp- giften.

Ett tydligt angivet ändamål är som huvudregel en förutsättning för att det ska gå att bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. Dataskyddsförordningen ställer inte krav på att ända- målen, enligt artikel 5.1 b, ska fastställas i författning men det finns inga hinder mot att detta görs. Sådana bestämmelser ska, enligt artikel 6.3 andra stycket, uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas.

Ändamålet behöver således inte framgå i samband med att upp- giften av allmänt intresse fastställs, men ändamålet med varje en- skild behandling måste vara nödvändigt för att utföra den fastställda uppgiften. I vårt fall är ändamålet med personuppgiftsbehandlingen forskningsändamålet, som måste vara nödvändigt i varje specifikt fall, samtidigt som uppgiften av allmänt intresse som måste fastställas är själva arbetsuppgiften att forska. Oavsett om ändamålen fast- ställts i författning eller inte är det enligt artikel 5.2 i dataskydds- förordningen alltid den personuppgiftsansvariges ansvar att följa och kunna visa att principerna i artikel 5.1 efterlevs.

Beträffande vilka aktörer som ska kunna anses utföra en uppgift av allmänt intresse kan viss vägledning återfinnas i skäl 45 där följ- ande framgår:

Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårds- tjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

132

SOU 2017:50

Fastställande av rättslig grund

Denna skrivning öppnar för en nationell reglering av vilka rätts- subjekt, såväl offentliga som privata, som kan utföra en uppgift av allmänt intresse. Utgångspunkten är att forskning bedrivs av såväl offentliga som privata forskningsaktörer, vilket innebär att natio- nell reglering i enlighet med skrivningen i skäl 45 kan bli aktuell.

Särskilda villkor för behandling av personuppgifter för forskningsändamål

För behandling av personuppgifter för forskningsändamål gäller dessutom särskilda villkor enligt artikel 89.1 som anger att behand- lingen ska omfattas av lämpliga skyddsåtgärder i enlighet med för- ordningen. Detta gäller för alla slags personuppgifter och är således ett absolut krav vid behandling av personuppgifter för forsknings- ändamål. Dataskyddsförordningen ställer inte krav på att nationell rätt särskilt ska reglera skyddsåtgärderna när det inte är fråga om känsliga personuppgifter, men något hinder däremot uppställs inte.10

5.3Rättslig grund utifrån forskningsaktör

5.3.1Inledning

Utredningen använder sig av begreppet forskningsaktör. Begreppet återfinns inte i dataskyddsförordningen. I dataskyddsförordningen hänvisas genomgående till personuppgiftsansvarig och personupp- giftsbiträde. Personuppgiftsansvarig definieras i artikel 4.7 i data- skyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter. Personuppgiftsbiträde definieras i arti- kel 4.8 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Med forskningsaktör menar utredningen sådan aktör som behandlar personuppgifter för forskningsändamål. Vem som är personuppgifts- ansvarig eller personuppgiftsbiträde får bedömas i varje enskilt fall.

10 Se vidare kapitel 12 Skyddsåtgärder.

133

Fastställande av rättslig grund

SOU 2017:50

Utredningen har vidare funnit det motiverat att i själva fram- ställningen redogöra för offentligrättsliga och privaträttsliga aktö- rers förutsättningar var för sig. Denna bedömning baseras på att bestämmelserna i dataskyddsförordningen innebär att förutsätt- ningarna för att tillämpa olika bestämmelser som rättslig grund för behandling av personuppgifter skiljer sig åt beroende på om aktö- ren är offentlig eller privat. Såväl offentligrättsliga som privaträtts- liga aktörer bedriver forskning och är personuppgiftsansvariga eller personuppgiftsbiträden enligt dataskyddsförordningen. Forskning finansieras dels av offentliga medel, dels av medel från privata finansiärer. Forskning utförd av en offentlig aktör kan finansieras av privata medel, och tvärt om. Finansieringsformen påverkar inte vem som utgör forskningsaktör.

Förutsättningarna när det gäller vilka rättsliga grunder en forsk- ningsaktör kan åberopa för att behandla personuppgifter, i enlighet med dataskyddsförordningens artikel 6.1, är som redan framkom- mit i viss mån olika beroende på om forskningsaktören är offentlig eller privat. I det följande analyseras dessa skillnader.

5.3.2Offentligrättsliga forskningsaktörer

En stor del av den forskning i Sverige som bedrivs av offentligrätts- liga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forsknings- uppgift inom ramen för sin ordinarie verksamhet och i såväl kom- muner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författ- ningar och författningsenliga beslut, till exempel myndighetsinstruk- tioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i regeringsformen, kommunal- lagen (1991:900) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Beträffande samtycke som rättslig grund, enligt artikel 6.1 a, innebär skrivningarna i skäl 43 i dataskyddsförordningen vissa be- gränsningar för myndigheter, vilket kräver en närmare analys. Se avsnitt 6.4.2.

134

SOU 2017:50

Fastställande av rättslig grund

För offentliga forskningsaktörer utgör den rättsliga grunden enligt artikel 6.1 e en central laglig utgångspunkt vid personupp- giftsbehandling för forskningsändamål. Forskning anses utgöra en uppgift av allmänt intresse och motsvarande reglering i 10 § d person- uppgiftslagen utgör ofta rättslig grund för behandling av person- uppgifter för forskningsändamål i dagsläget.

I enlighet med redogörelsen ovan ställer dock artikel 6.3 krav på att grunden för behandlingen enligt artikel 6.1 e, uppgiften av all- mänt intresse, ska fastställas i enlighet med unionsrätten eller den nationella rätten. Det innebär att forskningsuppgiften – verksam- heten – behöver fastställas i lag eller annan författning, dvs. förord- ning eller myndighetsföreskrift, alternativt beslut som meddelats med stöd av sådan författning. Detta krav skiljer sig från nuvarande reglering såtillvida att det i dagsläget är tillräckligt att forskning enligt en generell bedömning är av allmänt intresse för att nödvän- dig behandling av personuppgifter ska kunna ske utan samtycke, det finns alltså inget krav på en fastställd forskningsuppgift enligt gällande rätt.

Dataskyddsförordningen uppställer således krav på att forsk- ningsuppgiften ska vara fastställd så att det går att åberopa den rättsliga grunden att behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Något krav på att forskningsuppgiften ska vara fastställd för respektive forsknings- aktör i separata författningar finns dock inte. Avgörande är att forsk- ningsuppgiften är fastställd i laga ordning för forskningsaktören för att laglig grund enligt artikel 6.1 e ska kunna åberopas.

Myndigheters verksamhetsuppgifter är beslutade i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. Myndigheternas verksamhet, som syftar till att utföra dessa uppgifter, torde därmed i sig ha en rättslig grund som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda uppgiften bör därmed som utgångspunkt kunna ske med stöd av artikel 6.1 e i dataskyddsförordningen. Dataskyddsutredningens tolkning av dataskyddsförordningens be- stämmelser är därvid att någon ytterligare reglering av myndighet- ernas verksamhet inte krävs på generell nationell nivå för att myn- digheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

135

Fastställande av rättslig grund

SOU 2017:50

Enligt artikel 6.1 andra stycket gäller inte artikel 6.1 f, behand- ling av personuppgifter efter en intresseavvägning, för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot nuvarande lagstiftning, genom att motsvarande bestämmelse i 10 § f personuppgiftslagen får tillämpas även av myndigheter. Bakgrunden till denna begräns- ning beskrivs närmare i skäl 47 i förordningen, där det bland annat framhålls att:

Med tanke på att det är lagstiftarens sak att genom lagstiftning till- handahålla den rättsliga grunden för de offentliga myndigheternas be- handling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.

Skrivningen syftar på artikel 6.1 f och innebär att myndigheter inte längre ska kunna göra en egen bedömning av lagligheten i behand- lingen genom en intresseavvägning. För att en myndighet ska få behandla personuppgifter vid fullgörandet av sina uppgifter måste myndigheten finna en annan rättslig grund än intresseavvägning. Något utrymme för myndigheters egen bedömning av lagligheten efter en intresseavvägning i samband med varje enskild behandling finns således inte enligt dataskyddsförordningen.

I det följande belyses närmare de olika förutsättningarna för några olika kategorier av offentligrättsliga forskningsaktörer.

Universitet och högskolor med statlig huvudman

I 2 kap. 18 § andra stycket regeringsformen fastslås att forskning- ens frihet är skyddad enligt bestämmelser som meddelas i lag. Hög- skolelagen (1992:1434) reglerar verksamhet vid universitet och hög- skolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forsknings- sed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet, genom att ange allmänna principer för den delen av högskol- ornas verksamhet. Behandling av personuppgifter för forsknings- ändamål vid universitet och högskolor med staten som huvudman utförs således inom ramen för en forskningsuppgift som är fast- ställd i svensk lag.

136

SOU 2017:50

Fastställande av rättslig grund

Andra myndigheter

Många statliga myndigheter, utöver universitet och högskolor, be- handlar personuppgifter för forskningsändamål. För flera av dessa myndigheter är forskningsuppgiften tydligt fastställd genom för- ordning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Om forskningsuppgiften inte framgår av en författning eller ett beslut grundat i en författ- ning, som myndigheten omfattas av, kan myndigheten inte åberopa artikel 6.1 e i dataskyddsförordningen som grund för behandling av personuppgifter. Myndigheten måste då åberopa någon annan rätts- lig grund enligt artikel 6.1 för sin behandling.

Statliga forskningsinstitut

Statliga forskningsinstitut drivs ofta i myndighetsform vilket med- för att samma resonemang gäller för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som sam- verkar med akademi, näringsliv och samhälle.

Kommuner och landsting

Regeringsformens kapitel 14 anger ramarna för det kommunala självstyret. I 2 § anges att:

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmel- ser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.

Kommunallagen (1991:900) reglerar såväl kommuner som lands- ting på en övergripande nivå. Självstyret framgår av 2 kap. 1 § kom- munallagen som stadgar att:

137

Fastställande av rättslig grund

SOU 2017:50

Kommuner och landsting får själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landsting- ets område eller deras medlemmar och som inte skall handhas enbart av staten, en annan kommun, ett annat landsting eller någon annan.

Av ovanstående författningsreglering framgår att kommuner och landsting har laglig grund att utföra uppgifter av allmänt intresse, vilket torde innefatta forskningsuppgiften. Det är dock utredning- ens uppfattning att den relativt generella och oprecisa bestämmel- sen inte kan anses uppfylla dataskyddsförordningens krav på tyd- lighet, precision och förutsägbarhet vid fastställandet av den rätts- liga grunden uppgift av allmänt intresse. Det är också svårt att i detta fall bedöma proportionaliteten, vilket är ytterligare ett krav enligt artikel 6.3 i dataskyddsförordningen.

Sammanfattning

Offentliga forskningsaktörers forskningsuppgift har ofta angivits i tydliga, precisa och förutsebara bestämmelser i författningar. Grunden för behandling av personuppgifter i verksamheten har därigenom fastställts i nationell rätt för dessa forskningsaktörer. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda forskningsuppgiften kan därmed som utgångspunkt ske med stöd av artikel 6.1 e i dataskyddsförord- ningen. För sådana offentliga forskningsaktörer där forsknings- uppgiften inte kan anses fastställd i enlighet med dataskyddsför- ordningen krävs dock kompletterande nationell reglering för att personuppgiftsbehandling för forskningsändamål med stöd av arti- kel 6.1 e ska få utföras.

5.3.3Privaträttsliga forskningsaktörer

Privat bedriven forskning utförs såväl i små, medelstora och stora företag som i verksamheter som i allt övrigt liknar offentlig verk- samhet, t.ex. hos en enskild utbildningsanordnare. En enskild ut- bildningsanordnare kan i princip bedriva samma slags forskning som universitet och högskolor med statlig huvudman.

Nuvarande dataskyddslagstiftning gör i allt väsentligt ingen åt- skillnad mellan privata och offentliga forskningsaktörer. De grund-

138

SOU 2017:50

Fastställande av rättslig grund

läggande kraven och laglighetsgrunderna i framför allt 9 och 10 §§ personuppgiftslagen är möjliga att åberopa oavsett forsknings- aktörens organisationsform.

Kravet i artikel 6.3 i dataskyddsförordningen på att en uppgift av allmänt intresse ska vara fastställd i nationell rätt påverkar sär- skilt privata forskningsaktörer. Uppgiften av allmänt intresse är generellt sett inte rättsligt fastställd för privata aktörer som ägnar sig åt forskningsverksamhet i dag. Privat forskning som i dagsläget bedrivs med stöd i att forskningen utgör ett allmänt intresse sker i stället efter en bedömning av forskningsaktören. Forskningen i sig bedöms sedan på samma villkor som offentlig forskning när en extern bedömning av forskningen sker i samband med till exempel eventuell tillståndsprövning, finansiering och publicering.

En särskild fråga är hur man ska se på att en offentlig aktör upp- drar åt en privat aktör att utföra en uppgift av allmänt intresse som den offentliga aktören har fastställd i laga ordning. Den privata aktören skulle kunna anses utföra en uppgift av allmänt intresse på samma villkor som den offentliga aktören. Den privata aktören skulle då kunna åberopa artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, som stöd för sin behandling av personuppgifter som är nödvändig för att fullgöra uppdraget. Utfallet i en sådan situation beror dock på vem som är personupp- giftsansvarig i det enskilda fallet, så något generell bedömning låter sig inte göras. Frågan analyseras vidare av Dataskyddsutredningen.11

En avgörande skillnad mellan offentliga och privata forsknings- aktörer i dataskyddsförordningen är också skrivningen i artikel 6.1 andra stycket, som förhindrar myndigheter att lägga en intresse- avvägning till grund för behandling när de fullgör sina uppgifter. Detta hinder gäller således inte för privaträttsliga aktörer, som allt- jämt kan åberopa intresseavvägning som rättslig grund för behand- ling av personuppgifter för forskningsändamål.

I det följande belyses närmare de olika förutsättningarna för några olika kategorier av privaträttsliga forskningsaktörer.

11 SOU 2017:39 avsnitt 8.3.4.

139

Fastställande av rättslig grund

SOU 2017:50

Enskilda utbildningsanordnare

Enskilda utbildningsanordnare utgörs av lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt högskoleförordningen, på samma villkor som stat- liga utbildningsanordnare, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbild- ningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa utgör alla privaträttsliga forskningsaktörer. Dessa forskningsaktörer har möjlighet att lägga såväl samtycke som en intresseavvägning till grund för behandling av personuppgifter, även om en bedömning i varje enskilt fall alltid måste göras. För att få åberopa artikel 6.1 e, uppgift av allmänt intresse, krävs dock att forskningsuppgiften är fastställd i enlighet med dataskyddsförord- ningens krav.

Företag och stiftelser

Forskning bedrivs i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningshuvud- män som bedriver forskning med betydande användning av per- sonuppgifter. Forskningsaktörer som utgörs av privata företag eller stiftelser kan i huvudsak åberopa samtycke och intresseavvägning som rättslig grund vid personuppgiftsbehandling enligt dataskydds- förordningen. Även forskning som utförs vid privata företag eller stiftelser kan dock vara av allmänt intresse, men då forskningsupp- giften i princip aldrig är fastställd i enlighet med dataskyddsförord- ningens krav kan privata företag eller stiftelser som huvudregel inte åberopa den rättsliga grunden allmänt intresse enligt artikel 6.1 e.

Sammanfattning

För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på. Sam- tidigt är det möjligt för privata forskningsaktörer att lägga såväl sam- tycke som intresseavvägning till grund för behandling av personupp- gifter för forskningsändamål, efter en bedömning i varje enskilt fall.

140

SOU 2017:50

Fastställande av rättslig grund

5.3.4Överväganden

Utredningens bedömning: Dataskyddsförordningens bestäm- melser innebär, om inga åtgärder vidtas, att offentliga forsk- ningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av personuppgifter för forsk- ningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål.

Av resonemanget hittills framgår att dataskyddsförordningens be- stämmelser om rättslig grund för behandling av personuppgifter skiljer sig från dagens regelverk framför allt avseende samtycke, intresseavvägning och kravet i artikel 6.3 på fastställande av den rättsliga grunden avseende artikel 6.1 c och e. Dessa förändringar får konsekvenser på olika sätt för olika aktörer i forskningssamman- hang.

Samtycke

Beträffande samtycke som rättslig grund är möjligheterna mer be- gränsade för offentliga aktörer än för privata genom skäl 43. Ett vid- are resonemang kring detta återfinns i avsnitt 6.4.2.

Uppgift av allmänt intresse

Kravet enligt artikel 6.3 i dataskyddsförordningen på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell lag innebär en påtaglig skillnad mellan olika katego- rier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling. För statliga universitet och högskolor är forskningsuppgiften fastställd i en och samma författning, hög- skolelagen. För andra myndigheter är det beroende på hur respek- tive myndighets uppdrag är formulerat, huruvida forskningsupp- giften är att anse som fastställd eller ej.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en

141

Fastställande av rättslig grund

SOU 2017:50

allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För privata aktörer innebär således villkoret i artikel 6.3 för att artikel 6.1 e ska kunna tillämpas ett hinder, när det gäller möjligheten att basera person- uppgiftsbehandling på grunden uppgift av allmänt intresse, som inte finns i dagens lagstiftning.

Skillnaderna blir särskilt tydliga i en jämförelse mellan en offent- lig och en privat aktör som bedriver verksamhet som är i allt väsentligt lika, till exempel för högskolor som kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken lik- värdig vid de båda verksamheterna och personuppgiftsbehand- lingen kan i dagsläget baseras på samma rättsliga grund.

Av skäl 45 i dataskyddsförordningen framgår att medlemsstat- erna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket innebär att det är möjligt för såväl offent- liga som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.

Intresseavvägning

Privata aktörer har, till skillnad från offentliga myndigheter, möjlig- het att basera personuppgiftsbehandling för forskningsändamål på en intresseavvägning enligt artikel 6.1 f.

Bestämmelsen avseende nödvändig behandling efter intresse- avvägning innebär att om intresset för en behandling av personupp- gifter väger tyngre än intresset av integritetsskyddet är behandlingen tillåten. Eftersom det inte framgår tydligare än så av bestämmelsen vilka situationer som kan bli aktuella finns vägledning kring dagens reglering framför allt att få i rättspraxis. Den praxis som finns sam- manfattas i lagkommentaren till personuppgiftslagen och rör bland annat direkt marknadsföring, arbetslivet, internetpublicering, behand- ling för att komma åt lagöverträdelser, fingeravtryck och andra bio- metriska uppgifter för identifiering och elektroniska inpasserings- system.12

12 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentaren till 10 § f.

142

SOU 2017:50

Fastställande av rättslig grund

Behandling av personuppgifter efter en intresseavvägning har med dagens lagstiftning framför allt aktualiserats i samband med marknadsföring och inom arbetslivet. Att denna tillämpning fort- farande får anses vara aktuell framöver framgår av skäl 47 i data- skyddsförordningen, som anger kundrelation och arbetstagarrela- tion till den personuppgiftsansvarige som ett sådant förhållande som skulle kunna komma ifråga för behandling av personuppgifter efter intresseavvägning. Samma exempel återfinns i skäl 48, medan förordningen i skäl 49 framhåller säkerställande av nät- och infor- mationssäkerhet som ett annat exempel på när en intresseavvägning skulle kunna resultera i laglig behandling av personuppgifter. Även om förordningens exempel inte på något sätt kan anses uttömmande ger dessa en tydlig indikation på vilken typ av relation mellan den personuppgiftsansvarige och den registrerade som avses. Redan före- liggande tolkning bör kunna tillämpas framöver beträffande intresse- avvägning som rättslig grund för behandling av personuppgifter.

Det finns således inte anledning att anta att artikel 6.1 f ska tolkas på annat sätt än dataskyddsdirektivets artikel 7 f, som införlivats i svensk rätt genom 10 § f personuppgiftslagen. Enligt lagkommen- taren till personuppgiftslagen är bestämmelsen ett slags general- klausul som innebär att behandling som inte nämnts i tidigare punkter i 10 § kan genomföras om den är befogad enligt vad som anges i 10 § f. Detta betyder i praktiken att intresseavvägning ska tillämpas i sista hand, om behandlingen inte är laglig enligt någon av de andra punkterna. Samma resonemang bör enligt utredningens bedömning kunna föras vid tillämpning av artikel 6.1 i dataskydds- förordningen. Först om behandlingen av personuppgifter för forsk- ningsändamål inte är laglig enligt artikel 6.1 a–e kan en bedömning av laglighet utifrån punkten f bli aktuell.

Artikel 6.1 f och 6.1 andra stycket är direkt tillämpliga och för- ordningen tillåter inte nationell lagstiftning avseende tillämpnings- området i detta avseende. Det finns därför ingen möjlighet att genom nationell lagstiftning tillåta myndigheter att tillämpa 6.1 f eller att begränsa privata aktörers tillämpning. Det är alltid den personupp- giftsansvariges ansvar att visa på aktuell rättslig grund enligt arti- kel 6.1 för sin behandling av personuppgifter. Detta innebär att nationell kompletterande lagstiftning inte kan tvinga en privat forskningsaktör att tillämpa 6.1 e genom att helt utesluta möjlig- heten att tillämpa någon annan rättslig grund enligt artikel 6.1. Om

143

Fastställande av rättslig grund

SOU 2017:50

den personuppgiftsansvarige kan visa att artikel 5.1 efterlevs samt att artikel 6.1 f utgör tillåten rättslig grund för den aktuella behand- lingen av personuppgifter för forskningsändamål är behandlingen tillåten.

För all behandling av personuppgifter för forskningsändamål, oavsett vilken grund behandlingen baseras på, krävs det enligt arti- kel 89.1 i dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder, men något krav på fastställda skydds- åtgärder framgår inte direkt av artikeln. I skäl 156 förtydligas dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för be- handlingen av personuppgifter för bland annat vetenskapliga eller historiska ändamål, vilket öppnar för möjligheten att i nationell rätt reglera lämpliga skyddsåtgärder för all behandling av personupp- gifter för forskningsändamål. För att behandling av känsliga per- sonuppgifter för forskningsändamål ska vara laglig ställs det vidare i artikel 9.2 j upp ett direkt krav på att nationell rätt ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen och detta gäller oavsett vilken grund behandlingen baseras på.

I nationell kompletterande lagstiftning både kan och förutsätts det således införas krav på skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det gäller även behand- ling baserad på intresseavvägning. I de fall privata aktörer anser det möjligt att lägga en intresseavvägning till grund för sin behandling av personuppgifter för forskningsändamål måste de alltså ändå tillämpa bestämmelser i nationell kompletterande lag avseende skydd för den enskilde.

Sammanfattande analys

Dataskyddsförordningens bestämmelser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av person- uppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresse- avvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så bety- dande skillnader i möjligheterna att åberopa de olika rättsliga grun-

144

SOU 2017:50

Fastställande av rättslig grund

derna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, är enligt utredningens uppfattning rimligen inte av- siktligt.

Utredningen återkommer till hur denna situation bör åtgärdas, i syfte att skapa ändamålsenliga förutsättningar för personuppgifts- behandling för forskningsändamål oavsett forskningsaktörens orga- nisationsform, i avsnitt 5.5.2 nedan.

5.4Ytterligare behandling av personuppgifter för forskningsändamål

5.4.1Inledning

Personuppgifter får bara samlas in för tydligt angivna och berätti- gade ändamål. Personuppgifter får vidare inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Denna finalitetsprincip, tillsammans med reglerade undantag från denna princip, sätter ramarna för de ändamål för vilka personuppgif- ter lagligen får behandlas. Finalitetsprincipen kommer till uttryck i såväl det nuvarande dataskyddsdirektivet och personuppgiftslagen som i dataskyddsförordningen. För forskningens del är finalitets- principen och reglerade undantag från denna av särskild betydelse.

5.4.2Nuvarande reglering

Huvudregeln i 9 § d personuppgiftslagen är att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling för vetenskapliga ända- mål ska dock inte anses oförenlig med de ändamål för vilka uppgif- terna samlades in, enligt 9 § andra stycket personuppgiftslagen. Ytterligare behandling av personuppgifter för forskningsändamål är därmed särskilt gynnad i dagens lagstiftning. Även om det nya ända- målet är förenligt med det ursprungliga, och därför uppfyller det grundläggande kravet enligt 9 § d personuppgiftslagen, måste den nya behandlingen dock alltid vara tillåten enligt någon av de rätts- liga grunderna i 10 § personuppgiftslagen.

145

Fastställande av rättslig grund

SOU 2017:50

5.4.3Dataskyddsförordningen

I dataskyddsförordningen återfinns motsvarande huvudregel i arti- kel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare be- handlas på ett sätt som är oförenligt med dessa ändamål. I samma punkt anges även att ytterligare behandling för bland annat veten- skapliga eller historiska forskningsändamål inte ska anses vara oför- enlig med de ursprungliga ändamålen (forskningsundantaget). Data- skyddsförordningen använder således begreppet ”ytterligare behand- ling”, vilket utredningen därför huvudsakligen använder i stället för begreppet ”vidarebehandling” som i dagsläget ofta används i samman- hanget. Skrivningen i artikel 5.1 b innebär att ytterligare behandling av personuppgifter för forskningsändamål är särskilt gynnad även i dataskyddsförordningen.

Av skäl 50 i dataskyddsförordningen framgår bland annat att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter:

Behandling av personuppgifter för andra ändamål än de för vilka de ur- sprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om be- handlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syf- ten ytterligare behandling bör betraktas som förenlig och laglig. Ytter- ligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. [---]

5.4.4Sammanfattande analys

Dataskyddsförordningens bestämmelser innebär att ytterligare be- handling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsaktör får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterli-

146

SOU 2017:50

Fastställande av rättslig grund

gare forskningsändamål utan krav på ny rättslig grund, vilket skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rätts- lig grund inte lika självklar. För ett utförligare resonemang kring denna situation se avsnitt 6.4.

I samband med utlämnande av personuppgifter till annan person- uppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgifts- ansvarige måste dock åberopa en ny rättslig grund för sin behand- ling för forskningsändamål sedan personuppgifterna utlämnats. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Vid ytterligare behandling av personuppgifter för forsknings- ändamål måste de allmänna principerna enligt artikel 5.1 också all- tid följas för att behandlingen ska vara tillåten. Ytterligare behand- ling av personuppgifter för forskningsändamål är tillåten endast om det är nödvändigt för att uppnå ändamålet, dvs. forskningen, och dessutom måste behandlingen vara korrekt, i betydelsen skälig eller rimlig, i förhållande till den registrerade. Behovet av ytterligare be- handling måste alltså alltid vägas mot den registrerades legitima intresse av personlig integritet. Vid fråga om behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda.

Vid all behandling av personuppgifter för forskningsändamål aktualiseras även artikel 89, där villkoren avseende lämpliga skydds- åtgärder för behandlingen i artikel 89.1 är särskilt centrala i samman- hanget. Detta framgår också direkt av undantaget för ytterligare behandling för forskningsändamål i artikel 5.1 b.

147

Fastställande av rättslig grund

SOU 2017:50

5.5Överväganden och förslag

5.5.1Inledning

Utredningen har i uppdrag att föreslå den kompletterande reglering av personuppgiftsbehandling för forskningsändamål som kan behö- vas utöver den generella kompletterande reglering som Dataskydds- utredningen föreslår. Syftet med den kompletterande regleringen ska vara att möjliggöra en ändamålsenlig behandling av person- uppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. En rimlig utgångspunkt är att befint- liga förutsättningar för en ändamålsenlig behandling i vart fall inte ska försämras, samtidigt som skyddet för den enskilde ska upprätt- hållas.

Förordningens bestämmelser är direkt tillämpliga i medlems- staterna från och med den 25 maj 2018. Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterli- gare nationell reglering avseende artikel 6.1 c och e. Eftersom arti- kel 6.1 e är central i forskningssammanhang har utredningen i upp- drag att särskilt beakta och, om det behövs, komplettera Dataskydds- utredningens förslag.

Avseende tillämpningen av den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, gör Dataskyddsutredningen följande bedömning som vi har att beakta:

Artikel 6.1 e i dataskyddsförordningen är direkt tillämplig.

Kravet i artikel 6.3, dvs. att grunden för behandlingen ska vara fastställd i unionsrätten eller den nationella rätten, utgör ytterli- gare ett villkor för tillämpning som ska vara uppfyllt.

Med grunden för behandlingen avses i detta sammanhang upp- giften som är av allmänt intresse.

Mot bakgrund av bedömningen ovan är Dataskyddsutredningens slutsats att det inte krävs någon generell nationell reglering som fastställer den rättsliga grunden enligt artikel 6.1 e. I den nya kom- pletterande dataskyddslagen föreslår Dataskyddsutredningen en- bart ett tydliggörande av att personuppgifter får behandlas om be- handlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller

148

SOU 2017:50

Fastställande av rättslig grund

annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.13

Dataskyddsförordningens bestämmelser innebär således att alla myndigheter måste ha en tydlig uppgift avseende forskning fast- ställd i enlighet med gällande rätt för att kunna behandla person- uppgifter för forskningsändamål med åberopande av artikel 6.1 e. Detta skulle låta sig göras genom att förordningarna med instruk- tioner för de myndigheter som i praktiken är forskningsaktörer ses över och forskningsuppgiften vid behov förs in. Dataskyddsförord- ningen medger dock en mer övergripande nationell reglering där uppgiften fastställs, så länge den omfattar alla berörda aktörer, enligt skäl 45.

Även privata aktörer kan som konstaterats utföra forskning av allmänt intresse. Om inte forskningsuppgiften fastställs i författ- ning även för dem innebär dock förordningens bestämmelser att de måste åberopa någon annan rättslig grund enligt artikel 6.1 för be- handling av uppgifter för forskningsändamål. Förordningen med- ger nationell reglering av vilka slags personuppgiftsansvariga som ska kunna utföra en uppgift av allmänt intresse. Av skäl 45 framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lag- stiftning.

Artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör natio- nella bestämmelser som anpassar tillämpningen av den rättsliga grunden i artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, och specificerar villkoren för när be- handling av personuppgifter får ske och hur det ska gå till. Den rättsliga grunden kan vid fastställandet t.ex. innehålla allmänna villkor för den specifika behandlingen. Detta kan enligt artikel 6.3 avse vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, där- ibland för behandling i andra särskilda situationer enligt kapitel IX i

13 SOU 2017:39 avsnitt 8.3.4.

149

Fastställande av rättslig grund

SOU 2017:50

dataskyddsförordningen. I kapitel IX finns bland annat artikel 89 som anger särskilda villkor för behandling av personuppgifter för forskningsändamål.

Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

5.5.2Fastställande av den rättsliga grunden allmänt intresse

Utredningens förslag: Personuppgifter ska med stöd av artikel 6.1 e i dataskyddsförordningen få behandlas för forskningsända- mål om behandlingen är nödvändig och proportionerlig för att ut- föra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Det är av avgörande betydelse för forskning att kunna behandla personuppgifter. Inte sällan innebär detta för såväl offentliga som privata forskningsaktörer att forskning måste ges möjligheter att behandla personuppgifter även utan samtycke.

Som utredningen konstaterat kan den rättsliga grunden uppgift av allmänt intresse, i vårt fall forskningsuppgiften, fastställas i instruk- tion eller särskilt beslut för varje enskild myndighet. Mot bakgrund av att det inte enbart är universitet och högskolor, utan även ett flertal andra myndigheter, som bedriver forskning skulle arbetet med att fastställa den rättsliga grunden för var och en av dessa myndig- heter separat kräva en omfattande arbetsinsats. Vidare skulle ett kontinuerligt arbete med att hålla detta system uppdaterat behöva utföras, så att inte forskning av allmänt intresse omöjliggörs p.g.a. att den rättsliga grunden inte är fastställd för en viss myndighet.

I dagsläget är det forskningsaktören själv som bedömer huruvida aktuell personuppgiftsbehandling är nödvändig för att utföra en forskningsuppgift av allmänt intresse så att behandlingen är tillåten enligt 10 § d personuppgiftslagen. Eftersom dataskyddsförord- ningen möjliggör en övergripande reglering som fastställer den rättsliga grunden, är det utredningens samlade bedömning att ett sådant förfarande är att föredra. Detta innebär att forskningsaktören även fortsatt har att bedöma att den forskning som utförs är av

150

SOU 2017:50

Fastställande av rättslig grund

allmänt intresse, och att personuppgiftsbehandlingen är nödvändig för att utföra forskningen, och därmed kan stödja sig på att den rättsliga grunden för detta är fastställd i den övergripande lagen som forskningsaktören omfattas av.

Utredningen har vidare konstaterat att för privata forsknings- aktörer krävs att åtgärder vidtas för att fastställa forskningsuppgiften som en uppgift av allmänt intresse om privata aktörer ska kunna åberopa den rättsliga grunden. Att dataskyddsförordningen skulle medföra sådana betydande skillnader som utredningen redogjort för avseende möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forsk- ningsändamål, helt beroende på vilken organisationsform aktören har, har enligt utredningens bedömning rimligen inte varit avsikten.

Eftersom också privata aktörer bedriver forskning som är av allmänt intresse är det rimligt att all sådan forskning ska kunna tillämpa samma rättsliga grund för laglig behandling. Ett bärande argument för att möjliggöra även för privata forskningsaktörer att behandla personuppgifter för forskningsändamål genom att tillämpa artikel 6.1 e som rättslig grund är vidare att forskning ofta bedrivs i samverkan mellan offentliga och privata forskningsaktörer. Att gemensamt bedriven forskning inte skulle kunna utföras på samma rättsliga grund, enbart beroende på respektive forskningsaktörs rättsliga status, får inverkan på forskningens bedrivande och resultat.

Forskningsdatalagen ska ge en rättslig grund för behandlingen av personuppgifter för forskningsändamål för samtliga forsknings- aktörer, oavsett om de är offentliga eller privata, genom att fast- ställa att personuppgifter får med stöd av artikel 6.1 e i dataskydds- förordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndig- heter, kommuner och landsting, andra juridiska personer och en- skilda näringsidkare

Det är själva arbetsuppgiften av allmänt intresse som ska fast- ställas i en forskningsdatalag, inte varje behandling av personupp- gifter som utförs i syfte att utföra uppgiften. Detta innebär att det är uppgiften att utföra forskning som ska fastställas i forsknings- datalagen för att denna lag ska kunna utgöra rättslig grund för be- handling av personuppgifter för forskningsändamål för de aktörer som omfattas av lagen. I forskningsdatalagen ska vidare villkor för

151

Fastställande av rättslig grund

SOU 2017:50

behandling av personuppgifter för ändamålet forskning oavsett rätts- lig grund, specificeras inom ramen för de möjligheter som finns att i nationell lag specificera de direkt tillämpliga bestämmelserna i för- ordningen.

I samband med fastställande av rättslig grund enligt dataskydds- förordningen framgår av skäl 41 att en sådan rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för per- soner som omfattas av den. Av skäl 33 framgår vidare att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning. Mot denna bakgrund är det utredningens bedömning att det är förenligt med dataskyddsförordningens vid- sträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av all- mänt intresse. Detta låter sig mer specifikt göras i en forsknings- datalag som är tillämplig för alla slags forskningsaktörer som bedri- ver sådan forskning.

5.5.3Inledande upplysningsbestämmelse

Utredningens förslag: Forskningsdatalagen ska innehålla en be- stämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

För förståelsen av den ovan föreslagna bestämmelsen, om fastställ- ande av den rättsliga grunden i artikel 6.1 e med stöd av artikel 6.2 och 6.3, behövs det enligt utredningens bedömning en inledande upplysningsbestämmelse som påminner tillämparen om att person- uppgifter får behandlas bara om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt. Detta tydliggör också att forskningsdatalagen omfattar all personuppgiftsbehandling för forskningsändamål, oavsett rättslig grund för behandlingen.

152

SOU 2017:50

Fastställande av rättslig grund

5.6Sammanfattning

Dataskyddsförordningens bestämmelser innebär att offentliga forsk- ningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid personuppgiftsbehandling för forsknings- ändamål. Privata forskningsaktörer har framför allt att utgå från sam- tycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid personuppgiftsbehandling för forskningsändamål. För att pri- vata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs inför- ande av författningsstöd.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skydds- åtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som pri- vata forskningsaktörer att åberopa uppgift av allmänt intresse som rättslig grund för behandling av personuppgifter för forsknings- ändamål.

153

6Behandling av personuppgifter med samtycke

6.1Inledning

I föregående kapitel 5 behandlas de allmänna förutsättningarna för behandling av personuppgifter för forskningsändamål, behovet av nationell lagstiftning med anledning av artikel 6.2 och 6.3 i data- skyddsförordningen (EU 2016/679), samt hur de aktuella forsk- ningsaktörerna i möjligaste mån kan likställas genom införandet av en nationell forskningsdatalag. Den föreslagna regleringen inriktas på att laglig behandling för forskningsändamål baseras på den rätts- liga grunden allmänt intresse enligt artikel 6.1 e, men även intresse- avvägning enligt artikel 6.1 f kan komma ifråga. Personuppgifts- behandling för forskningsändamål kan också grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ända- mål enligt artikel 6.1 a i dataskyddsförordningen.

Samtycke ska enligt definitionen i artikel 4.11 i dataskyddsför- ordningen vara frivilligt, specifikt, otvetydigt och vad gäller känsliga personuppgifter uttryckligt. Det ska vidare vara baserat på att den som lämnar samtycket har fått tillräcklig information, samt utgöra ett uttalande eller en entydig bekräftande handling. Dessa begrepp behandlas i följande avsnitt med avsikten att, utifrån en jämförelse med kraven på samtycke i det nuvarande dataskyddsdirektivet och personuppgiftslagen, bedöma de konsekvenser dataskyddsförord- ningen kan medföra med avseende på förändringar av samtyckets ställning och innebörd vid personuppgiftsbehandling för forsk- ningsändamål.

155

Behandling av personuppgifter med samtycke

SOU 2017:50

6.2Rättsliga förutsättningar

6.2.1Nuvarande reglering

Artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG) anger samtycke som en av ett antal uppräknade förutsättningar för att en personuppgiftsbehandling ska vara tillåten. Dataskyddsdirektivet införlivades i svensk rätt genom personuppgiftslagen. I 10 § person- uppgiftslagen anges att personuppgifter får behandlas om den regi- strerade har lämnat sitt samtycke. Vid samtycke enligt detta lagrum krävs det inte att behandlingen är nödvändig i lagens mening.

I 10 § personuppgiftslagen följer därefter en uppräkning av sex ändamål för vilka behandlingen måste vara nödvändig för att ända- målet ska kunna uppfyllas och behandlingen därmed vara tillåten. Även om behandling med stöd av samtycke kan ske utan att den är nödvändig måste den i övrigt vara förenlig med de grundläggande krav på personuppgiftsbehandling som föreskrivs i 9 §. Detta gäller för all behandling som är tillåten enligt 10 §.

Om det är fråga om känsliga personuppgifter gäller enligt 13 § personuppgiftslagen som huvudregel att behandling är förbjuden. Undantag från förbudet mot behandling av känsliga personuppgif- ter föreskrivs i 14 §. Enligt 15 § får exempelvis känsliga personupp- gifter behandlas om den registrerade har lämnat sitt uttryckliga sam- tycke till behandlingen eller på ett tydligt sätt offentliggjort uppgif- terna. Känsliga personuppgifter får enligt 19 § behandlas för forsk- ningsändamål om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövnings- lagen). Av 3 och 6 §§ etikprövningslagen framgår att forskning som innefattar behandling av känsliga personuppgifter får utföras bara om den har godkänts vid en etikprövning. Detta krav omfattar således även behandling av känsliga personuppgifter som grundas på sam- tycke.

Samtycke ska enligt 3 § personuppgiftslagen vara frivilligt, sär- skilt, otvetydigt och beträffande känsliga personuppgifter även vara uttryckligt för att vara giltigt. Det ska också vara baserat på att den som lämnar samtycket har fått tillräcklig information. Kravet på uttrycklighet vad gäller känsliga personuppgifter utgör en markering av vikten av att just i det fallet säkerställa att ett giltigt samtycke har inhämtats.

156

SOU 2017:50

Behandling av personuppgifter med samtycke

Samtycke kan för en vuxen person enbart lämnas av den regi- strerade själv. När det gäller personer som på grund av sjukdom, psykisk störning eller försvagat hälsotillstånd är ur stånd att vårda sig själva är möjligheten till att ge samtycke för personuppgifts- behandling begränsad. För personer som helt saknar eller har ned- satt förmåga att hantera sina egna angelägenheter, t.ex. när det gäller att bevaka sin rätt, förvalta sin egendom eller sörja för sin person, kan en god man eller förvaltare förordnas enligt 11 kap. 7 § föräldra- balken. Personer som har nedsatt förmåga att själva ta ställning till vård eller behandling inom hälso- och sjukvården eller tandvården kan med gällande regler sällan få hjälp av en god man eller för- valtare i beslutsfattandet. Reglerna om de gode männens och för- valtarnas befogenheter tillåter normalt inte ställningstaganden av det slaget. I betänkandet Stöd och hjälp till vuxna vid ställnings- taganden till vård, omsorg och forskning (SOU 2015:80) föreslogs en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg. Betänkandet bereds för närvar- ande i Regeringskansliet.

Om individen är ett barn ska samtycket i vissa fall inhämtas av en vårdnadshavare eller av både vårdnadshavaren och barnet. Det finns ingen klart fastställd åldersgräns för när samtycke kan ges. Datainspektionen lämnar följande vägledning:

En ungdom/barn som inte själv kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. I sådana fall ska samtycket istället inhämtas från vårdnadshavaren. Frågan om en person förstår innebörden av informationen måste bedömas från fall till fall med utgångspunkt i den enskilda individens mognad.1

Den registrerade kan när som helst återkalla samtycket. Förbud gäller då för fortsatt personuppgiftsbehandling enligt 12 § person- uppgiftslagen. Behandling av de personuppgifter som redan samlats in på grundval av tidigare lämnat samtycke är dock fortfarande tillåten. Personuppgifterna måste enligt 9 § g personuppgiftslagen fortsatt vara riktiga och, om det är nödvändigt, aktuella, vilket kan vara svårt att tillgodose efter viss tid. Det är exempelvis inte tillåtet att registrera ett namnbyte om samtycket har återkallats.

1 http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagon- aldersgrans-for-samtycke1/

157

Behandling av personuppgifter med samtycke

SOU 2017:50

6.2.2Dataskyddsförordningen

I dataskyddsförordningen anges grundläggande principer för be- handling av personuppgifter i artikel 5. Bestämmelser om när be- handling av personuppgifter är laglig finns i artikel 6 och villkor avseende särskilda kategorier av personuppgifter (känsliga person- uppgifter) i artikel 9. I artiklarna 6 och 9 räknas samtycke upp bland andra villkor för laglig behandling av personuppgifter:

Artikel 6

Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personupp- gifter behandlas för ett eller flera specifika ändamål.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behand- lingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskri- ver att förbudet i punkt 1 inte kan upphävas av den registrerade.

I likhet med det nuvarande dataskyddsdirektivet är samtycke i arti- kel 6 en av flera jämställda alternativa rättsliga grunder för person- uppgiftsbehandling. Formuleringen i dataskyddsdirektivet avviker från personuppgiftslagens bestämmelse i 10 § där samtycke tas upp före uppräkningen i punkterna a–f. I samband med att dataskydds- direktivet införlivades i svensk rätt, genom personuppgiftslagen, gavs således samtycket en formulering som skulle kunna tolkas som att detta sätt att göra en behandling tillåten har en särskild ställning

158

SOU 2017:50

Behandling av personuppgifter med samtycke

i förhållande till andra rättsliga grunder. Detta skulle då gälla utöver den särställning det har genom att behandling grundad på samtycke inte måste vara nödvändig. Huruvida personuppgiftslagen ska tol- kas på detta sätt kan dock diskuteras.

Det förefaller emellertid inte som om samtycke enligt data- skyddsförordningen skulle ha en särställning i förhållande till andra rättsliga grunder. Den s.k. artikel 29-gruppen2 kommenterar att det finns olikheter i synen på samtyckets ställning mellan medlems- staterna och anser att en harmonisering kan åstadkommas genom dataskyddsreformen.3

Samtycke särskiljs dock i förordningen, i likhet med nuvarande bestämmelser, genom att behandling enligt artikel 6.1 a inte behö- ver vara nödvändig. Den rättsliga grunden samtycke behöver inte heller, till skillnad från exempelvis allmänt intresse (artikel 6.1 e), vara fastställd i unions- eller nationell rätt (artikel 6.3). Den rätts- liga grunden samtycke är reglerad genom artikel 6.1 a och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.

Barns samtycke som rättslig grund enligt dataskyddsförordningen har behandlats utförligt av Dataskyddsutredningen.4

Beträffande samtycke vid behandling av känsliga personuppgif- ter regleras detta särskilt i artikel 9.2 a i dataskyddsförordningen.

6.3Samtycke och känsliga personuppgifter

Utredningens bedömning: Med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är det möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rätts- lig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.

2Artikel 29-gruppen är skapad under artikel 29 i det nuvarande dataskyddsdirektivet, för en utförligare beskrivning se avsnitt 3.3.1.

3Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 7.

4SOU 2017:39 kapitel 9.

159

Behandling av personuppgifter med samtycke

SOU 2017:50

Enligt artikel 9.1 i dataskyddsförordningen är behandling av käns- liga personuppgifter5 förbjuden. Undantag från förbudet ges dock för vissa typer av behandling enligt artikel 9.2 a–j. Om den registre- rade uttryckligen har lämnat sitt samtycke kan detta enligt arti- kel 9.2 a upphäva detta förbud, utom då unionsrätten eller medlems- staternas nationella rätt föreskriver att förbudet inte kan upphävas.

Enligt 3 och 6 §§ etikprövningslagen får forskning som inne- fattar känsliga personuppgifter utföras bara om den har godkänts vid en etikprövning.6 En möjlig tolkning av formuleringen i arti- kel 9.2 a är att denna artikel tillsammans med 3 och 6 §§ etikpröv- ningslagen förhindrar behandling av känsliga personuppgifter med samtycke som rättslig grund, så att den rättsliga grunden i stället måste sökas i allmänt intresse enligt artikel 6.1 e.

En alternativ tolkning av denna situation är dock att samtycke kan upphäva förbudet mot behandling av känsliga personuppgifter för forskningsändamål, men endast om det kompletteras med etik- godkännande enligt etikprövningslagen.7 Samtycke kan i sådana fall användas som rättslig grund för behandling av känsliga personupp- gifter för forskningsändamål. Denna tolkning ligger närmare den rättstillämpning som för närvarande gäller och synes kunna förenas med de intentioner som uttrycks i förarbetena till den ändring som genomfördes av etikprövningslagen år 2008 och som innebar inför- andet av obligatorisk etikprövning av all forskning som innefattar behandling av känsliga personuppgifter.8

Mot denna bakgrund är det utredningens bedömning att arti- kel 9.2 a i dataskyddsförordningen, tillsammans med etikprövnings- lagen, innebär att det är möjligt att behandla känsliga personupp- gifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikpröv- ning enligt etikprövningslagen. Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige.

5I dataskyddsförordningens terminologi de ”särskilda kategorier av personuppgifter” som räknas upp i artikel 9.1.

6Utredningen föreslår i kapitel 14 att dagens hänvisning till 13 § personuppgiftslagen i etik- prövningslagen ska ersättas med en hänvisning till artikel 9.1 i dataskyddsförordningen.

7Detta gäller inom etikprövningslagens geografiska tillämpningsområde. Enligt 5 § etikpröv- ningslagen ska den tillämpas på forskning som ska utföras i Sverige.

8Prop. 2007/08:44 s. 20 f.

160

SOU 2017:50

Behandling av personuppgifter med samtycke

6.4Samtyckets innehåll och de krav som ställs på giltigt samtycke

6.4.1Inledning

I detta avsnitt görs en närmare jämförande analys av definitionen av samtycke i dataskyddsförordningen med definitionen i personupp- giftslagen. Därefter följer en genomgång av vart och ett av de be- grepp som definierar samtycke i dataskyddsförordningen. Denna del beskriver således de krav som ställs på ett giltigt samtycke. I sam- band med detta behandlar olika avsnitt innebörden av de skäl i dataskyddsförordningen som tar upp samtyckets bredd (skäl 33) och dess giltighet när betydande ojämlikhet råder mellan den person- uppgiftsansvarige och den registrerade, exempelvis när den person- uppgiftsansvarige är en myndighet (skäl 43).

Personuppgiftslagen

I 3 § personuppgiftslagen anges att samtycke är varje slag av fri- villig, särskild och otvetydig viljeyttring genom vilken den registre- rade, efter att ha fått information, godtar behandling av person- uppgifter som rör honom eller henne. I 13 § föreskrivs ett principi- ellt förbud mot behandling av känsliga personuppgifter som dock omgärdas av ett antal undantag enligt 14 §. Med stöd i 15 § får t.ex. känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Dessutom krävs enligt 3 och 6 §§ etik- prövningslagen etikgodkännande när det är fråga om all behandling av känsliga personuppgifter för forskningsändamål.

161

Behandling av personuppgifter med samtycke

SOU 2017:50

Dataskyddsförordningen

Artikel 4.11 i dataskyddsförordningen definierar samtycke enligt följande.

Artikel 4

Definitioner

I denna förordning avses med

11. samtycke av den registrerade: varje slag av frivillig, specifik, infor- merad och otvetydig viljeyttring, genom vilken den registrerade, an- tingen genom ett uttalande eller genom en entydig bekräftande hand- ling, godtar behandling av personuppgifter som rör honom eller henne,

Utöver detta föreskrivs i artikel 9.2 a krav på uttryckligt samtycke vid behandling av känsliga personuppgifter.

Dataskyddsförordningens införande innebär därmed inga bety- dande förändringar av samtyckets innebörd. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen.

162

SOU 2017:50

Behandling av personuppgifter med samtycke

6.4.2 Frivillig viljeyttring

Personuppgiftslagen

Samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma.

Det finns situationer där frivilligheten i samband med ett med- givande till personuppgiftsbehandling kan diskuteras. Ofta är det då inte fråga om samtycke i personuppgiftslagens mening. Det kan till exempel vara nödvändigt att man för att få ta del av en tjänst ingår ett avtal som innebär personuppgiftsbehandling. Detta före- kommer bland annat vid köp av olika varor och tjänster eller vid anställning. Bestämmelser om detta finns i 10 § personuppgifts- lagen, dvs. tillåtligheten baseras inte på den registrerades samtycke utan på att behandlingen är nödvändig exempelvis för fullgörande av ett avtal.

I vissa sammanhang där det är aktuellt med en samtyckesbaserad behandling enligt 10 § personuppgiftslagen kan det förekomma att den registrerade befinner sig i ett beroendeförhållande till den som efterfrågar samtycke, eller att det på annat sätt råder ojämlikhet mellan dessa parter. Problemet har föranlett skäl 43 i dataskydds- förordningen, vilket behandlas i det följande.

Dataskyddsförordningen

Kravet på frivillighet är i dataskyddsförordningen formulerad på samma sätt som i personuppgiftslagen. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgifts- ansvarige och den som har att lämna samtycke har föranlett infö- randet av skäl 43 i dataskyddsförordningen.

För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte med- ger att separata samtycken lämnas för olika behandlingar av person- uppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst

– är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

163

Behandling av personuppgifter med samtycke

SOU 2017:50

Trots likheterna mellan bestämmelserna i dataskyddsförordningen och personuppgiftslagen föranleder detta skäl nya överväganden för den personuppgiftsbehandling som sker vid bland annat de universitet och högskolor som utgör offentligrättsliga organ. For- muleringen anger att det ska vara fråga om ”ett särskilt fall där det råder betydande ojämlikhet” och nämner att detta gäller, eller kan gälla, särskilt när den personuppgiftsansvarige är en ”offentlig myn- dighet”.9

Det kan noteras att ett så tydligt omnämnande av myndigheters begränsade möjlighet att använda samtycke som rättslig grund under vissa omständigheter hittills saknats i svensk gällande rätt, även om beroendeförhållanden redan i dag har betydelse för be- dömningen av samtyckets giltighet.

Skrivningen kan tolkas som att ett särskilt fall alltid föreligger när en myndighet efterfrågar samtycke. Den kan alternativt tolkas som att särskilda fall ofta, men inte alltid, förekommer när den personuppgiftsansvarige är en myndighet.

I ett yttrande om samtycke som artikel 29-gruppen publicerat behandlas sådana situationer.

Typen av registeransvarig kan också vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av uppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse enligt artikel 7 c, eller utförandet av en arbetsuppgift av allmänt intresse som anges i artikel 7 e. Att använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna utgör följaktligen inte en lämplig rättslig grund. Detta är särskilt tydligt när det gäller hur person- uppgifter behandlas av offentliga myndigheter som har officiella makt- befogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska sam- tycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gäll- ande lag.10 (Författningshänvisningarna hänför sig till det nuvarande dataskyddsdirektivet, vår anm.)

Begränsningen ska, enligt detta yttrande, framför allt gälla person- uppgiftsansvariga som behandlar personuppgifter i samband med fullgörandet av en rättslig förpliktelse eller för att utföra en arbets-

9Detta torde motsvaras av det svenska begreppet myndighet, och innefattar då såväl statliga som kommunala myndigheter.

10Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 16.

164

SOU 2017:50

Behandling av personuppgifter med samtycke

uppgift av allmänt intresse. Artikel 29-gruppen framhåller här sär- skilt offentliga myndigheter som har officiella maktbefogenheter. Detta kan tolkas som att inte alla förhållanden mellan myndigheter och enskilda präglas av betydande ojämlikhet.

Artikel 29-gruppen för vidare ett resonemang om beroende- förhållanden vid anställning. Detta resonemang är tillämpligt oav- sett den rättsliga ställningen hos huvudmannen och också när man avser att behandla personuppgifter för forskningsändamål.

… om samtycke krävs från en anställd och en verklig eller potentiell skada kan uppkomma genom att samtycke inte ges är samtycket inte giltigt i den meningen att det inte uppfyller kraven i vare sig artikel 7 eller artikel 8, eftersom det inte lämnats frivilligt. Om den anställde inte har möjlighet att vägra är det inget samtycke … En svårighet upp- kommer om samtycket är ett villkor för anställningen. Den anställde kan teoretiskt sett vägra ge sitt samtycke, men konsekvensen kan vara att möjligheten till anställning går förlorad. Under sådana omständig- heter har samtycket inte getts frivilligt och är därför inte giltigt. Situa- tionen är ännu tydligare om, vilket ofta sker, alla arbetsgivare tillämpar samma eller ett liknande anställningsvillkor.11

Artikel 29-gruppens yttranden hänför sig till det nuvarande data- skyddsdirektivet, som inte innehåller någon motsvarande skrivning till skäl 43 i dataskyddsförordningen. I avsaknad av ytterligare väg- ledning är det utredningens bedömning att artikel 29-gruppens ytt- randen kan utgöra utgångspunkt för tolkningen av skäl 43 i data- skyddsförordningen.

Betydande ojämlikhet vid samtycke lämnat till offentliga forskningsaktörer

När det gäller offentliga forskningsaktörer kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställ- ning i förhållande till den personuppgiftsansvarige. För till exempel statliga forskningsinstitut med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant institut.

11 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 13 f där man hänvisar till yttrande 8/2001 (WP48) on the processing of personal data in the employment context.

165

Behandling av personuppgifter med samtycke

SOU 2017:50

Statliga lärosäten får i många situationer inte anses kunna utöva någon speciell påtryckning gentemot individen enbart genom att man är en myndighet. Behandling av personuppgifter för forsknings- ändamål från personer utan tydlig relation till lärosätet präglas inte självklart av betydande ojämlikhet eftersom lärosätet inte kan utöva några påtryckningar gentemot dessa personer och det är osannolikt att forskningspersonerna själva upplever att en ojämlik situation föreligger. Det kan exempelvis gälla ett representativt urval av per- soner ur totalbefolkningen som deltar i en undersökning som del av ett forskningsprojekt. Som exempel kan nämnas SOM-institutets vid Göteborgs universitet opinionsundersökningar som beskrivs på följande sätt på institutets hemsida: ”Varje år svarar nästan 20 000 svenskar på SOM-institutets frågor om allt från politik och mass- medier till ämnen som livsstil, hälsa och fritidsvanor.”12

En sådan situation som avses i skäl 43 kan dock föreligga exem- pelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet.

Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. Man driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskatt- ningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och natio- nella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse.

Sammanfattningsvis innebär ovanstående resonemang att det kan finnas betydande hinder för myndigheter att använda samtycke för personuppgiftsbehandling med tanke på den ojämlikhet som påtalas i skäl 43. Detta kan gälla också vid behandling för forsk- ningsändamål. I många fall föreligger dock inte någon sådan ojäm- likhet vid forskning. Hindren gäller därför inte alltid utan behöver prövas från fall till fall. Det ankommer på den personuppgiftsansva- rige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.

Utgångspunkten för en sådan prövning är rimligen att hinder föreligger. I många fall kan dock den personuppgiftsansvarige när

12 Se vidare http://som.gu.se/undersokningar. SOM-institutet beskriver sig som en opartisk undersökningsorganisation vid Göteborgs universitet.

166

SOU 2017:50

Behandling av personuppgifter med samtycke

det gäller forskning, enligt utredningens bedömning, kunna visa att frivillighet råder. Inhämtande av ett giltigt samtycke behöver då inte förhindras av detta skäl.

Betydande ojämlikhet vid samtycke lämnat till privata forskningsaktörer

En genomgång av aktuella kategorier av forskningsaktörer, och en analys av de möjliga rättsliga grunderna för olika aktörer, finns i av- snitt 5.3. De privata forskningsaktörer som i exemplifierande syfte anges där är enskilda utbildningsanordnare samt företag och stiftelser.

Enskilda utbildningsanordnare borde i väsentliga delar kunna likställas med offentliga. För företag, stiftelser och andra medlems- organisationer som utför forskning torde samtycke kunna använ- das gentemot alla som inte har någon anknytning till organisatio- nen, genom att vara exempelvis anställda, intressenter och/eller medlemmar.

Privaträttsliga forskningsaktörer bör med hänvisning till for- muleringen av skäl 43 kunna betraktas på annat sätt än de offentlig- rättsliga. Utgångspunkten är att det här normalt inte råder bety- dande ojämlikhet när personuppgifter behandlas för forsknings-

ändamål, men att detta kan vara fallet i det som benämns ”en särskild situation”. En sådan särskild situation kan vara när den person- uppgiftsansvarige vill använda ett kund- eller anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis kan sägas att det resonemang om ojämlik- het som förs i skäl 43 normalt inte torde innebära hinder för privat- rättsliga forskningsaktörer att använda samtycke för personuppgifts- behandling för forskningsändamål. Det bör dock även här prövas om det föreligger sådana hinder som gör samtycket ogiltigt. Det ankommer på den personuppgiftsansvarige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.

167

Behandling av personuppgifter med samtycke

SOU 2017:50

6.4.3Specifik viljeyttring

Personuppgiftslagen

En specifik viljeyttring, enligt dataskyddsförordningens definition, motsvaras av det som i 3 § personuppgiftslagen benämns ”särskild … viljeyttring”. I 9 § personuppgiftslagen finns ett krav på att all personuppgiftsbehandling ska äga rum för ”särskilda, uttryckligt angivna och berättigade ändamål” (den s.k. ändamålsbegränsningen). Denna begränsning har sin motsvarighet i definitionen av samtycke genom att samtycket ska vara ”särskilt”, dvs. det ska stå klart att samtycke har lämnats för ett särskilt ändamål.

Hur brett ett forskningsändamål kan vara, för vilket samtycke kan ges utan att kravet på särskildhet och otvetydighet går förlorat, har varit föremål för diskussion i olika sammanhang. En vägledning inför den framtida tolkningen av detta återfinns i skäl 33 i data- skyddsförordningen.

Dataskyddsförordningen

I dataskyddsförordningen ersätts den tidigare termen ”särskild” i det nuvarande dataskyddsdirektivet och personuppgiftslagen med

”specifik”. Termerna kan språkligt sett betraktas som synonymer.13

Detta stöds också av att den engelska formuleringen i artikel 2 i det nuvarande dataskyddsdirektivet använder begreppet ”specific” medan den svenska översättningen av samma direktiv använder ”särskild”.

Det framstår således inte som om förändringen i terminologi skulle innebära någon avsiktlig betydelseförändring. Frågan om samtyckets tillåtliga bredd behandlas i skäl 33 i dataskyddsförordningen. Det resonemang som förs där medför, trots att termerna får anses ha samma betydelse, en förändrad syn på bestämmelsens innebörd.

Specifika och breda samtycken

Ett samtycke definierar gränserna för vad som är tillåtet att be- handla och måste därför vara tydligt specificerat redan vid insam- ling av personuppgifter. En klar ändamålsbeskrivning när det gäller

13 Svenskt synonymlexikon online: synonymer.se

168

SOU 2017:50

Behandling av personuppgifter med samtycke

känsliga personuppgifter har i svensk rättstillämpning också utgjort en förutsättning för att en etikprövningsnämnd ska kunna avgöra huruvida den avsedda personuppgiftsbehandlingen utgör forskning och därmed måste bli föremål för etikprövning. Detta gäller oavsett om behandlingen grundas på samtycke eller någon annan rättslig grund.

Bredden på ett samtycke liksom möjligheten att samla in person- uppgifter för mer allmänt hållna forskningsändamål har föranlett mycket diskussion och debatt, inte minst under senare år i sam- band med bland annat Vetenskapsrådets strävanden efter att skapa effektiva databasinfrastrukturer för forskningsändamål.14 Problemet tydliggjordes bland annat vid bedömningar av projektet LifeGene vid Karolinska Institutet.15 Projektet, som rör de långsiktiga hälso- konsekvenserna av arv och miljöpåverkan, har ett mångårigt per- spektiv med en bred ändamålsbeskrivning. Personuppgifter samlas in genom provtagning och frågeformulär vid personliga besök vid mottagningar. Uppgifterna kan kompletteras med uppgifter från register insamlade för andra primära ändamål än forskning. En del av dessa uppgifter avses bestå av uppföljningar av hälsorelaterad information från hälso- och sjukvården under många år framöver. Preciserade ändamål med själva forskningen kan inte beskrivas vid insamlingstillfället. Medverkan i projektet grundas på de registrera- des samtycke.

Personuppgiftsbehandlingen i LifeGene godkändes av en regional etikprövningsnämnd, men med villkor att barn under sex års ålder skulle undantas från blodprovstagning. Detta villkor överklagades av företrädare för LifeGene till Centrala etikprövningsnämnden (CEPN). CEPN konstaterade vid sin granskning att etikprövning inte behövdes, eller snarare inte kunde genomföras, på grund av att det aktuella projektet i sig inte ansågs innefatta någon forskning, utan i stället syftade till att bygga upp en infrastruktur för eventuell framtida forskning. Mot denna bakgrund undanröjde CEPN den regionala etikprövningsnämndens beslut.16

Datainspektionen tog upp ärendet inom ramen för sin tillsyns- verksamhet. Man konstaterade att det genom undanröjandet av den

14Vetenskapsrådets guide till infrastrukturen 2014, s. 12–13, 25–26.

15Se vidare http://www.lifegene.se.

16CEPN beslut 2011-03-04, dnr Ö 28-2010.

169

Behandling av personuppgifter med samtycke

SOU 2017:50

regionala etikprövningsnämndens beslut inte längre fanns ett god- kännande efter etikprövning, samt att det syfte som angivits för LifeGene utgjorde ett alltför opreciserat ändamål för att uppfylla kraven i 9 § personuppgiftslagen. Datainspektionen förelade därför de ansvariga för projektet att upphöra med insamlingen och övrig behandling av personuppgifter. Man framhöll i samband med detta att frågan om hantering av känsliga personuppgifter som sparas för framtida forskning är av sådan vikt att det borde bli föremål för politisk beredning.17

Ärendet behandlades av regeringen som med hänvisning till lik- nande regleringar i registerförfattningar föreslog en tidsbegränsad särskild lag som gjorde det möjligt för projektet att samla in och behandla personuppgifter för det angivna ändamålet.18 Förslaget antogs av riksdagen.19 I propositionen anförde regeringen att den föreslagna lagen var angelägen eftersom den avsåg att reglera ett specifikt område som omgärdades av rättslig osäkerhet. Ett vägande argument var att det var fråga om personuppgiftsbehandling som skapar bättre förutsättningar för svensk registerbaserad forskning. Datainspektionen ifrågasatte dock fortsatt om ändamålsbeskriv- ningen i lagen var förenlig med dataskyddsdirektivet.20

En bredare syn på samtycke jämfört med Datainspektionens och CEPN:s uppfattning efterfrågades i 2014 års Registerforsknings- utredning.21 Osäkerhet om hur brett ett ändamål kan beskrivas låg, tillsammans med andra hänsynstaganden, till grund för Register- forskningsutredningens förslag att införa en särskild lag om forsk- ningsdatabaser. Därefter har det blivit vårt uppdrag att i ett andra skede av utredningen ta ställning till och utveckla Registerforsk- ningsutredningens förslag. Utredningens förslag till nödvändiga an- passningar av den s.k. LifeGene-lagen till dataskyddsförordningen behandlas i kapitel 15 i detta betänkande.

Artikel 29-gruppen tog redan år 2011 upp frågan om samtyckets bredd. Man konstaterade då att samtycke inte kan tillämpas på ”en

17Datainspektionen 2011-12-16. Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene, dnr 766-2011, s. 4 f.

18Prop. 2012/13:163 Vissa register för forskning om vad arv och miljö betyder för människors hälsa.

19SFS 2013:794 utfärdad den 5 november 2013.

20Prop. 2012/13:163, s. 25 f.

21SOU 2014:45 Unik kunskap genom registerforskning, s. 357 f.

170

SOU 2017:50

Behandling av personuppgifter med samtycke

allmän uppsättning behandlingsaktiviteter”, men införde begreppet ”rimliga förväntningar” och yttrade följande:

Samtycket bör avse en behandling som är rimlig och nödvändig i för- hållande till syftet. Det bör i princip vara tillräckligt om den register- ansvarige erhåller samtycke endast en gång för olika operationer om samtliga omfattas av den registrerades rimliga förväntningar.22

I dataskyddsförordningen uttrycks detta i skäl 33:

Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Det kan konstateras att det förtydligande som följer av förordning- ens skäl 33 öppnar upp för en bredare syn på samtycke än vad som hittills tillämpats. En förutsättning är dock att detta kan ske utan att det görs avkall på kraven att specificera ändamålen i enlighet med artiklarna 5.1 b och 6.1 a samt skäl 32 där det anges att sam- tycke bör gälla all behandling för samma ändamål och att samtycke ska lämnas för varje syfte för sig om flera syften finns. Forsknings- ändamålen kan således vid samtycke både vara specifika och någor- lunda breda.

6.4.4Otvetydig viljeyttring

Personuppgiftslagen

Samtycke ska enligt 3 § personuppgiftslagen vara en otvetydig vilje- yttring som är knuten till det ändamål för vilket behandlingen ska ske. Samtycket ska alltså tydligt kunna kopplas till den personupp- giftsbehandling som avses. Detta kräver att ändamålet är tydligt beskrivet och att det inte får föreligga tveksamhet om att vilje- yttringen verkligen avser den aktuella personuppgiftsbehandlingen.

22 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 17 f.

171

Behandling av personuppgifter med samtycke

SOU 2017:50

Samtycke som en logisk konsekvens av ett handlande som klart innebär att en individ accepterar personuppgiftsbehandlingen (så kallat konkludent handlande) har ansetts vara tillräckligt otvetydigt under vissa omständigheter. Ett exempel inom forskningens om- råde kan vara att besvara ett frågeformulär där syftet att använda svaren för ett avgränsat forskningsändamål har klargjorts för forsk- ningspersonen i samband med datainsamlingen.

Dataskyddsförordningen

Dataskyddsförordningen föreskriver i likhet med nuvarande regler- ing att samtycke baseras på en otvetydig viljeyttring. Det finns där- med ingen grund för att anta att tolkningen av begreppet ska skilja sig från nuvarande praxis. I otvetydigheten ligger att handlingen ska vara tydligt inriktad på personuppgiftsbehandlingen och inte blandas samman med andra förklaringar och ställningstaganden från individen i fråga. Definitionen i artikel 4.11 i dataskyddsförord- ningen förtydligar dessutom att samtycket ska vara ”ett uttalande eller en entydig bekräftande handling”. Uttrycket ”bekräftande handling” tyder på att konkludent handlande är en acceptabel sam- tyckesyttring, åtminstone när det inte är fråga om känsliga person- uppgifter.

I skäl 32 i dataskyddsförordningen anges att samtycke bör gälla all behandling inom samma ändamål, och att om flera syften finns bör samtycke inhämtas för samtliga syften. Bekräftelsen ska inte enbart bestå i passivitet, dvs. underlåtenhet att invända mot person- uppgiftsbehandlingen. Tystnad eller inaktivitet är således inte till- räckligt. Det krävs någon form av aktiv bekräftelse för att sam- tycket ska vara giltigt. Detta krav särskiljer samtycket från rätten att under vissa omständigheter motsätta sig en redan påbörjad be- handling och utesluter därmed bland annat så kallad ”opt out”. För känsliga personuppgifter gäller dessutom att samtycket enligt arti- kel 9.2 a i dataskyddsförordningen ska vara uttryckligt.

I situationer där flera viljeyttringar förekommer (eller bör före- komma därför att det finns flera syften) krävs enligt artikel 7.2 i dataskyddsförordningen att dessa tydligt särskiljs. Detta framgår även av skäl 32 om samtyckets innebörd och skäl 33 om samtycke som lämnas till vissa forskningsområden eller delar av forsknings-

172

SOU 2017:50

Behandling av personuppgifter med samtycke

projekt. Den personuppgiftsansvarige ska kunna visa att den regi- strerade på förhand har lämnat samtycke för all personuppgifts- behandling som avses på sätt som föreskrivs i förordningen (arti- kel 7.1). Här uppstår i praktiken ett utökat krav på den personupp- giftsansvarige att dokumentera samtycket i jämförelse med person- uppgiftslagen, där samtycke inte är omgärdat av några formkrav. Behovet av dokumentation aktualiseras oavsett om samtycket läm- nats muntligt eller skriftligt.

6.4.5Informerad viljeyttring

Personuppgiftslagen

I 3 § personuppgiftslagen anges att ett giltigt samtycke innebär att den registrerade godtar behandlingen efter att ha fått information. Informationen ska vara tillräcklig för att en frivillig, särskild och otvetydig viljeyttring ska kunna lämnas.

En vägledande utgångspunkt i detta sammanhang kan vara de all- männa bestämmelser om informationsskyldighet som finns i 23–27 §§ personuppgiftslagen. Detta gäller i första hand sådan information som lämnas på förhand. Den personuppgiftsansvarige ska enligt huvudregeln på eget initiativ lämna information till den registrerade om behandlingen. Detta kan ske i samband med insamling av personuppgifter från den registrerade själv, eller i det fall insamling har skett från någon annan källa, vid registreringstillfället om detta inte är omöjligt eller innebär en oproportionerligt stor arbetsinsats. I 25 § personuppgiftslagen anges att information ska lämnas om den registrerades identitet, ändamålet med behandlingen, samt all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter.

För att ett samtycke ska anses giltigt behöver i första hand in- formation av det slag bestämmelserna i 23–25 §§ anger vara upp- fyllda. Till bilden hör att den registrerade enligt 26 § en gång per kalenderår efter en skriftlig ansökan gratis har rätt att få infor- mation om bland annat vilka uppgifter som behandlas, ändamålet med behandlingen, varifrån uppgifterna hämtats, samt till vilka de lämnats ut. Detta betecknas ibland som en rätt till registerutdrag.

Mer utförliga rekommendationer om förfaringssättet när det gäller personuppgiftsbehandling för forskningsändamål finns i infor-

173

Behandling av personuppgifter med samtycke

SOU 2017:50

mationsmaterial från några myndigheter som ansvarar för omfatt- ande register med personuppgifter eller övervakar hanteringen av personuppgifter.23

Dataskyddsförordningen

De krav på information som finns i artiklarna 12–15 i dataskydds- förordningen överensstämmer i sin allmänna inriktning med vad som stadgas i personuppgiftslagen, men är mer detaljerade.

Ett giltigt samtycke enligt dataskyddsförordningen förutsätter att den registrerade fått tillräcklig information. Artikel 12 anger att den information som ges till den registrerade ska vara klar, tydlig, begriplig och lätt tillgänglig. Den information som ska lämnas i samband med insamling föreskrivs i artikel 13 för personuppgifter insamlade direkt från den registrerade och i artikel 14 för person- uppgifter som har erhållits från annan än den registrerade.

I huvudsak handlar skyldigheten att lämna information innan det att behandlingen inleds om att lämna besked om att person- uppgifter kommer att behandlas och om vilken behandling som ska göras. I 25 § personuppgiftslagen anges att all den information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen ska lämnas. Motsvarande allmänna formulering återfinns inte i förordningen, men det får antas att be- dömningen av huruvida kravet på information vid inhämtande av samtycke inbegriper en sådan avvägning.

Utredningen bedömer att den allmänna informationsskyldig- heten som regleras i artiklarna 13 och 14 i dataskyddsförordningen, och som ska lämnas på initiativ av den personuppgiftsansvarige innan behandlingen påbörjas, är relevant för vad som krävs för inhämtande av ett giltigt samtycke.

Artikel 15 i dataskyddsförordningen ger utöver detta en fortsatt rätt till registerutdrag. Den registrerade har alltså rätt att på eget initiativ få reda på om en behandling pågår och, om så är fallet, information om den aktuella behandlingen för att kunna ta tillvara sina rättigheter samt att få kopior på de personuppgifter som be- handlas. Denna rätt till tillgång blir i praktiken aktuell först efter

23 Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövnings- nämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013.

174

SOU 2017:50

Behandling av personuppgifter med samtycke

det att behandlingen har inletts och, om behandlingen grundas på samtycke, först efter det att samtycke har lämnats.

Fullgörande av informationsrätten enligt artikel 15 kan därför inte inbegripas i bedömningen av samtyckets giltighet. Enligt artik- larna 13.2 b och 14.2 c ska dock den registrerade på förhand infor- meras om denna rättighet, vilket ingår i den information som ska lämnas för att ett giltigt samtycke ska kunna inhämtas.

6.4.6Uttrycklig viljeyttring gällande känsliga personuppgifter

Behandling av känsliga personuppgifter för forskningsändamål be- handlas övergripande i kapitel 7. Samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål har behandlats i avsnitt 6.3. I det avsnittet gjordes bedömningen att det är förenligt med artikel 9.2 a i förordningen att använda samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål, givet att det kompletteras med etikgodkännande enligt etikprövningslagen. I detta avsnitt berörs samtycke när be- handlingen avser känsliga personuppgifter med anledning av det krav på uttrycklighet som gäller redan i dag, och som kommer att gälla även när dataskyddsförordningens bestämmelser ska tillämpas.

Personuppgiftslagen

Personuppgiftslagen innehåller särskilda regler för behandling av känsliga personuppgifter i 13–20 §§. I 15 § personuppgiftslagen an- ges att samtycke till behandling av känsliga personuppgifter ska vara uttryckligt. Begreppet uttryckligt samtycke har enligt vad som framgår av förarbetena till personuppgiftslagen en EU-gemensam innebörd.24 Hur uttrycklighetskravet mer precist ska tolkas i Sverige har endast i begränsad utsträckning diskuterats.25 Enligt artikel 29-gruppen omfattar uttryckligt samtycke enligt nuvarande be- stämmelser ”alla situationer där enskilda personer uppmanas välja mellan att samtycka till eller vägra användning eller offentliggörande av sina personuppgifter och de besvarar en sådan begäran muntligt eller skriftligt”.26

24Prop. 1997/98:44 s. 116.

25Se vidare t.ex. Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 3 §.

26Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 26.

175

Behandling av personuppgifter med samtycke

SOU 2017:50

Utöver kravet på uttrycklighet i personuppgiftslagen föreskriver etikprövningslagen etikgodkännande för forskning som innefattar behandling av känsliga personuppgifter (3 och 6 §§). Etikpröv- ningslagens tillämpningsområde omfattar all behandling av känsliga personuppgifter för forskningsändamål när forskningen utförs i Sverige. Kravet på etikgodkännande enligt etikprövningslagen gäller således även om det finns ett inhämtat samtycke.

Dataskyddsförordningen

Känsliga personuppgifter omfattar enligt artikel 9.1, utöver de upp- gifter som anges i 13 § personuppgiftslagen, även sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. I detta betänkande används begreppet känsliga personuppgifter för hela denna utökade kategori.

Oklarheten om innebörden i uttryckligt samtycke med avseende på graden av aktivt handlande hos den registrerade kan ha reduce- rats genom den hänvisning till ”entydigt bekräftande handling” som finns i artikel 4.11. Något undantag från denna del av bestäm- melsen vad gäller uttryckligt samtycke går inte att finna.

6.4.7Överväganden

Utredningens bedömning: Dataskyddsförordningen innebär inga betydande förändringar av ett samtyckes innebörd.

I det ovanstående har de olika kraven på giltigt samtycke i data- skyddsdirektivet och personuppgiftslagen jämförts med motsva- rande krav i dataskyddsförordningen. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen. Något undantag från denna del av be- stämmelsen vad gäller uttryckligt samtycke går inte att finna.

176

SOU 2017:50

Behandling av personuppgifter med samtycke

Utredningens bedömning: Möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling för forsk- ningsändamål när det kan råda en betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade behöver prö- vas i varje enskilt fall, som en del av bedömningen av giltigheten av det inhämtade samtycket.

Utgångspunkten för en sådan prövning är att forskningsaktören som en del av bedömningen ska kunna visa att samtycket lämnats frivilligt. En betydande ojämlikhet kan medföra att samtycket inte uppfyller kravet på frivillighet. Hinder för ett giltigt samtycke före- ligger av denna anledning i allmänhet vid personuppgiftsbehandling när den personuppgiftsansvarige är en myndighet. Detta utesluter dock inte att myndigheter baserar sin personuppgiftsbehandling för forskningsändamål på just samtycke, förutsatt att det inte före- ligger en betydande ojämlikhet av det slag som avses i skäl 43.

6.5Ytterligare behandling av personuppgifter som lämnats med stöd av samtycke

6.5.1Inledning

Ytterligare behandling av personuppgifter för forskningsändamål undantas i såväl personuppgiftslagen som dataskyddsförordningen från vissa delar av de krav som är förknippade med finalitetsprincipen. Vid bedömningen av undantaget tillkommer dock vissa särskilda överväganden som blir aktuella bara när personuppgiftsbehand- lingen grundas på samtycke.

6.5.2Personuppgiftslagen

Ytterligare behandling av personuppgifter för forskningsändamål har enligt 9 § andra stycket personuppgiftslagen en gynnad ställ- ning när det gäller undantag från den s.k. finalitetsprincipen. Denna princip fastställer att personuppgifter som huvudregel inte får be- handlas för ändamål som är oförenligt med det ursprungliga ända- mål för vilket uppgifterna samlades in. Behandling för vetenskap-

177

Behandling av personuppgifter med samtycke

SOU 2017:50

liga ändamål ska dock enligt det andra stycket inte anses oförenligt med de ändamål för vilka uppgifterna samlades in.

Detta medför att personuppgifterna vanligen får användas av samma personuppgiftsansvarig utan att ett nytt ändamål behöver anges. När det gäller användning av personuppgifter som lämnats med samtycke finns dock i förarbeten och kommentarer till person- uppgiftslagen resonemang som innebär en strängare tolkning i detta avseende. Det anförs att det som regel inte är acceptabelt att det för- troende som den registrerade visat genom det lämnade samtycket kränks genom att uppgifterna används för ett helt annat projekt med väsentligt annorlunda inriktning och syften. Såväl förarbeten27 som lagkommentaren till 9 § personuppgiftslagen28 anger att något förbud för återanvändning dock inte införts eftersom det kan finnas undantagsfall där samhällsintresset överväger.

Vad som utgör ett forskningsprojekt där ytterligare behandling har en väsentligt annorlunda inriktning och syften är en tolknings- fråga. Exempel på gränsdragningsproblematiken kan tas från den epidemiologiska forskningen om risker för specifika sjukdomar och för tidig död där det kan finnas anledning att granska såväl biolo- giska som sociala orsaker till ohälsa. Man kan exempelvis tänka sig att uppgifter som lämnats med samtycke avseende ändamålet att undersöka sambandet mellan fetma, kolesterolnivåer och hjärtsjuk- dom också, om information om socioekonomiska förhållanden läggs till, kan användas för att undersöka sambandet mellan sociala variabler som utbildning, inkomst, yrke och förekomsten av hjärt- och kärlsjukdom. Hela denna orsaksbild kan utgöra väsentlig infor- mation när det gäller hjärt- och kärlsjukdomarnas epidemiologi.

Huruvida ytterligare behandling i ett sådant socialmedicinskt projekt skulle anses vara av väsentligt annan karaktär än det ur- sprungliga är en bedömningsfråga som det enligt nuvarande praxis ankommer på en etikprövningsnämnd att ta ställning till. Etikpröv- ningsnämnden i fråga kan som villkor för den ytterligare behand- lingen kräva att ett nytt samtycke inhämtas. Etikprövningsförfaran- det behandlas närmare i kapitel 14.

27SOU 1997:39 s. 312 f.

28Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 9 § andra stycket.

178

SOU 2017:50

Behandling av personuppgifter med samtycke

6.5.3Dataskyddsförordningen

Såsom beskrivs i avsnitt 5.4 är personuppgiftsbehandling för forsk- ningsändamål genom artikel 5.1 b i likhet med dagens lagstiftning särskilt gynnad i dataskyddsförordningen genom att ytterligare behandling för forskningsändamål inte ska anses strida mot de ur- sprungliga ändamål för vilka uppgifterna samlades in. Vidare anges i skäl 50 i dataskyddsförordningen att detta ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Observera dock att undantaget från den s.k. finalitetsprincipen gäller i det fall behandlingen sker hos samma personuppgiftsansvarig, se avsnitt 5.4.4 för vidare resonemang kring denna förutsättning.

Vägledning kan utöver detta finnas i Europarådets rekommen- dation nr R(83) 10 om skydd för personuppgifter som används för vetenskaplig forskning och statistik:

4. Use of the data

4.1.Personal data obtained for research should not be used for any purpose other than research. In particular, they should not be used to make any decision or take any action directly affecting the person concerned, except within the context of the research or with the express consent of the person concerned.

4.2.Personal data collected for the purpose of a given research project and with the consent of the persons concerned should not be used in connection with another research project substantially different in its nature or objects from the first, except with their consent. However, where would be impracticable to obtain such consent by reason of the lapse of time or because of the large number of persons concerned, the previously collected data may be used in conformity with other safe- guards laid down by domestic law.

4.3.Both public and private bodies should have the right to use for their own research purposes the personal data which they hold for administrative purposes. If in the course of such research personal data are added to files already held by the administrative body, or its files are altered, these new files should not be made available to administrative personnel dealing with individual cases, except with the consent of the person concerned.

4.4.Personal data may be released by public or private bodies for the purpose of research only with the consent of the person concerned or in accordance with other safeguards laid down by domestic law.

179

Behandling av personuppgifter med samtycke

SOU 2017:50

Artikel 4.2 i Europarådets rekommendation förefaller överensstämma väl med överväganden i etikprövningsnämnderna där man tar hän- syn till de praktiska möjligheterna att inhämta ett nytt samtycke.

6.5.4Överväganden

Utredningens bedömning: Ytterligare behandling av person- uppgifter för forskningsändamål hos densamme personuppgifts- ansvarige ska inte anses vara oförenligt med de ursprungliga ändamålen även när uppgifterna samlats in med stöd av samtycke. Den personuppgiftsansvarige bör dock följa Europarådets rekom- mendation att inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet utan att ett nytt samtycke inhämtats där detta är lämpligt och praktiskt möjligt.

Enligt utredningens bedömning kan det, även om specifik reglering i förordningen saknas, finnas anledning att också i fortsättningen uppmärksamma de resonemang som tidigare förts om samtyckets särskilda ställning när det gäller rätten att ytterligare behandla person- uppgifter som lämnats med samtycke. Europarådets rekommenda- tion bör utgöra vägledning vid ytterligare behandling av person- uppgifter lämnade med samtycke.

6.6Samtycke tillsammans med annan rättslig grund

6.6.1Inledning

I ovanstående avsnitt har utredningen tagit ställning till att sam- tycke kan användas som rättslig grund enligt artikel 6.1 a för alla slags personuppgifter, även med hänsyn taget till formuleringarna i artikel 9.2 a. I detta avsnitt belyses samtyckets ställning och an- vändning när en annan rättslig grund samtidigt föreligger.

All laglig behandling av personuppgifter förutsätter en rättslig grund. Det kan samtidigt finnas mer än en rättslig grund för samma behandling. När den ena tillämpliga rättsliga grunden är samtycke kompliceras situationen, eftersom det knappast kan anses vara för- enligt med god sed vid personuppgiftsbehandling för forsknings-

180

SOU 2017:50

Behandling av personuppgifter med samtycke

ändamål att först grunda sin behandling på samtycke för att sedan vid behov åberopa till exempel allmänt intresse som grund för aktu- ell behandling. Formellt sett är dock detta tillåtet redan i dag och problematiken är känd. Förklaringen ligger i att det inte är möjligt att förbjuda behandling enligt någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen om villkoren i dem är uppfyllda.

Vid viss personuppgiftsbehandling kan således osäkerhet uppstå om vad som faktiskt utgör den rättsliga grunden för behandlingen. Artikel 29-gruppen har behandlat frågan om s.k. hybridsituationer avseende rättslig grund och beskriver detta som att det ofta kan vara svårt att avgöra om de offentliga myndigheternas behandling av personuppgifter på ett korrekt sätt bygger på den registrerades samtycke. Som exempel på en hybridsituation har artikel 29-gruppen beskrivit folkbokföring när en viss del av registreringen bygger på lagstadgat uppgiftslämnande medan andra delar är frivilliga.29

6.6.2Samtidig förekomst av de rättsliga grunderna samtycke och allmänt intresse

Av skäl 43 i dataskyddsförordningen framgår, som beskrivits ovan, att det många gånger kan råda en betydande ojämlikhet mellan den som efterfrågar samtycke och den som lämnar det. Skäl 43 pekar på att ojämlikhetsproblemet särskilt föreligger för ”offentliga myndig- heter”. Detta blir tydligt när myndigheten har en verksamhet som innebär myndighetsutövning gentemot den enskilde eller inom hälso- och sjukvård.

I enlighet med det resonemang som förs i kapitel 5 omfattas forskning normalt av den rättsliga grunden allmänt intresse. Om forskningen av allmänt intresse är fastställd i nationell rätt gäller denna lagstadgade rättsliga grund redan innan dess ett eventuellt samtyckesförfarande övervägs. Det torde enligt tidigare resone- mang inte föreligga någon prioritetsordning mellan de olika rättsliga grunder som anges i artikel 6.1. Det finns därmed inte skäl att ge den rättsliga grunden samtycke företräde framför allmänt intresse.

Ett giltigt samtycke innebär en frivillig, specifik, informerad och otvetydig viljeyttring (artikel 4.11). Den registrerade ska ha lämnat

29 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 38.

181

Behandling av personuppgifter med samtycke

SOU 2017:50

sitt samtycke för att behandlingen ska vara tillåten (artikel 6.1 a och 9.2 a), och har rätt att återkalla samtycket när som helst (arti- kel 7.3). Att ett återkallat samtycke verkligen innebär att behand- lingen upphör är ett av de oavvisliga kriterier som enligt utredning- ens bedömning bör användas för att avgöra om ett samtycke är giltigt och fungerar fullt ut.30 Om personuppgiftsbehandlingen skulle fortsätta att vara laglig genom att någon annan rättlig grund (exempelvis uppgift av allmänt intresse) samtidigt föreligger och åberopas kan inte rätten till återkallelse beaktas. Det kan därmed ifrågasättas huruvida samtycke är giltigt i dessa situationer.

6.7Sammanfattning

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. För- ordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, infor- merat och för känsliga personuppgifter uttryckligt, samt ska ges genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med personuppgifts- lagen.

Utredningen bedömer att artikel 9.2 a i dataskyddsförordningen, tillsammans med etikprövningslagen, innebär att det är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.

Skäl 33 innebär en utvidgning av det möjliga utrymmet för sam- tycke när syftet inte fullt ut kan identifieras vid insamlingstillfället. Skäl 43 innebär begränsningar, särskilt för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här om den i nationell rätt fastställda rättsliga grunden uppgift av allmänt intresse samtidigt förekommer.

Ytterligare behandling av personuppgifter för forskningsända- mål, där behandlingen ursprungligen grundats på samtycke, bör

30 A.a. s. 35.

182

SOU 2017:50

Behandling av personuppgifter med samtycke

enligt utredningens uppfattning normalt omfattas av inhämtande av nytt samtycke, oavsett om behandlingen sker hos samma eller hos en ny personuppgiftsansvarig forskningsaktör.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de situationer när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, och som innebär att samtyckets giltig- het kan ifrågasättas.

183

7 Känsliga personuppgifter

7.1Inledning

Av utredningens direktiv framgår följande:

Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett be- hov av kompletterande bestämmelser om behandling av känsliga person- uppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skydds- åtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kod- nycklar.1

Detta kapitel inleds med en genomgång av begreppet ”känsliga personuppgifter”, för att sedan gå igenom relevanta bestämmelser i dataskyddsförordningen (EU 2016/679) samt förslag från Data- skyddsutredningen (Ju 2016:04). Utifrån detta lämnar vi sedan över- väganden och förslag över kompletterande bestämmelser.

7.1.1Terminologi

Dataskyddsförordningen använder i rubriken till artikel 9 termen

”Särskilda kategorier av personuppgifter” för att hänvisa till person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

1 Dir. 2016:65 s. 11.

185

Känsliga personuppgifter

SOU 2017:50

Denna terminologi återkommer i förordningen, exempelvis i arti- kel 6.4 c, 27.2 a, 30.5, 35.3 b, 37.1 c och 47.2 d, samt även skäl 10, 51–54, 71, 80, 91, 97 och 112.

Samma term användes även i det nuvarande dataskyddsdirektivet (95/46/EG) med en definition i artikel 8. Jämfört med dataskydds- direktivet är dataskyddsförordningens definition något utökad och inkluderar även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning.

I det svenska genomförandet av det nuvarande dataskyddsdirek- tivet valdes termen ”känsliga personuppgifter” för att beteckna det som direktivet benämner ”särskilda kategorier av personuppgifter”.2

Anledningen till att man frångick direktivets terminologi i denna del har inte närmare berörts i personuppgiftslagens förarbeten,3 men termen ”känsliga uppgifter” har använts i den tidigare data- lagens förarbeten för att beteckna uppgifter med särskilt skydds- värde.4

Dataskyddsutredningen har i sitt förslag valt att behålla den in- arbetade termen ”känsliga personuppgifter”, särskilt i ljuset av att den fått visst fäste även på europeisk nivå, se t.ex. dataskydds- förordningens skäl 10 samt den s.k. artikel 29-gruppens Advice paper on special categories of data (“sensitive data”).5 Eftersom vårt uppdrag i denna del är att analysera behovet av kompletterande bestämmelser utöver vad bl.a. Dataskyddsutredningen kommer att föreslå har vi valt att använda Dataskyddsutredningens terminologi i denna del, även om förordningens direkta tillämplighet medför att rättstillämpningen måste hantera två olika termer för samma be- grepp. Med ”känsliga personuppgifter” avses således detsamma som dataskyddsförordningen avser med ”särskilda kategorier av person- uppgifter”.

2I sammanhanget bör nämnas att skäl 34 till direktivet använder termen ”känsliga kategorier av uppgifter” för att avse uppgifter på områden som exempelvis folkhälsa och socialskydd. Även skäl 70 till direktivet använder termen ”känsliga uppgifter”, dock utan närmare förklar- ing till vad som avses.

3Jfr SOU 1997:39 och prop. 1997/98:44.

4Prop. 1973:33 s. 121 f.

5Jfr SOU 2017:39, avsnitt 10.2.

186

SOU 2017:50

Känsliga personuppgifter

7.2Rättsliga förutsättningar

7.2.1Nuvarande reglering

Utgångspunkten i det nuvarande dataskyddsdirektivet är enligt artikel 8.1 att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

I artikel 8.2–8.4 finns det sedan undantag från förbudet att be- handla känsliga personuppgifter. Artikel 8.2 a innehåller ett undan- tag för när den registrerade lämnat sitt uttryckliga samtycke till sådan behandling utom när det enligt medlemsstatens lagstiftning anges att förbudet inte kan upphävas genom den registrerades sam- tycke. Artikel 8.4 tillåter medlemsstaterna att besluta om andra undantag under förutsättning av lämpliga skyddsåtgärder och av hän- syn till ett viktigt allmänt intresse. Att kunna genomföra samhälls- intressant forskning anses utgöra ett sådant viktigt allmänt intresse.6

När dataskyddsdirektivet infördes i svensk rätt genom person- uppgiftslagen (1998:204) fanns inte någon reglerad verksamhet med etikprövningsnämnder. Enligt den ursprungliga lydelsen av 19 § personuppgiftslagen fick känsliga personuppgifter behandlas för forsknings- och statistikändamål, om behandlingen var nödvän- dig på sätt som sägs i 10 § samma lag och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Det infördes en legal- definition av forskningsetikkommitté i personuppgiftslagen, vilken anknöt till ett existerande system för forskningsetisk granskning.7 Bestämmelsen i 19 § personuppgiftslagen utformades så att det fanns en presumtion för att ett godkännande av personuppgiftsbehand- lingen från en sådan kommitté också innebar att samhällsintresset av forskningsprojektet klart vägde över den risk för otillbörligt in- trång i enskildas personliga integritet som behandlingen kunde inne- bära (avvägningsnormen).

Enligt 9 § fjärde stycket personuppgiftslagen fick (och får) person- uppgifter som behandlas för bl.a. vetenskapliga ändamål användas

6Prop. 1997/98:44 s. 68.

7A.a. s. 71.

187

Känsliga personuppgifter

SOU 2017:50

för att vidta åtgärder i fråga om den registrerade bara om den regi- strerade har lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt förarbe- tena till personuppgiftslagen utgjorde denna regel en sådan skydds- åtgärd som avsågs i direktivets artikel 8.4. Även befintliga regler om sekretess och tystnadsplikt ansågs utgöra lämpliga skyddsåtgärder.8

Det system som reglerades i den ursprungliga lydelsen av 19 § personuppgiftslagen, med en frivillig godkännandeprocess genom en oberoende part i form av en forskningsetisk kommitté, be- nämndes dock inte i detta skede uttryckligen som en skyddsåtgärd i direktivets mening. Enligt förarbetena till personuppgiftslagen var det i första hand den personuppgiftsansvarige som hade att på eget ansvar tillämpa avvägningsnormen.9 I de fall där granskning av en forskningsetisk kommitté inte kommit till stånd infördes i stället ett krav i personuppgiftsförordningen (1998:1191) att behandlingen måste anmälas för förhandskontroll till Datainspektionen senast tre veckor i förväg.10

För undantag från förbudet att behandla känsliga personuppgif- ter för forskningsändamål krävdes vidare att behandlingen skulle vara nödvändig enligt 10 § personuppgiftslagen. Nödvändighets- kravet i 10 § går ut på att behandlingen ska vara nödvändig för att t.ex. en arbetsuppgift av allmänt intresse ska kunna utföras. Forsk- ning kan utgöra ett sådant allmänt intresse.11

I samband med inrättandet av etikprövningsnämndsinstitutet och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ändrades reglerna i 19 § personuppgiftslagen på så sätt att känsliga personuppgifter får behandlas för forsknings- ändamål om behandlingen har godkänts enligt etikprövningslagen. Därmed försvann forskarens möjlighet att själv tillämpa avvägnings- normen.12

Genom en senare lagändring innefattades även behandling av känsliga personuppgifter för forskningsändamål med den registrera- des samtycke i etikprövningslagens tillämpningsområde. Det faktum att personerna själva hade haft möjlighet att ta ställning till behand-

8Prop. 1997/98:44 s. 68.

9A.a. s. 127.

10Prop. 2002/03:50 s. 62.

11SOU 1997:39 s. 296 samt prop. 1997/98:44 s. 68 och 124.

12Prop. 2002/03:50 s. 173.

188

SOU 2017:50

Känsliga personuppgifter

lingen av personuppgifterna utgjorde enligt regeringens bedömning inte tillräcklig grund för att undandra forskningen från den kon- troll som en etikprövning innebar.13

Rättspraxis

Frågan om behandling av känsliga personuppgifter för just forsk- ningsändamål, och följdfrågor om lämpliga skyddsåtgärder, har inte varit föremål för domstolsavgöranden i högre instanser. Praxis från EU-domstolen ger dock viss vägledning i hur begreppet känsliga personuppgifter ska tolkas.14

I mål C-101/01 (konfirmandlärarmålet) klargjordes bl.a. att ut- trycket ”uppgifter som rör hälsa” ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa, och att en uppgift om att en person har skadat sin fot och är halvt sjukskriven utgör en personuppgift om hälsa.

I mål T-190/10 uttalade domstolen att ett påstående om att en person arbetat för en viss europaparlamentsledamot inte visats av- slöja denna persons politiska åsikter.15 Detta mål rörde inte tillämp- ningen av det nuvarande dataskyddsdirektivet, utan den förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitution- erna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Bedömningen av huruvida den aktuella uppgiften utgjorde en uppgift om en persons politiska åsikter torde dock vara tillämplig även för det nuvarande dataskydds- direktivet, utifrån skäl 11–14 i den aktuella förordningen.

I mål F-46/09, som rörde en anställningsansökan till Europa- parlamentet, avhandlades bl.a. överföring av medicinska uppgifter till tredje man utan den registrerades samtycke. Domstolen fann att parlamentets intresse av att försäkra sig om att den person som anställs kommer att klara av att utföra de arbetsuppgifter som han eller hon anförtros ska vägas mot hur allvarligt intrånget i den be- rörda personens rätt till respekt för privatlivet är, och att parlamen-

13Prop. 2007/08:44 s. 24 f. och 51.

14EU-domstolen i sina domskäl förhåller sig till det nuvarande dataskyddsdirektivet så används termen ”särskilda kategorier av personuppgifter”.

15T-190/10, punkt 101.

189

Känsliga personuppgifter

SOU 2017:50

tet kunde ha fullgjort sin uppgift på något annat sätt som hade varit mindre kränkande för sökandens grundläggande rättigheter.16

EU-domstolens praxis är inte heltäckande i frågan hur känsliga personuppgifter ska hanteras. Med vägledning från ovanstående kan man dock dra slutsatsen att begreppet, åtminstone vad gäller uppgifter om hälsa, ska ges en vid tolkning, och att man, även med ett legitimt intresse att behandla känsliga personuppgifter, som vid all personuppgiftsbehandling måste överväga möjliga mindre integri- tetskränkande sätt att tillgodose ett sådant intresse.

7.2.2Dataskyddsförordningen

Även enligt dataskyddsförordningen är huvudregeln i artikel 9.1 att behandling av känsliga personuppgifter är förbjuden. Från den huvud- regeln finns sedan i artikel 9.2 en lång rad undantag, där framför allt 9.2 a, g och j kan vara relevanta för forskningsändamål.

Behandling med stöd av samtycke

Det första av dessa undantag (artikel 9.2 a) anger att behandling får ske om den registrerade lämnat sitt uttryckliga samtycke för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstater- nas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade. I sammanhanget bör uppmärksammas förordningens skäl 43 som, även om det inte är bindande likt artikel 9.2 a,17 under- stryker att ett samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder bety- dande ojämlikhet mellan den registrerade och den personuppgifts- ansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Se vidare avsnitt 6.4.2.

16F-46/09, punkt 124–125.

17Se bilaga 3 för en översiktlig beskrivning av skillnaderna mellan skäl och artiklar.

190

SOU 2017:50

Känsliga personuppgifter

Nödvändig behandling av hänsyn till ett viktigt allmänt intresse

Ett annat undantag från förbudet att behandla känsliga personupp- gifter finns i artikel 9.2 g i dataskyddsförordningen, som möjliggör behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätt eller medlemsstaternas nationella rätt.

Personuppgiftsbehandling för forskningsändamål har vanligen sin rättsliga grund i artikel 6.1 e, eftersom forskning anses vara en uppgift av allmänt intresse. Frågan uppstår därför om behandling av känsliga personuppgifter för forskningsändamål i vissa fall kan anses vara nödvändig av hänsyn till ett viktigt allmänt intresse och därför tillåten med stöd av lagstiftning enligt artikel 9.2 g.

Som redovisats ovan har det nuvarande dataskyddsdirektivet en liknande utformning i artikel 8.4, där behandling av känsliga person- uppgifter kan tillåtas med stöd av nationell lagstiftning eller genom beslut av tillsynsmyndigheten, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. Det är med stöd av denna bestämmelse som 19 § personuppgiftslagen har införts.

Med tanke på att det i dataskyddsförordningens artikel 9.2 j finns en mer specialiserad bestämmelse som avser just behandling för bl.a. forskningsändamål gör vi bedömningen att nationell lag- stiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål ska anses göra det med stöd av den bestämmel- sen, inte artikel 9.2 g. Artikel 9.2 j behandlas i det nedanstående. Det bör dock understrykas att bägge dessa bestämmelser ställer upp samma funktionella krav på sådan nationell lagstiftning.

Nödvändig behandling för forskningsändamål

För forskning finns som ovan redovisats ett ytterligare undantag av betydelse i artikel 9.2 j, som anger att förbudet mot behandling av känsliga personuppgifter inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål och sker i enlighet med artikel 89.1. Behandlingen ska vidare ske på grundval av unionsrätten eller med- lemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundlägg- ande rättigheter och intressen. Artikel 9.2 j ställer alltså upp en rad

191

Känsliga personuppgifter

SOU 2017:50

villkor för sådan nationell lagstiftning som kan innehålla undantag från huvudregeln om att behandling av känsliga personuppgifter är förbjuden.

Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säker- ställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Artikeln framhåller vidare pseudonymisering som en sådan åtgärd, och anger att om forskningsändamålen går att uppfylla utan uppgifter som medger identifiering av de registrerade så ska dessa ändamål upp- fyllas på det sättet. Uppgifter som inte medger identifiering får en- ligt utredningen anses vara samma typ av information som i skäl 26 omnämns ”anonym information”, och omfattas alltså inte av för- ordningen.

Det är en förutsättning för laglig behandling av känsliga person- uppgifter för forskningsändamål att det föreligger ett giltigt undan- tag enligt artikel 9.2 j, och att behandlingen även omfattas av sådana skyddsåtgärder m.m. som krävs enligt artikel 89.1. Behandlingen måste, som all personuppgiftsbehandling för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5,18 och det måste finnas en rättslig grund för behandlingen enligt artikel 6.

7.2.3Dataskyddsutredningens förslag

Av utredningens direktiv framgår bl.a. följande:

Som nämnts tidigare finns det i personuppgiftslagen vissa undantags- bestämmelser från förbudet mot att behandla känsliga personuppgif- ter. […] I direktiven för Dataskyddsutredningen (dir. 2016:15) kon- stateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgifts- lagen. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.19

18För bl.a. forskningsändamål finns dock vissa undantag vad gäller principerna om ändamåls- begränsning och lagringsminimering.

19Dir 2016:65, s. 10 f.

192

SOU 2017:50

Känsliga personuppgifter

Dataskyddsförordningens krav på stöd i nationell rätt samt samtycke

Dataskyddsutredningen föreslår i den generella regleringen, angå- ende undantag från förbudet att behandla känsliga personuppgifter, i huvudsak följande. Förordningens krav på stöd i nationell rätt20 bör tolkas som att vissa av undantagen i sig ska föreskrivas i natio- nell rätt, antingen i generell eller i sektorsspecifik reglering. Detta särskilt utifrån skäl 52:

Undantag från förbudet att behandla särskilda kategorier av person- uppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i med- lemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta.

Vidare föreslår Dataskyddsutredningen att den registrerades sam- tycke även fortsättningsvis bör medföra att känsliga personuppgifter får behandlas.

Viktiga allmänna intressen och sökbegrepp som avslöjar känsliga personuppgifter

Angående möjligheten i artikel 9.2 g att göra undantag för viktiga allmänna intressen föreslår Dataskyddsutredningen att ett generellt undantag ska införas som tillåter myndigheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det eller om upp- gifter har lämnats till myndigheten och behandlingen krävs enligt annan lag.

Dessutom ska myndigheter få behandla känsliga personuppgif- ter om behandlingen är absolut nödvändig för ändamålet med be- handlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Dock föreslås ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter införas.

Enligt förslaget kommer regeringen att kunna meddela före- skrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

20 Detta torde främst röra sig om artikel 9.2 b, g, h, i, j samt 9.3.

193

Känsliga personuppgifter

SOU 2017:50

7.3Behandling av känsliga personuppgifter

7.3.1Gränsdragningen mellan känsliga och övriga personuppgifter

Dataskyddsförordningen förutsätter att det går att avgöra om en viss uppgift är känslig eller inte. Om uppgiften avslöjar vissa i arti- kel 9.1 angivna förhållanden är den känslig och ytterligare reglering i förordningen blir tillämplig. En praktisk svårighet med denna avgränsning är att en viss uppgift, som i isolation inte avslöjar ett sådant förhållande, ändå tillsammans med andra uppgifter samman- taget kan avslöja sådana förhållanden som gör att det är fråga om en känslig uppgift.

Med stora datamängder ökar förstås denna möjlighet. Inte minst möjligheten att göra förutsägelser om en persons förhållanden gör att gränsdragningen mellan vanliga och känsliga uppgifter blir oklar, särskilt i s.k. ”big data”-sammanhang.21

När det gäller frågan om huruvida en viss uppgift alls utgör en personuppgift ska man beakta om den avser en fysisk person som direkt eller indirekt går att identifiera. Detta leder till att en samman- ställning av olika uppgifter, som var och en för sig inte utgör person- uppgifter, tillsammans ändå kan identifiera en viss fysisk person. Konstellationen av uppgifter utgör därmed personuppgifter.

När det däremot gäller gränsdragningen mellan ”övriga” och känsliga personuppgifter återfinns inte någon skrivning om huru- vida uppgiften ”direkt eller indirekt” avslöjar något av de i artikeln angivna förhållandena. I svensk rätt har det dock i flera fall ansetts att uppgifter i kombination har utgjort känsliga personuppgifter.22

Denna svårighet att avgöra om en samling personuppgifter ut- gör eller kan avslöja känsliga uppgifter kan förväntas vara särskilt relevant i forskningssammanhang, särskilt när forskningen under- söker samband mellan olika variabler.

21Se särskilt SOU 2016:41, s. 576 ff.

22Se exempelvis SOU 2001:100 s. 93 (språkkunskaper i kombination med namn kan avslöja etnisk härkomst) och prop. 2008/09:70 s. 142 (passhandlingar innehåller bild som i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung).

194

SOU 2017:50

Känsliga personuppgifter

7.3.2Krav på lagstiftning om undantag

Det nuvarande dataskyddsdirektivet innehåller, som framkommit ovan, ingen uttrycklig reglering av undantag från förbudet att be- handla känsliga personuppgifter för forskningsändamål. I stället har den svenska regleringen använt sig av möjligheten till undantag enligt artikel 8.4, som förutsätter hänsyn till ett viktigt allmänt intresse, samt lämpliga skyddsåtgärder för att medlemsstaterna an- tingen i sin nationella lagstiftning eller genom ett beslut av tillsyns- myndigheten ska få besluta ett sådant undantag.

Dataskyddsförordningen ger däremot en explicit möjlighet till undantag för behandling av känsliga personuppgifter för forsk- ningsändamål i artikel 9.2 j, under förutsättning att behandlingen är nödvändig för forskningsändamål och att den sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsent- liga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrera- des grundläggande rättigheter och intressen.

Dataskyddsförordningens krav på den nationella lagstiftningen för att motsvarande behandling ska vara tillåten är således betydligt mer detaljerade än det nuvarande dataskyddsdirektivet. Det saknas även möjligheter för tillsynsmyndigheten att i enskilda fall besluta om undantag. Det är därför nödvändigt att göra en förutsättnings- lös bedömning av vad som krävs för att uppfylla förordningens krav, utan att förlita sig på den nuvarande nationella lagstiftningens förenlighet med nuvarande dataskyddsdirektiv.

Krav i artikel 9.2 j i dataskyddsförordningen

Artikel 9.2 har i relevanta delar följande lydelse:

2. Punkt 1 ska inte tillämpas om något av följande gäller: […]

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål i enlighet med artikel 89.1, på grundval av unionsrätten eller med- lemsstaternas nationella rätt, vilken ska stå i proportion till det efter- strävade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen.

195

Känsliga personuppgifter

SOU 2017:50

Första delen av vår bedömning utgår från hur artikel 9.2 j är formu- lerad, och går igenom varje led i den formuleringen för sig. Varje underrubrik i det följande motsvarar ett led i artikel 9.2 j.

Behandlingen är nödvändig

Begreppet ”nödvändig” i det nuvarande dataskyddsdirektivet har tolkats som att det, för att en behandling ska anses nödvändig, inte krävs att det ska vara faktiskt omöjligt att underlåta behandlingen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna.23 Begreppets användning i dataskydds- förordningens artikel 6.1 har analyserats i avsnitt 5.2.2. Utred- ningen har inte funnit något som tyder på att begreppet ska tolkas annorlunda i det nu aktuella sammanhanget. Det torde således inte finnas någon anledning att anta att begreppet skulle ha någon annan innebörd i dataskyddsförordningen.

För vetenskapliga eller historiska forskningsändamål

En utgångspunkt för bedömningen av vad som utgör forsknings- ändamål är skäl 159 i dataskyddsförordningen, som bl.a. anger att behandling av personuppgifter för vetenskapliga forskningsändamål i denna förordning bör ges en vid tolkning. För utredningens be- dömning av vad som utgör forskningsändamål hänvisas till kapitel 3 om begreppen forskning och forskningsändamål.

På grundval av unionsrätten eller medlemsstaternas nationella rätt

Med ”medlemsstaternas nationella rätt” bedömer vi, i enlighet med Dataskyddsutredningen, att detta kräver att undantagen föreskrivs i nationell rätt (jfr skäl 52).

23 SOU 1997:39 s. 362.

196

SOU 2017:50

Känsliga personuppgifter

Som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd

Dessa kriterier torde inte ha någon självständig betydelse, utan ut- gör just en allmän påminnelse om proportionalitetsprincipen samt att nationell rätt måste vara förenlig med unionsrätten och vikten av detta i bedömningen av undantag reglerade i nationell rätt. Frå- gan om den föreslagna regleringens proportionalitet behandlas i kapitel 13.

Samt innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen

Ett föreskrivet undantag från huvudregeln att behandling av käns- liga personuppgifter är förbjuden måste förses med skyddsåtgärder. Av artikelns sista led följer att dessa skyddsåtgärder måste föreskrivas i unionsrätten eller i den nationella rätten. Den enda skyddsåtgärd som regleras i dataskyddsförordningen i någon närmare utsträck- ning är pseudonymisering, som definieras i artikel 4.5.

Med åtgärder kan förstås såväl tekniska som organisatoriska åtgärder samt det som vi betecknar som rättsliga skyddsåtgärder, exempelvis lagkrav på etikprövning eller sekretessbestämmelser. Eftersom kravet är att åtgärderna ska finnas reglerade i författning är utgångspunkten att det är fråga om åtgärder i form av sådana rättsliga skyddsåtgärder, men att dessa i sin tur kan medföra krav på tekniska och organisatoriska åtgärder. Dessa åtgärder behandlas mer ingående i kapitel 12.

Krav i artikel 89.1

Artikel 89.1 har följande lydelse:

1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den regi- strerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att sär- skilt principen om uppgiftsminimering iakttas. Dessa åtgärder får in- begripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identi- fiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

197

Känsliga personuppgifter

SOU 2017:50

De skyddsåtgärder som krävs av artikel 89.1 behöver enligt artikelns lydelse inte införas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behand- lingen av personuppgifter för bl.a. forskningsändamål.

Kravet på skyddsåtgärder gäller behandling av alla kategorier av personuppgifter för forskningsändamål, inte bara känsliga person- uppgifter. Att det dessutom finns en hänvisning till dessa krav från artikel 9.2 j torde inte ha en självständig betydelse, utan i stället ut- göra en påminnelse om att dessa krav är grundläggande för all person- uppgiftsbehandling för forskningsändamål. Varje underrubrik i det följande motsvarar ett led i artikel 89.1.

Behandling ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter

Kraven på skyddsåtgärderna är i första hand att de ska vara lämpliga, och att de är till just för att skydda den registrerades grundläggande rättigheter och friheter. I detta sammanhang kan då särskilt upp- märksammas att vissa specifika rättigheter i artiklarna 15–18 samt 21 kan inskränkas just för forskningsändamål, enligt artiklarna 89.2 samt 17.3 d. Undantagen får dock inte medföra att lämpliga skydds- åtgärder inte tillämpas.

Vad gäller lämplighetsbedömningen ställer artikel 32.1 upp ett antal kriterier för säkerställande av lämplig säkerhetsnivå, bl.a. ut- ifrån de risker som behandlingen medför. Dessa behandlas närmare i kapitel 12.

Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen

om uppgiftsminimering iakttas

Principen om uppgiftsminimering framgår av artikel 5.1 c och fast- ställer att uppgifter som inte behöver behandlas för det definierade ändamålet inte heller ska behandlas. Det framgår även vidare av artikel 25.2 att den personuppgiftsansvarige generellt ska genom- föra lämpliga tekniska och organisatoriska åtgärder för att, i standard- fallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. I forsknings-

198

SOU 2017:50

Känsliga personuppgifter

sammanhang kan det emellertid vara svårt att på förhand avgränsa den mängd uppgifter som är adekvata och relevanta. I samman- hanget bör påpekas att det för bl.a. forskningsändamål går att göra undantag från den närliggande principen om lagringsminimering enligt artikel 5.1 e, under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs.

Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet

Detta krav framhåller pseudonymisering som skyddsåtgärd på ett sådant sätt att det finns anledning att i nationell reglering särskilt föreskriva att pseudonymisering ska övervägas. Meningens andra led tydliggör dock att pseudonymisering inte behöver användas om forskningsändamålet inte kan uppfyllas med en sådan skydds- åtgärd. I avsnitt 12.3.3 beskrivs pseudonymisering närmare, bl.a. i vilka fall användandet av denna skyddsåtgärd kan försvåra eller omöjliggöra forskning.

När dessa ändamål kan uppfyllas genom vidare behandling

av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet

Det avslutande kravet i artikel 89.1 får anses vara en påminnelse om nödvändighetskravet i artikel 6.1 e och 9.2 j, eftersom behandlingen av personuppgifter inte kan anses nödvändig om ändamålet kan uppnås med uppgifter som inte längre medger identifiering.

När forskningsändamålet kan uppnås genom behandling av uppgifter som inte längre medger identifiering är det, enligt skäl 26, fråga om anonym information, och alltså inte längre fråga om person- uppgiftsbehandling. I sammanhanget kan uppmärksammas att arti- kel 89.1 är det enda stället i förordningen där ”further processing”

översätts med ”vidare behandling” i den svenska versionen. I övriga delar av förordningen översätts samma uttryck med ”ytterligare behandling” (jfr exempelvis artikel 5.1 b).

199

Känsliga personuppgifter

SOU 2017:50

7.4Överväganden och förslag

7.4.1Tillåten behandling av känsliga personuppgifter

Utredningens förslag: En bestämmelse ska införas i forsknings- datalagen som anger att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behand- lingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen om etikprövning av forskning som av- ser människor.

Som framgått behövs det kompletterande reglering i nationell rätt för att behandling av känsliga personuppgifter för forskningsända- mål ska vara möjlig.

Utredningen föreslår därför en bestämmelse i forskningsdata- lagen som tillåter sådan behandling när denna är nödvändig för att uppnå ändamålet. Med nödvändig behandling avses detsamma som i dataskyddsförordningens artikel 9.2 j.

Dataskyddsförordningen anger vidare att sådan nationell regler- ing ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Utredningens bedömning av lämplig och särskild skydds- åtgärd för behandling av känsliga personuppgifter för forsknings- ändamål behandlas i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehandling för forskningsändamål.

7.5Sammanfattning

I detta avsnitt har vi behandlat känsliga personuppgifter, dess bety- delse i forskningssammanhang och dataskyddsförordningens krav på lagstiftning som tillåter behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en generell tillåtlighetsregel när känsliga personuppgifter behandlas för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.

200

8Personuppgifter

om lagöverträdelser m.m.

8.1Inledning

I artikel 10 i dataskyddsförordningen (EU 2016/679) regleras ”per- sonuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Motsvarande term i det nuvarande dataskyddsdirektivet (95/46/EG) finns i arti- kel 8.5 och lyder ”uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder”. Det framgår inte om någon saklig skillnad

är avsedd i förordningen jämfört med direktivet. Skillnaden i de engelska språkversionerna är ännu mindre, ”personal data relating to criminal convictions and offences or related security measures” respektive ”data relating to offences, criminal convictions or security measures”. Sverige har lämnat in en begäran om rättelse av den svenska språkversionen av dataskyddsförordningen till rådet, där

“överträdelser” föreslås ersättas av “lagöverträdelser som innefattar brott”. Någon rättelse har i nuläget inte skett.

Dataskyddsdirektivets bestämmelser har genomförts genom 21 § personuppgiftslagen (1998:204), som under rubriken ”Uppgif- ter om lagöverträdelser m.m.” anger ”personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden”.

Vi har i det nedanstående valt att använda oss av en förtydli- gande variant av den beteckning som används i personuppgifts- lagen, nämligen ”personuppgifter om lagöverträdelser m.m.”

Vad gäller den nuvarande svenska regleringen infördes ”admi- nistrativa frihetsberövanden” i begreppet med stöd av direktivets möjlighet i artikel 8.5 för medlemsstater att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också

201

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

ska behandlas under kontroll av en myndighet. Vi återkommer nedan till vilket utrymme förordningen ger för en liknande reglering.

8.2Rättsliga förutsättningar

8.2.1Nuvarande reglering

Behandling av personuppgifter om lagöverträdelser m.m. regleras i dag i 21 § personuppgiftslagen, som har följande lydelse:

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har god- känts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om undantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

När dataskyddsdirektivet införlivades i svensk rätt genom person- uppgiftslagen fanns det ursprungligen en möjlighet när det gällde behandling av känsliga personuppgifter för forskningsändamål för forskare att själva tillämpa en avvägning mellan värdet av forskningen och intrånget i den enskildes integritet (avvägningsnormen). Känsliga personuppgifter fick behandlas för forsknings- och statistikändamål, om behandlingen var nödvändig på sätt som sägs i 10 § personupp- giftslagen och om samhällsintresset av det forsknings- eller statistik- projekt där behandlingen ingår klart vägde över den risk för otillbör- ligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Hade behandlingen godkänts av en forskningsetikkommitté skulle de angivna förutsättningarna anses vara uppfyllda. Motsvar- ande möjlighet fanns inte för uppgifter om lagöverträdelser m.m., utan i stället infördes ett bemyndigande för regering och tillsyns- myndighet att meddela undantag från förbudet för andra än myndig- heter att behandla sådana uppgifter, antingen i föreskriftsform eller

202

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

genom beslut om enskilda behandlingar.1 Lagens förarbeten tog inte upp frågan om behandling av sådana uppgifter för forskningsändamål.

Någon förändring ägde inte rum i samband med att etikpröv- ning infördes vad gäller personuppgiftslagens reglering för person- uppgifter om lagöverträdelser m.m. För känsliga personuppgifter ändrades regleringen så att ett godkännande enligt etikprövnings- lagen i sig utgjorde tillräcklig grund för att behandla sådana uppgifter. Däremot innehöll den nya etikprövningslagen en bestämmelse i 3 § som angav att lagen var tillämplig på uppgifter om lagöverträdelser m.m. För att behandla sådana uppgifter för forskningsändamål utan den registrerades samtycke krävdes därmed dels ett tillämpligt undantag meddelat av regeringen eller tillsynsmyndigheten, dels ett godkännande enligt etikprövningslagen.2

När etikprövningslagen ändrades år 2008 infördes en bestämmelse i 21 § personuppgiftslagen som tog bort dessa dubbla krav och inne- bar att personuppgifter om lagöverträdelser m.m. fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen.3 Detta motiverades av att forskningshuvudmän som inte är myndigheter inte skulle behöva såväl beslut av regering eller tillsynsmyndighet om undantag som godkännande från etikprövningsnämnd. I sammanhanget uttalades även att etikprövning fick anses uppfylla direktivets krav på till- räckliga skyddsåtgärder, och att det därför inte också behövdes ett särskilt undantagsbeslut från regering eller tillsynsmyndighet.4

Rättspraxis

EU-domstolen har inte särskilt behandlat dataskyddsdirektivets artikel 8.5. Svenska domstolar har i några fall berört frågor om be- handling av uppgifter om lagöverträdelser m.m. I HFD 2014:32 rörde frågan domstols publicering av uppropslistor i bl.a. brottmål på internet. I NJA 2015 s. 180 var fråga om privat behandling av uppgifter om brott. Slutligen berördes i HFD 2016:8 tillsynsmyndig-

1Prop. 1997/98:44 s. 73 f.

2Prop. 2002/03:50 s. 102 och 112.

3Lag (2008:187) om ändring i personuppgiftslagen (1998:204).

4SOU 2005:78 s. 70 f. (det är dock värt att notera att direktivet ställer kravet att skyddsåtgärder ska vara ”lämpliga och särskilda”, inte ”tillräckliga”).

203

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

hetens möjlighet att meddela undantag från förbud att behandla uppgifter om lagöverträdelser. Inget av dessa mål tar dock särskilt sikte på behandling av uppgifter om lagbrott för just forsknings- ändamål. Sammanfattningsvis har svenska domstolar tolkat det tillåtna utrymmet för behandling av uppgifter om lagöverträdelser m.m. relativt snävt.

8.2.2Dataskyddsförordningen

Personuppgifter om lagöverträdelser m.m. regleras i dataskydds- förordningens artikel 10, som har följande lydelse:

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då be- handling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och fri- heter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Skäl 97 i dataskyddsförordningen anger bl.a. att när den person- uppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om data- skyddslagstiftning och -förfaranden bistå den personuppgiftsansva- rige eller personuppgiftsbiträdet för att övervaka den interna efter- levnaden av denna förordning.

Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling för forsk- ningsändamål är möjliga i nationell lagstiftning, precis som alla andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fast- ställda.

Behandlingen måste dock alltjämt, som vid all behandling av personuppgifter för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5, och det måste finnas en rättslig grund för behandlingen enligt artikel 6.

En viktig begränsning av dataskyddsförordningens definition, jämfört med det nuvarande dataskyddsdirektivet, är att endast fäll- ande domar i brottmål omfattas. Friande domar i brottmål faller

204

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

därmed utanför definitionen. I praktiken synes det dock vanskligt att dra en sådan gräns. Uppgifter som förekommer i en friande brottmålsdom kan ofta fortfarande utgöra uppgifter om överträdel- ser, exempelvis i de fallen där den friande domen bygger på att pre- skription inträtt.

Dataskyddsdirektivet inkluderar ”lagöverträdelser” i definitionen, medan dataskyddsförordningen endast hänvisar till ”överträdelser”.

Någon förändring i sak torde dock inte vara avsedd.5 I svensk rätt har faktiska iakttagelser av en persons handlande inte ansetts utgöra uppgifter om lagöverträdelser,6 men däremot uppgifter om miss- tankar i de fall som ligger nära faktiska iakttagelser.7

För att forskningsaktörer som inte är myndigheter alls ska kunna behandla uppgifter om lagöverträdelser m.m. för forskningsända- mål måste alltså detta tillåtas i unionsrätten eller nationell rätt.

8.2.3Regleringen i 2016 års dataskyddsdirektiv

Personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verk- ställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten är undantagna från dataskyddsförordning- ens tillämpningsområde.8 För sådan behandling är i stället 2016 års dataskyddsdirektiv tillämpligt.9 Direktivet får betydelse för forsk- ningen eftersom det kommer vara direktivet som styr hur dessa myndigheter får lämna ut uppgifter för forskningsändamål. Den utredning (Ju 2016:06) som tillsattes för att föreslå hur detta direk- tiv ska genomföras i svensk rätt har bl.a. haft i uppdrag att lämna förslag till en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde.10 Utredningen överlämnade betän- kandet Brottsdatalag (SOU 2017:29) till regeringen den 5 april 2017.

5SOU 2017:39 avsnitt 11.3.

6SOU 1997:39 s. 380.

7Datainspektionens beslut 2005-08-30, dnr 1020-2005 och 2011-05-11, dnr 1563-2010, se även HFD 2016:8.

8Se artikel 2.2 d i dataskyddsförordningen.

9Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

10Dir. 2016:21.

205

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

8.2.4Dataskyddsutredningens förslag

Av våra direktiv framgår bl.a. följande:

Dataskyddsutredningen har i uppdrag att analysera i vilken utsträck- ning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.11

Dataskyddsutredningen har gjort bedömningen att den möjlighet för regering eller tillsynsmyndighet att meddela undantag från för- budet att behandla uppgifter om lagöverträdelser m.m. som i dag finns i 21 § tredje och fjärde stycket personuppgiftslagen ska kvarstå.

Dataskyddsutredningen har vidare gjort bedömningen att det inte finns stöd i förordningen för att föreskriva ett förbud för andra än myndigheter mot behandling av personuppgifter om administra- tiva frihetsberövanden. Sådana uppgifter ingår i dag i tillämpnings- området för 21 § personuppgiftslagen.

8.3Kraven på behandlingen och lagstiftningen

Vi analyserar i denna del de krav som framställs i dataskyddsförord- ningens artikel 10, led för led. Varje underrubrik i det följande motsvarar ett led i artikel 10.

Får endast utföras under kontroll av myndighet

I förarbetena till motsvarande bestämmelser i personuppgiftslagen uttalades bl.a. att myndigheter mycket ofta behöver hantera upp- gifter om lagöverträdelser m.m. för att kunna fullgöra de samhälls- uppdrag som lagts på dem, och att myndigheter får hantera denna typ av uppgifter i sådan mån som framgår av de föreskrifter som reglerar respektive myndighets verksamhet.12 Det framgår inte från förordningen att tillåten behandling är begränsad till behandling i samband med myndighetsutövning. Vår bedömning är därför att behandling även för forskningsändamål under kontroll av myndig- het kan falla in under tillåten behandling enligt huvudregeln. Som alltid gäller dock att kraven i både artikel 5 och 6 måste vara upp- fyllda.

11Dir. 2016:65 s. 11.

12SOU 1997:39 s. 382.

206

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

Eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt

Motsvarande reglering finns i artikel 8.5 i nuvarande dataskydds- direktivet, men direktivet ger endast möjlighet att föreskriva tillå- ten behandling i nationell rätt.

Där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Motsvarande formulering i artikel 8.5 i dataskyddsdirektivet är

”som innehåller lämpliga och specifika skyddsåtgärder”. Det framgår inte om ändringen från ”lämpliga och specifika” till endast ”lämp- liga” är avsedd att utgöra någon reell skillnad. Frågan om direkti- vets ramar för undantag utreddes inte särskilt inför införandet av personuppgiftslagen.13

Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet

Begränsningen av möjligheten till undantag vad gäller förbudet för annan än myndighet att föra fullständigt register över fällande domar i brottmål är i princip oförändrat jämfört med nuvarande data- skyddsdirektiv.14 Det framgår inte på vilket sätt ett register kan vara fullständigt – är ett register som har fällande brottmålsdomar för samtliga domstolar i medlemsstaten under en begränsad tidsperiod

”fullständigt” i förordningens betydelse, eller hur mycket historisk information krävs? Är ett register över samtliga överinstansers fäll- ande brottmålsdomar fullständigt, eller krävs även samtliga under- instanser? Vad gäller svenska förhållanden finns ingen myndighet som har ett fullständigt register om man kräver fullständighet både vad gäller tidsperioder och instanser. Däremot strävar flera kommersi- ella rättsinformationsdatabaser efter att erbjuda samtliga domar.15

13SOU 1997:39 s. 381.

14Lydelsen i artikel 8.5 i nuvarande dataskyddsdirektiv är ”Ett fullständigt register över brott- målsdomar får dock föras endast under kontroll av en myndighet” – jämfört med artikel 10 i dataskyddsförordningen har endast ordet ”dock” strukits.

15Pressmeddelande från InfoTorg: ”Förutom att tjänsten innehåller samtliga domar från de högsta instanserna samt hovrätts- och kammarrättsavgöranden kommer InfoTorg Juridik att under våren 2012 utökas med fler domar från tingsrätterna. Vi får en totalteckning på även brott- och tvistemål vilket är mycket efterfrågat.”, www3.infotorg.se/Kampanjer/Forbattringar-i- InfoTorg-Juridik-2012/

207

Personuppgifter om lagöverträdelser m.m.

SOU 2017:50

I sammanhanget kan även uppmärksammas ”Rådets slutsatser om uppmaning att införa European Case Law Identifier (ECLI) och en minimiuppsättning enhetliga metadata för rättspraxis”,16 som bl.a. förordar att ett gemensamt gränssnitt i den europeiska e-juridikportalen införs, och att det via detta gränssnitt ska vara möj- ligt att göra alla medlemsstaternas tillhandahållna rättsliga avgöranden sökbara.17

8.4Överväganden och förslag

Utredningens förslag: En bestämmelse ska införas i forsknings- datalagen som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straff- processuella tvångsmedel får med stöd av artikel 10 i dataskydds- förordningen behandlas för forskningsändamål av andra än myn- digheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen om etikprövning av forskning som avser människor.

Som framgått behövs kompletterande reglering i nationell rätt för att behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål av andra än myndigheter ska vara möjlig.

Utredningen föreslår därför en bestämmelse i forskningsdata- lagen som tillåter sådan behandling när denna är nödvändig för att uppnå forskningsändamålet. Artikel 10 innehåller inte något krav på att behandlingen ska vara nödvändig, detta följer dock av artikel 6.1 e.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Utred- ningens bedömning av lämplig skyddsåtgärd för behandling av person- uppgifter om lagöverträdelser m.m. för forskningsändamål behand- las i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehand- ling för forskningsändamål.

Tillämpningsområdet för artikel 10 är, som ovan beskrivits, snävare än för nuvarande reglering i 21 § personuppgiftslagen.

16Detta inkluderar bl.a. uppgifter om domstolens fullständiga namn, territoriell behörighet, avgörandedatum, språk, och typen av avgörande.

17EUT C 127, 29.4.2011, s. 1–7, punkt 17.

208

SOU 2017:50

Personuppgifter om lagöverträdelser m.m.

Framför allt faller friande domar i brottmål samt uppgifter om administrativa frihetsberövanden utanför tillämpningsområdet för artikel 10. Att i vår kompletterande reglering till dataskyddsförord- ningen använda tillämpningsområdet för artikel 10 innebär att be- handling av vissa personuppgifter som i dag omfattas av särskilda skyddsåtgärder enligt 21 § personuppgiftslagen inte är förenade med samma skydd. Vi anser inte att en sådan försämring av den registrerades skydd är befogat, även med beaktande av intresset av en harmoniserad reglering av persondataskyddet. Vi anser vidare att det går att införa krav på sådana särskilda skyddsåtgärder även för behandling av uppgifter som faller utanför tillämpningsområdet för artikel 10, med stöd av nationell rätt i form av etikprövningslagen, se utredningens överväganden och förslag i avsnitt 14.4.5.

8.5Sammanfattning

I detta avsnitt har vi behandlat personuppgifter om lagöverträdelser m.m., hur detta begrepp har förändrats gentemot dagens reglering, och vilka förutsättningar som gäller för forskning som innefattar behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en tillåtlighetsregel när sådana personuppgifter behandlas av andra än myndigheter för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.

209

9Personnummer

och samordningsnummer

9.1Inledning

Personnummer eller samordningsnummer utgör formellt sett inte känsliga personuppgifter, men har ända sedan datalagen (1973:289) specialreglerats i samband med personuppgiftsbehandling. Reger- ingen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samkörning av register och liknande, kan uppfattas som integri- tetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.1

För forskningens behov har personnummersystemet möjliggjort inte minst avancerad registerforskning med exempelvis insamlat forskningsmaterial, som tack vare personnummer kan kombineras med information från myndighetsregister, och historiska uppgifter som kan användas för nytillkomna frågeställningar med tillförande av ny information insamlad från de registrerade. Viktiga frågeställ- ningar kan därmed belysas snabbt och kostnadseffektivt med hjälp av redan insamlat material.2 Samtidigt har det utvecklats en praxis som innebär att personnummerhantering omgärdas av omfattande skyddsåtgärder, med registerhållande myndigheter som ofta undvi- ker att lämna ut personnummer direkt till forskare, för att i stället ersätta dessa med exempelvis löpnummer eller andra identifierare som inte kan härledas till personnumret.

1Prop. 1990/91:60 s. 69.

2SOU 2014:45 s. 103.

211

Personnummer och samordningsnummer

SOU 2017:50

9.2Rättsliga förutsättningar

9.2.1Nuvarande reglering

Det nuvarande dataskyddsdirektivet (95/46/EG) innehåller inte några regler om personnummer eller samordningsnummer som är tvingande för medlemsstaterna. Artikel 8.7 i dataskyddsdirektivet anger dock att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller andra vedertagna identifie- rare får behandlas.

Artikel 8.7 har genomförts genom 22 § personuppgiftslagen (1998:204), som anger att personnummer eller samordningsnum- mer endast får behandlas med samtycke eller när det är klart moti- verat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Regeringen har i 50 § c samma lag bemyndigats att meddela närmare föreskrifter om hur och när personnummer eller samordningsnummer får be- handlas.

Det saknas särskild reglering kring behandling av personnum- mer för just forskningsändamål. Personnummer är inte heller en kategori av uppgifter som enligt 3 § lagen (2003: 460) om etikpröv- ning av forskning som avser människor (etikprövningslagen) med- för särskilt krav på etikprövning när personuppgifter behandlas för forskningsändamål.

9.2.2Dataskyddsförordningen

Artikel 87 i dataskyddsförordningen (EU 2016/679) motsvarar arti- kel 8.7 i det nuvarande dataskyddsdirektivet och anger att medlems- staterna får närmare bestämma på vilka särskilda villkor ett natio- nellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Sådana uppgifter får i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder.

9.2.3Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår en generell reglering som motsva- rar dagens bestämmelse i personuppgiftslagen, med identiska krite- rier för när personnummer och samordningsnummer får behandlas.

212

SOU 2017:50

Personnummer och samordningsnummer

Dataskyddsutredningen föreslår även att regeringen ska bemyndi- gas att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten, vilket även det motsvarar det bemyndigande som återfinns i personuppgiftslagen.3

9.3Överväganden

Den reglering som Dataskyddsutredningen föreslår innehåller samma direkt tillämpliga villkor som återfinns i gällande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.

Den föreslagna regleringen innehåller, likt den nuvarande, ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om i vilka fall använd- ning av personnummer är tillåten. Datainspektionen har tidigare inte meddelat sådana föreskrifter, men regeringen har i förordningsform beslutat vissa registerförfattningar som särskilt anger att person- nummer får behandlas.

Vi gör bedömningen att rättsläget för användning av person- nummer för forskningsändamål inte ändras i och med Dataskydds- utredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnum- mer ska vara tillåten, och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar eller för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.

9.4Sammanfattning

Beroende på forskningens inriktning och metodik kan behandling av personnummer vara central. Samtidigt har behandling av person- nummer sedan länge betraktats som något som om möjligt bör und- vikas av integritetshänsyn.

Utredningen anser att den reglering som Dataskyddsutred- ningen föreslår, och som väsentligen överensstämmer med dagens

3 SOU 2017:39 avsnitt 12.4.

213

Personnummer och samordningsnummer

SOU 2017:50

reglering, är ändamålsenlig och att de villkor som ställs upp för när behandling av personnummer är tillåten även stämmer överens med forskningens generella behov.

Utredningen finner därför inte något behov av att föreslå kom- pletterande lagstiftning i denna del.

214

10Vissa begränsningar

av registrerades rättigheter

10.1Inledning

I tredje kapitlet (artiklarna 12–23) i dataskyddsförordningen (EU 2016/679) anges den registrerades rättigheter i samband med att personuppgifter behandlas. Dessa rättigheter kan under vissa förut- sättningar begränsas.

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstift- ningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som av- ses i artikel 89.1.

10.1.1Utredningens uppdrag

Det är av stor vikt att bestämmelserna som reglerar personuppgifts- behandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter beaktas. Detta för att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Utredningen har mot denna bakgrund i uppdrag att analysera om det, utöver den generella reglering på nationell nivå som Data- skyddsutredningen (Ju 2016:04) föreslår, finns ett behov av undan- tag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för forskningsändamål och hur sådana undantag i så fall bör utformas.

215

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

10.1.2Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår undantag från registrerades rättig- heter med stöd av två olika artiklar i dataskyddsförordningen.

För det första har Dataskyddsutredningen analyserat behovet av att göra undantag i syfte att säkerställa vissa särskilt viktiga intressen i enlighet med artikel 23.1. Det rör sig om undantag för den natio- nella säkerheten (punkt a), försvaret (punkt b), den allmänna säker- heten (punkt c), åtgärder med anknytning till brottsbekämpning (punkt d), viktiga mål av generellt allmänt intresse (punkt e), skydd av rättsväsendet (punkt f), etiska regler för lagreglerade yrken (punkt g), vissa tillsyns-, inspektions- eller regleringsfunktioner (punkt h), skydd av den registrerades eller andras rättigheter och friheter (punkt i) samt verkställighet av civilrättsliga krav (punkt j).

Med stöd av ovanstående föreslår Dataskyddsutredningen gene- rella undantag från rätten till tillgång för uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade, att rätten till registerutdrag inte ska omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning (med vissa undantag), samt att regeringen ska bemyndigas att meddela före- skrifter om ytterligare undantag från vissa av förordningens skyl- digheter och rättigheter.1

För det andra har Dataskyddsutredningen analyserat behovet av undantag från registrerades rättigheter enligt artikel 89.2 och 89.3 när personuppgifter behandlas för statistiska ändamål respektive arkivändamål av allmänt intresse.

Vad gäller behandling för statistiska ändamål finner Dataskydds- utredningen att det inte bör införas något generellt undantag från registrerades rättigheter, samt uttalar att vid behov, och om det be- döms vara lämpligt, bör sådana undantag i stället införas i sektors- specifika författningar.

Vad gäller behandling för arkivändamål föreslår Dataskydds- utredningen att rätten till s.k. registerutdrag inte heller i fortsätt- ningen bör omfatta personuppgifter i arkivmaterial som tagits emot för förvaring av Riksarkivet eller andra arkivmyndigheter, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna sådan information. Vidare föreslår man

1 SOU 2017:39 avsnitt 13.4.

216

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

att en arkivmyndighet inte ska behöva rätta eller komplettera person- uppgifter i arkivmaterial som tagits emot för förvaring av myndig- heten, eller behöva begränsa behandlingen av personuppgifterna. Slutligen föreslår man att rätten att göra invändningar inte ska gälla vid arkivmyndigheters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.2 Dataskyddsutred- ningen föreslår att dessa undantag från registrerades rättigheter in- förs i svensk lagstiftning med stöd av artikel 89.3.

10.2Rättsliga förutsättningar

Detta avsnitt inleds med en översikt över i vilken utsträckning det är möjligt att i nationell rätt göra undantag från de rättigheter som enligt dataskyddsförordningens tredje kapitel tillkommer de registre- rade. Dessa motsvarar till stor del de rättigheter som anges i det nu- varande dataskyddsdirektivet (95/46/EG) samt personuppgiftslagen (1998:204).

Vad gäller just behandling för forskningsändamål finns grunden för undantag i bl.a. nationell lagstiftning i artikel 89.2 i dataskydds- förordningen, som ger en möjlighet att göra undantag i vissa, upp- räknade, rättigheter. Även i det nuvarande dataskyddsdirektivet och i personuppgiftslagen finns möjligheten att göra undantag från dessa rättigheter för bl.a. forskningsändamål.

Avsnittet avslutas med en genomgång av vilka direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter som följer direkt av dataskyddsförordningen.

10.2.1Möjligheter att göra undantag från vissa rättigheter i nationell rätt

De rättigheter som omfattas av möjligheten till undantag i nationell rätt genom artikel 89.2 i dataskyddsförordningen är följande.

Rätt till tillgång (tidigare ofta kallad rätt till registerutdrag). Enligt artikel 15 har den enskilde rätt att få veta om den personuppgifts- ansvarige behandlar uppgifter om den enskilde, och i så fall vilka uppgifter som behandlas, samt annan information om behand- lingen.

2 SOU 2017:39 avsnitt 14.4.5.

217

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Rätt till rättelse. Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter rättade, och även att få ofullständiga personuppgifter kompletterade.

Rätt till begränsning av behandling (motsvarar vad som tidigare kallats blockering). Enligt artikel 18 har den registrerade i vissa uppräknade situationer rätt att begära att behandlingen av dennes uppgifter begränsas. Enligt artikel 4.3 avses med uttrycket ”be- gränsning av behandling” att lagrade personuppgifter markeras med syftet att begränsa behandlingen av dessa i framtiden.3

Rätt att göra invändningar. Enligt artikel 21 har den registrerade rätt att göra invändningar mot behandling av dennes personupp- gifter på vissa rättsliga grunder, bl.a. allmänt intresse, av skäl som hänför sig till den registrerades specifika situation.

Undantag från dessa rättigheter får enligt artikel 89.2 endast före- skrivas i den utsträckning som sådana rättigheter sannolikt kom- mer att göra det omöjligt eller mycket svårare att uppfylla de sär- skilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Även vissa av de övriga rättigheterna kan påverkas av regler i nationell rätt. Den rätt till information som den registrerade har när personuppgifterna inte erhållits från denne enligt artikel 14 ska inte tillämpas i den mån erhållande eller utlämnande av uppgifter föreskrivs i bl.a. nationell rätt, eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt (inbegripet lagstad- gad sekretess) enligt bl.a. nationell rätt. Utöver detta innehåller artikel 14.5 även direkt tillämpliga undantag som behandlas i följ- ande underavsnitt.

Rätten till radering enligt artikel 17 ska inte gälla i den utsträck- ning behandlingen är nödvändig för att uppfylla bl.a. en rättslig förpliktelse. Även denna artikel innehåller i 17.3 direkt tillämpliga undantag vilka behandlas i det följande.

Rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering enligt artikel 22,

3 Detta kan framstå som en cirkeldefinition. Den engelska språkversionen definierar mot- svarande uttryck på följande sätt: ”’restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future”.

218

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

ska inte tillämpas om ett sådant beslut är tillåtet i bl.a. nationell rätt och denna reglering fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.

10.2.2Direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter

Vissa av de registrerades rättigheter, så som de anges i artiklarna 13–22 har direkt tillämpliga undantag i själva förordningen. När sådana undantag finns anges de i sista punkten i respektive artikel.

När personuppgifterna samlas in från den registrerade har denne rätt att bli informerad i enlighet med artikel 13. Denna rättighet ska dock inte tillämpas om den registrerade redan förfogar över denna information.

När personuppgifterna som behandlas inte har erhållits från den registrerade har denne rätt till information i enlighet med artikel 14. I artikelns punkt 5 anges dock ett stort antal undantag från den rättigheten, exempelvis om ett sådant tillhandahållande av informa- tion visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vad gäller behandling för bl.a. forsknings- ändamål. När det är fråga om forskning baserad på befolknings- register kan antalet registrerade vara mycket stort, eller baseras på uppgifter insamlade långt innan de ska användas i forskningen, och därför göra ett tillhandahållande oproportionerligt ansträngande. I praktiken har etikprövningsnämnder i vissa sådana fall meddelat villkor att information om behandlingen ska spridas på annat sätt, exempelvis genom annonsering eller via forskningsprojektets hem- sida.

Rätten att bli raderad enligt artikel 17 innehåller en direkt tillämplig möjlighet till undantag om det är nödvändigt för bl.a. forsknings- ändamål (artikel 17.3 d).

Slutligen saknas helt möjlighet att i nationell lagstiftning göra undantag från den personuppgiftsansvariges anmälningsskyldighet (artikel 19) samt rätten till dataportabilitet (artikel 20) när uppgifter behandlas för forskningsändamål. När uppgifter behandlas för arkiv- ändamål kan nationell lagstiftning dock innehålla undantag från även dessa skyldigheter och rättigheter (artikel 89.3).

219

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

10.2.3Rättigheter när den enskilde inte kan identifieras

En viktig och direkt tillämplig grundregel i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den regi- strerade endast i syfte att följa förordningen (artikel 11, jfr även skäl 57). Det är vanligt att det saknas direkt identifierande uppgif- ter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en identifierad person behandlas.

Enligt andra punkten i artikel 11 ska den personuppgiftsansvarige, om denne kan visa att han eller hon inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. Denna informationsskyldighet får antas röra det fall när den registre- rade kontaktar den personuppgiftsansvarige i syfte att utöva sina rättigheter.

Om den personuppgiftsansvarige kan visa att denne inte är i stånd att identifiera den registrerade ska artiklarna 15–20 inte gälla, förutom om den registrerade tillhandahåller ytterligare infor- mation som gör identifieringen möjlig.

10.2.4Andra möjligheter till undantag för särskilda ändamål

Det är möjligt att i nationell lagstiftning begränsa tillämpnings- området för de skyldigheter och rättigheter som föreskrivs i bl.a. kapitel 3 med stöd av artikel 23.1. Detta under förutsättning att sådana begränsningar sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa i artikeln uppräknade mål. Forskningsändamål och närliggande mål återfinns inte i denna uppräkning, även om forsk- ning i vissa fall torde utgöra ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e. Som angivits ovan har Dataskyddsutred- ningen funnit anledning att med stöd av artikel 23.1 föreslå ett antal bestämmelser som begränsar de registrerades rättigheter i viss ut- sträckning.

220

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

10.3De aktuella rättigheterna, och behov av att göra undantag från dem

10.3.1Artikel 15 – Rätt till tillgång (registerutdrag)

Innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på huruvida person- uppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna, samt även bl.a. information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förord- ningen som en ”rätt till tillgång”. Motsvarande rättighet i dataskydds- direktivet och personuppgiftslagen har, utifrån den äldre datalagens (1973:289) begreppsanvändning, betecknats som en rätt till register- utdrag.4

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska ge denne bekräftelse på huruvida person- uppgifter som rör honom eller henne behandlas och i så fall förse honom eller henne med en kopia av uppgifterna, samt viss, i arti- keln föreskriven, information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personupp- giftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektro- niskt format som är allmänt använt, om den registrerade inte begär något annat (dock ska denna rätt inte inverka menligt på andras rättigheter och friheter). Denna rätt bör kunna utövas av den regi- strerade med rimliga intervall (skäl 63). Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får dock den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5).

4 Prop. 1997/98:44 s. 80.

221

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Nuvarande reglering

En motsvarande rättighet regleras i artikel 12 i det nuvarande data- skyddsdirektivet, vilken har genomförts genom 26 § personupp- giftslagen. Dataskyddsförordningens reglering innebär i jämförelse med äldre bestämmelser en utökad rätt till information om lagrings- tid, rätten till rättelse, radering, begränsning av behandling och in- vändning mot behandling, rätten att inge klagomål till en tillsyns- myndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3) Någon motsva- rande angiven tidsgräns finns inte angiven i det nuvarande data- skyddsdirektivet, som endast anger att informationen ska ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § person- uppgiftslagen angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

Behov av undantag

Utredningens bedömning: Det behövs inga ytterligare undan- tag från rätten till tillgång utöver de undantag som Dataskydds- utredningen föreslår när personuppgifter behandlas för forsk- ningsändamål.

Rätten till tillgång gäller, som ovan angivet, inte om den person- uppgiftsansvarige kan visa att denne inte kan identifiera den en- skilde, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade uppgifter.

222

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

I samband med viss forskning kan det tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få ut de uppgifter som behandlas. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om av skäl som hänför sig till pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter torde regelmässigt om- fattas av sekretess med stöd av 25 kap. offentlighets- och sekretess- lagen (2009:400) (OSL). Det kan också vara fråga om information som kräver tolkning för att bli begriplig för den registrerade och där sådant tolkningsbistånd skulle innebära en oproportionerlig an- strängning för den personuppgiftsansvarige.

Det bör understrykas att den enskilde i motsvarande situation i samband med sjukvård inte alltid har en ovillkorlig rätt att få till- gång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL).

Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskydds- förordningen följer att den personuppgiftsansvarige inte på eget initiativ behöver tillhandahålla information till den registrerade om uppgifterna omfattas av sekretess eller tystnadsplikt. Som ovan an- givet föreslår Dataskyddsutredningen en motsvarande reglering för rätten till tillgång enligt artikel 15. Enligt det föreslagna undantaget ska artikel 13–15 inte gälla sådana uppgifter som den personupp- giftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.5

I andra situationer, där det går att identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sina rättigheter, gör utredningen bedömningen att denna rättighet kan och bör respekteras.

5 SOU 2017:39 avsnitt 13.4.1.

223

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Med hänsyn till den befintliga sekretessregleringen, som med Dataskyddsutredningens förslag gäller framför denna rätt till tillgång, gör utredningen bedömningen att inget ytterligare behov av begräns- ning av denna rättighet finns.

10.3.2Artikel 16 – Rätt till rättelse

Innehållet i rättigheten

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Det finns också en möjlighet att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande yttrande. I samman- hanget bör uppmärksammas att korrekta och om nödvändigt upp- daterade uppgifter är en förutsättning för laglig behandling enligt artikel 5.1 d i dataskyddsförordningen.

Nuvarande reglering

En motsvarande rättighet framgår av artikel 12 b i det nuvarande dataskyddsdirektivet, vilken har genomförts i 28 § personuppgifts- lagen. Enligt denna reglering är den personuppgiftsansvarige skyl- dig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Enligt 9 § g personuppgiftslagen krävs att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Denna grundläggande del av rättigheten är alltså oförändrad i data- skyddsförordningen gentemot tidigare reglering.

Den rätt för den registrerade att komplettera ofullständiga upp- gifter genom exempelvis ett kompletterande yttrande är dock ny i förhållande till dataskyddsdirektivet.

224

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

Behov av undantag

Utredningens förslag: Den registrerades rätt till rättelse när personuppgifter behandlas för forskningsändamål ska inte gälla för sådana personuppgifter som behandlats för forskningsända- mål när personuppgifterna endast bevaras i syfte att dokumen- tera utförd forskning.

En utgångspunkt för utredningens bedömning är att forskning ska utgå från korrekt information. Rätten till rättelse är därför även i forskningens intresse. Det finns dock aspekter som kan göra ut- övandet av denna rättighet komplicerad.

Den första aspekten är att det kan föreligga oenighet mellan den registrerade och den personuppgiftsansvarige om vad som egentligen är en korrekt uppgift. Risken för detta ökar ju mer uppgifterna innefattar subjektiva bedömningar. Det är viktigt att rätten till rättelse inte innebär en rätt för den registrerade att diktera vilka uppgifter som ska behandlas om denne. Korrektheten måste kunna verifieras.6 Det bör vara den personuppgiftsansvarige, som är den som bestämmer ändamålen och medlen för behandlingen av person- uppgifter, som har att ställa upp krav kring de riktlinjer som ska användas för att avgöra vilka objektiva kriterier som ska tillämpas för att fastställa en uppgifts korrekthet. Med denna tolkning av rätten till rättelse föreligger inget ytterligare behov av att begränsa densamma.

Den andra aspekten är att för forskningsprojekt som är avslu- tade och där resultaten är publicerade, finns det ändå ett behov av att bevara det forskningsmaterial, inklusive personuppgifter, som resultaten baserat sig på. Det tillhör god forskningssed att doku- mentera sin forskning så att den kan granskas i efterhand.7 Riks- arkivet har meddelat föreskrifter och allmänna råd om gallring av allmänna handlingar i statliga myndigheters forskningsverksamhet, som anger att en förutsättning för att gallra handlingar i forsk- ningsverksamhet är att handlingar inte gallras innan rimlig tid har

6I samband med detta bör uppmärksammas rättigheten till begränsning av behandling under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgif- terna är korrekta (artikel 18.1 a, se nedan).

7Se SOU 2017:10 s. 188.

225

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

förflutit för att det ska ha funnits möjlighet att granska handlingar för att verifiera forskningsresultat.8 Att tillåta rättning i sådant arki- verat forskningsmaterial skulle avsevärt försvåra verifiering, och därmed strida mot syftet att bevara forskningsmaterialet.

Dataskyddsutredningen föreslår en bestämmelse som anger att en arkivmyndighet inte behöver rätta eller komplettera personupp- gifter enligt artikel 16 när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. Tillämpningsområ- det för den av Dataskyddutredningen föreslagna bestämmelsen är begränsat till arkivmyndigheter.

Forskningsaktörer kommer i många fall att ha behov av att inom sin egen organisation bevara forskningsmaterial som innehåller per- sonuppgifter. Eftersom sådant bevarande inte täcks av Dataskydds- utredningens förslag finns det därför ett behov av en begränsning av rätten till rättelse vad gäller sådana personuppgifter som bevaras under längre perioder än vad som är nödvändigt för de primära forskningsändamål för vilka personuppgifterna behandlats, när detta bevarande sker i syfte att dokumentera den utförda forskningen, för att exempelvis verifiering av forskningsresultat ska vara möjlig. Denna begränsning ska enbart vara tillämplig när forskningen i någon mening är utförd så att den nått den nivå av färdigställande att det skulle strida mot god forskningssed att ändra forsknings- materialet. Det kan exempelvis vara fråga om resultat som lämnats för publicering i en vetenskaplig tidskrift. Bevarandet får då anses ske för forskningsändamål, oavsett om personuppgifterna anses vara arkiverade eller ej.

I forskningssammanhang, där material som har legat till grund för forskningsresultat som har publicerats eller som av annat skäl måste kunna verifieras, även lagras och behandlas i syfte att uppnå nya, framtida forskningsresultat (exempelvis i en databas som upp- dateras löpande) är begränsningen av rätt till rättelse inte lika själv- klar. För att uppnå målet att verifiering ska vara möjlig och sam- tidigt säkerställa att ny forskning utgår från korrekt information bör den personuppgiftsansvarige se till att data lagras så att det exempelvis är möjligt att ta fram materialet så som det såg ut vid en viss tidpunkt, även om uppgifter har ändrats eller tillkommit vid senare tillfällen. Detta kan ske genom att en ändringshistorik för

8 8 § RA-FS 1999:1.

226

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

varje enskild uppgift lagras. En sådan lösning bör enligt vår bedöm- ning vara förenlig med den grundläggande rätten till rättelse i aktu- ellt forskningsmaterial samtidigt som den möjliggör replikering ut- ifrån arkiverat forskningsmaterial.

10.3.3Artikel 18 – Rätt till begränsning av behandling

Innehållet i rättigheten

Den registrerade har enligt artikel 18.1 en rätt att av den person- uppgiftsansvarige kräva att behandlingen begränsas om någon av följande förutsättningar är uppfyllda.

a)Om den registrerade bestrider personuppgifternas korrekthet.

b)Om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c)Om den personuppgiftsansvarige inte längre behöver person- uppgifterna för ändamålen med behandlingen men den registre- rade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)Om den registrerade har invänt mot behandling i enlighet med artikel 21.1.

Rättigheten medför alltså inte en generell möjlighet för den regi- strerade att begränsa behandling av personuppgifter i exempelvis hälsodataregister eller myndighetsregister, utan det krävs att någon av de fyra förutsättningarna är uppfyllda. Med begränsning av be- handling avses enligt artikel 4.3 att markera lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Av artikel 18.2 framgår vidare att begränsningen innebär att person- uppgifter, med undantag för lagring, endast får behandlas med den registrerades samtycke eller för rättsliga anspråk, annans rättigheter eller för viktiga allmänintressen.

227

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

Nuvarande reglering

I förhållande till det nuvarande dataskyddsdirektivet innebär artikel 18.1 bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.

Rätten till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämns som blockering och som genomförts genom 28 § personuppgiftslagen (samt defi- nierats i 3 § samma lag).

Det nuvarande dataskyddsdirektivets reglering av dessa rättig- heter är inte lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registre- rad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, ut- plånade eller blockerade, särskilt om dessa är ofullständiga eller fel- aktiga. Enligt artikel 12 c ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

Behov av undantag

Utredningens förslag: När personuppgifter behandlas för forsk- ningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personupp- gifterna är korrekta.

Detsamma ska gälla när den registrerade invänder mot be- handlingen, i väntan på kontroll av huruvida den personupp- giftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

228

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

Rätten till begränsning av behandling syftar till att skydda den regi- strerades rättigheter eller övriga intressen vid felaktig eller miss- tänkt felaktig behandling. Genom att få personuppgiftsbehand- lingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Led a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgifts- ansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Led b och c i samma författning ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansva- rige att radera uppgifterna.

Att hindra den personuppgiftsansvarige från att radera uppgif- terna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behand- lingen. Utredningen bedömer därför inledningsvis att det saknas rättsliga förutsättningar till att införa ett undantag från artikel 18.1 b och c.

Rättigheten att begränsa behandling av personuppgifter under tiden den personuppgiftsansvarige kontrollerar om det i det kon- kreta fallet föreligger en rätt till rättelse eller till invändning (artikel 18.1 a) medför i praktiken att uppgifterna är undantagna från vidare behandling under denna utredningsperiod. Samma sak gäller under väntan på kontroll av huruvida den personuppgiftsansvariges be- rättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).

Effekten av att enskilda personers uppgifter är undantagna från behandling i forskningen under en period kan medföra skevhet (bias) i materialet som forskningen utförs med användning av under samma period, eller, om forskningen inriktas på att under- söka material som kan hänföras till en eller ett fåtal enskilda perso- ner, att forskningen omöjliggörs.9 Denna risk minskar ju fler indivi- der som forskningsmaterialet omfattar, men kan variera med hur forskningsprojektet utformats. Risken ökar i motsvarande mån ju fler individer som åberopar rättigheten Beroende på vilket stadium som forskningen befinner sig i kan detta i undantagsfall göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet,

9 Exempelvis om den tilltalade i ett mål i Högsta domstolen vill begränsa behandlingen och därmed blockerar möjligheten att göra en rättsvetenskaplig analys av rättsfrågan i målet.

229

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

särskilt om det tar lång tid att utreda personuppgifternas korrekt- het.

Utredningen gör därför bedömningen att det bör införas ett be- gränsat undantag från denna rättighet, vilket medför att person- uppgifter inte behöver blockeras med stöd av artikel 18.1 a eller d. Begränsningen ska dock endast vara tillämplig om en sådan blocker- ing skulle medföra att ett pågående forskningsprojekt inte kan ut- föras eller på ett avgörande sätt försenas eller försvåras. Det är den personuppgiftsansvarige som har att visa att sådana förutsättningar föreligger.

10.3.4Artikel 21 – Rätt att göra invändningar

Innehållet i rättigheten

Den registrerade har enligt artikel 21.1 rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respek- tive myndighetsutövning) eller f (intresseavvägning). Den person- uppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Enligt artikel 21.6 ska dock den registrerade endast ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse när personuppgifter be- handlas för bl.a. forskningsändamål.

Artikelns lagtekniska konstruktion innebär att huvudregeln i artikel 21.1 begränsar regelns tillämpningsområde till bara sådan behandling som sker med stöd av artikel 6.1 e eller f. Specialregeln för bl.a. forskningsändamål i artikel 21.6 är i stället utformad så att dess tillämpningsområde är behandling som sker med annat stöd än den del av artikel 6.1 e som rör allmänt intresse. Det framgår inte tydligt om tillämpningsområdet för artikel 21.6 är tänkt att utgå från tillämpningsområdet för artikel 21.1 eller om den ska läsas fri- stående.

Detta tolkningsproblem leder till två tänkbara omfång för tillämp- ningsområdet av artikel 21.6. Läser man den tillsammans med arti-

230

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

kel 21.1 innebär det att den registrerade skulle kunna ha rätt att göra invändningar enbart när behandlingen sker med stöd av intresse- avvägning (artikel 6.1 f) eller myndighetsutövning (den del av arti- kel 6.1 e som inte omfattar uppgift av allmänt intresse). Läser man den i stället fristående skulle den registrerade kunna ha rätt att göra invändningar när behandlingen sker med stöd av samtliga rättsliga grunder som anges i artikel 6.1, inklusive bl.a. samtycke, förutom allmänt intresse.

Vi bedömer att artiklarna bör läsas tillsammans, och att tillämp- ningsområdet för rättigheten vid personuppgiftsbehandling för forskningsändamål därmed är begränsat till de fall där behandlingen sker med stöd av intresseavvägning eller myndighetsutövning. Vid- are ska en intresseavvägning mellan den personuppgiftsansvariges berättigade skäl och den registrerades berättigade skäl göras i enlig- het med artikel 21.1, även när artikel 21.6 tillämpas. Vid denna be- dömning har vi beaktat att förordningens artiklar, särskilt vad gäller rättigheterna i artikel 12–22, ofta är uppbyggda så att en huvudregel anges i artikelns första punkt, som sedan preciseras eller görs undan- tag från i följande artiklar. Forskning specialregleras även på flera ställen i förordningen på så sätt att flera bestämmelser som utgör skydd för den registrerade inte ska tillämpas eller endast tillämpas i begränsad utsträckning när det är fråga om behandling för forsk- ningsändamål (se allmänt den strukturerade genomgången av för- ordningen i bilaga 3). Det framstår då inte som motiverat att just detta skydd för den registrerade skulle vara mer vidsträckt när det är fråga om forskningsändamål än för andra ändamål.

Nuvarande reglering

I det nuvarande dataskyddsdirektivet regleras rätten att göra in- vändningar i artikel 14 a. Av bestämmelsen framgår att medlems- staterna ska tillförsäkra den registrerade en rätt att när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation, motsätta sig behandling av personuppgifter som rör honom eller henne, åtminstone i de fall behandlingen sker med stöd av grun- derna allmänt intresse, myndighetsutövning eller intresseavvägning.

Regleringen i dataskyddsförordningen skiljer sig alltså från den i dataskyddsdirektivet på så sätt att det inte längre är den registre-

231

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

rade som ska ha berättigade skäl, utan i stället den personuppgifts- ansvarige som ska kunna redogöra för varför behandlingen ska få äga rum.

Till skillnad från dataskyddsförordningen ställer dataskydds- direktivet inte upp några särskilda villkor på sådan nationell lag- stiftning som innehåller undantag från rätten att motsätta sig be- handlingen.

Behov av undantag

Utredningens bedömning: Det behövs inga ytterligare undan- tag från rätten att göra invändningar när uppgifter behandlas för forskningsändamål.

I avsnitt 12.4.2 föreslår vi som skyddsåtgärd att den registrerade ska ha rätt att motsätta sig personuppgiftsbehandling. En sådan rätt har stora likheter med rätten att göra invändningar enligt artikel 21. För att bedöma om det finns ett behov av att göra undantag från rätten att göra invändningar måste vi därför först se om denna rätt i något avseende går längre än vår föreslagna rätt att motsätta sig personuppgiftsbehandling. Om vår föreslagna skyddsåtgärd i alla avseenden skyddar den registrerade på samma sätt som rätten att göra invändningar så kan det inte finnas något behov av att göra undantag från den senare.

Som utgångspunkt ger vår föreslagna skyddsåtgärd en rätt att motsätta sig behandling ovillkorligt, till skillnad från rätten att göra invändningar enligt artikel 21.1. Vårt förslag är dock förenat med vissa undantag, exempelvis om det visar sig vara omöjligt eller med- föra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas.

Rätten att göra invändningar när personuppgifter behandlas för forskningsändamål är avhängig med vilken rättslig grund som själva personuppgiftsbehandlingen utförs. I praktiken kommer person- uppgiftsbehandling för forskningsändamål ske med stöd av artikel 6.1 a (samtycke), e (allmänt intresse) eller f (intresseavvägning). Vi behandlar därför enbart dessa tre rättsliga grunder i det nedanstå- ende.

232

SOU 2017:50

Vissa begränsningar av registrerades rättigheter

Rätten att göra invändningar gäller enligt artikel 21.6 inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Vi har i avsnitt 5.5.2 föreslagit att det i forskningsdata- lagen ska framgå att personuppgifter får behandlas för forsknings- ändamål med stöd av artikel 6.1 e om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. I de fall forskningen utförs med denna rättsliga grund finns alltså inte någon rätt att invända mot behandlingen, och därmed inte heller något behov av att begränsa den.

I de fall där grunden för personuppgiftsbehandlingen i stället är den registrerades samtycke finns inte heller någon rätt för den regi- strerade att invända mot behandlingen, utöver den rätt att dra till- baka samtycket som följer av artikel 7.3.

Enligt vår tolkning av artikel 21 finns det dock en rätt för den registrerade att invända mot behandlingen när denna sker med stöd av intresseavvägning enligt artikel 6.1 f. Denna rättsliga grund är enligt andra stycket samma punkt inte tillämplig för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom behandling då inte får utföras saknar den registrerades rätt att invända mot behandlingen i dessa fall betydelse.

För sådan forskning som utförs av andra forskningsaktörer än offentliga myndigheter med stöd av intresseavvägning har dock den enskilde en rätt att invända. Intresseavvägningen ska göras mellan å ena sidan den personuppgiftsansvariges eller en tredje parts berätti- gade intressen och å andra sidan den registrerades intressen eller grundläggande rättigheter och friheter. Om den registrerade invän- der mot behandlingen får detta anses tala för att behandlingen stri- der mot den registrerades intressen. Det kan därför inte anses nöd- vändigt att göra någon begränsning i den registrerades rätt att in- vända i dessa fall.

Sammantaget bedömer vi att det inte finns något sammanhang där det är motiverat att begränsa den registrerades rätt att göra in- vändningar.

233

Vissa begränsningar av registrerades rättigheter

SOU 2017:50

10.4Sammanfattning

I detta kapitel har vi gjort en bred beskrivning av de rättigheter som tillkommer de registrerade enligt dataskyddsförordningen, de möjligheter som förordningen ger att inskränka dessa möjligheter, och vilka inskränkningar som Dataskyddsutredningen föreslår.

Vi har sedan analyserat de fyra olika rättigheter som enligt arti- kel 89.2 kan begränsas för personuppgiftsbehandling för forsk- ningsändamål.

För två av dessa – rätten till rättelse och rätten till begränsning av behandling – föreslår vi vissa begränsningar i forskningsdata- lagen.

Rätten till rättelse ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i syfte att dokumentera utförd forskning. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätten till begränsning av behandling när den registrerade be- strider uppgifternas korrekthet ska inte gälla under den utrednings- tid som krävs för att kontrollera om personuppgifterna är korrekta eller, när denne invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl, om detta medför att forsk- ningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Det saknas behov av undantag från rätten till tillgång när person- uppgifter behandlas för forskningsändamål, utöver vad Dataskydds- utredningen föreslagit, samt från rätten att göra invändningar.

234

11 Tillsyn och sanktioner

11.1Inledning

Utredningen har vad gäller tillsyn och sanktioner inget specifikt upp- drag att analysera vilket behov av kompletterande nationell reglering som behövs utöver vad som framgår direkt av dataskyddsförord- ningen (EU 2016/679) och Dataskyddsutredningens (Ju 2016:04) förslag till kompletterande reglering. Eftersom vi har att föreslå en reglering som ska möjliggöra en ändamålsenlig personuppgiftsbehand- ling med avseende på forskning, samtidigt som den skyddar den enskildes fri- och rättigheter, är det dock utredningens övergrip- ande uppdrag att göra en så heltäckande analys av regelverket som möjligt. Utredningen har därmed att analysera vilken reglering som är möjlig och kan behövas utöver den generella reglering som Data- skyddsutredningen föreslår. I det följande kommer därför frågorna om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål att behandlas översiktligt.

11.2Tillsyn

Av artikel 28 i det nuvarande dataskyddsdirektivet (95/46/EG) följer att medlemsstaterna ska utse en eller flera myndigheter som har till uppgift att inom medlemsstatens territorium övervaka tillämpningen av de bestämmelser som följer av direktivet. Sverige har genom 2 § personuppgiftsförordningen (1998:1191) fastställt att det är Data- inspektionen som är tillsynsmyndighet enligt personuppgiftslagen (1998:204). Artikel 28 i det nuvarande dataskyddsdirektivet mot- svaras av artikel 51.1 i dataskyddsförordningen, som utöver språk- liga förändringar har motsvarande innebörd.

235

Tillsyn och sanktioner SOU 2017:50

Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) har föreslagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen.1 I betänkandet redovisar utredningen även följande bedömning avseende tillsyns- myndighetens befogenheter enligt dataskyddsförordningen:

Förordningens uppräkning av vilka befogenheter en tillsynsmyndighet ska ha är omfattande och såvitt vi kan bedöma tillräckliga för att myndig- heten ska kunna fullgöra sina uppgifter. På grundval av det vi i dag kän- ner till och kan överblicka saknas det därmed behov av att på nationell nivå föreskriva att Datainspektionen ska ha ytterligare befogenheter utöver dem som följer av förordningen.2

Dataskyddsutredningen föreslår i linje med detta att Datainspektio- nen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den nationella dataskyddslagen, som kompletterar dataskydds- förordningen på generell nivå, genom en bestämmelse i 3 § i den nationella förordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskydds- utredningens bedömning är att en reglering i vilken Datainspek- tionen utses till tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av de andra nationella författ- ningar som kompletterar dataskyddsförordningen.3

Tillsynsmyndighetens befogenheter återges i artikel 58 i data- skyddsförordningen. Bestämmelsen i artikel 58 avser enligt dess lydelse endast tillsynen över tillämpningen av förordningens bestäm- melser. Det är Dataskyddsutredningens bedömning att för att för- ordningens intentioner ska få fullt genomslag krävs att tillsyns- myndigheten kan vidta samma åtgärder vid sin tillsyn över tillämp- ningen av de nationella bestämmelser som kompletterar förord- ningen. Dataskyddsutredningen föreslår därför en bestämmelse i dataskyddslagen som anger att de befogenheter som tillsyns- myndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.4

1SOU 2016:65 s. 142 f.

2A.a. s. 157.

3SOU 2017:39 avsnitt 6.4.3.

4A.a. avsnitt 19.5.3.

236

SOU 2017:50

Tillsyn och sanktioner

Eftersom vår föreslagna forskningsdatalag kompletterar data- skyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen- heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

I sammanhanget finns dock anledning att även belysa vilket till- synsansvar som föreligger för etikprövningslagen, vilken anknyter till vår föreslagna forskningsdatalag. Av 34 § etikprövningslagen framgår att Centrala etikprövningsnämnden har tillsyn över efterlevnaden av etikprövningslagen och föreskrifter som har meddelats med stöd av lagen, utom i de fall tillsynen faller inom någon annan myndig- hets ansvarsområde. I förarbetena pekas bland annat Datainspek- tionen ut.5 Detta innebär att en gränsdragning vad gäller tillsyn be- höver göras vid tillsyn av forskning som omfattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. och som därigenom kräver etikgodkännande.

Utredningen om tillsynen över den personliga integriteten har analyserat det befintliga tillsynsansvaret över etikprövningslagen och gränsdragningen mellan Centrala etikprövningsnämndens och Datainspektionens ansvar. Den utredningen gör i sitt betänkande följande bedömning:

Om personuppgifter behandlas inom forskning på ett sådant sätt att personuppgiftslagens bestämmelser blir tillämpliga kan och bör Data- inspektionen utöva tillsyn över behandlingen. Är det exempelvis fråga om känsliga personuppgifter och behandlingen sker med stöd av 19 § personuppgiftslagen, kan Datainspektionen kontrollera om någon etik- prövning har skett. Detta är enligt bestämmelsen en förutsättning för att behandlingen ska få ske. Om etikprövning krävs men något etik- godkännande inte har lämnats av en etikprövningsnämnd, kan Data- inspektionen förelägga den personuppgiftsansvariga att upphöra med behandlingen, eftersom den då strider mot personuppgiftslagen. Det- samma gäller om ett etikprövningsgodkännande har lämnats med vill- koret att behandlingen förutsätter den enskildes samtycke men något samtycke inte har lämnats. Gemensamt för dessa frågeställningar är att syftet är att granska om den personuppgiftsbehandling som utförs inom ramen för forskningen är förenlig med personuppgiftslagen. Är det i stället fråga om exempelvis att ta ställning till om forskningen i fråga behöver godkännas genom etikprövning eller om forskningen bedrivs i enlighet med ett gällande etikprövningsbeslut är Centrala etikprövnings-

5 Prop. 2002/03:50 s. 163 f.

237

Tillsyn och sanktioner

SOU 2017:50

nämnden, vars huvuduppgift är att utöva tillsyn över att forskning som avser människor bedrivs i enlighet med etikprövningslagen, den myndig- het som är bäst lämpad att avgöra sådana frågor. Detta gäller även om den aktuella forskningen innefattar behandling av personuppgifter.6

Enligt Utredningen om tillsynen över den personliga integriteten finns stöd för denna bedömning avseende ansvarsfördelningen i förarbetena till etikprövningslagen. Det är vidare samma utrednings uppfattning att etikprövningslagens och förarbetenas hänvisning till andra tillsynsmyndigheters ansvarsområde inte i sig medför att Datainspektionen har att utöva tillsyn över alla frågor som rör forskning så snart dessa innefattar behandling av personuppgifter. Skulle det däremot i ett tillsynsärende hos Centrala etikprövnings- nämnden uppkomma frågor som avser huruvida behandlingen av personuppgifter har utförts i strid med personuppgiftslagen, bör denna fråga överlämnas till Datainspektionen.

Det är vår uppfattning att ovanstående bedömning avseende gränsdragningen av tillsynsansvaret bör kunna tillämpas också vad gäller förhållandet mellan etikprövningslagen och vår föreslagna forskningsdatalag.

Det betänkande som Utredningen om tillsynen över den person- liga integriteten överlämnat till regeringen bereds för närvarande inom Regeringskansliet. I sammanhanget kan tilläggas att reger- ingen den 11 maj 2017 beslutade om tilläggsdirektiv till Utredningen om översyn av etikprövningen (U 2016:02) med uppdrag att bland annat lämna förslag som innebär att Centrala etikprövningsnämnd- ens ansvar för tillsyn över etikprövningslagen förtydligas samt före- slå nödvändiga författningsändringar och, vid behov, andra åtgär- der. Bakgrunden till detta tilläggsuppdrag är att det enligt Centrala etikprövningsnämnden alltjämt finns en risk för att tillsynsärenden faller mellan stolarna och att det därför är mycket angeläget att en tydligare reglering kommer till stånd. Denna uppfattning delas av några av de remissinstanser som har yttrat sig över betänkandet SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten. Uppdraget ska redovisas senast den 15 december 2017.7

6SOU 2016:65 s. 194 f.

7Dir. 2017:52.

238

SOU 2017:50

Tillsyn och sanktioner

11.3Sanktioner

I Dataskyddsutredningens betänkande definieras sanktioner brett, innefattande sanktionsavgifter, vite, skadestånd och straff. I avsnitt 18.3 i Dataskyddsutredningens betänkande finns en beskrivning av gällande rätt på dessa områden. I det följande kommer endast data- skyddsförordningens bestämmelser och Dataskyddsutredningens förslag till kompletterande reglering avseende skadestånd att be- handlas i relation till vår föreslagna forskningsdatalag. För resone- mang kring övriga sanktioner vid överträdelser mot dataskydds- förordningen och kompletterande nationell lagstiftning hänvisas till Dataskyddsutredningens betänkande SOU 2017:39.

11.3.1Skadestånd

Enligt artikel 82.1 i dataskyddsförordningen ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgifts- ansvarige för den uppkomna skadan. Även personuppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsättningar. I artikel 82.2–5 och skäl 146 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Bland annat framgår att varje person- uppgiftsansvarig som medverkat vid behandlingen ska ansvara för uppkommen skada. Den personuppgiftsansvarige eller personupp- giftsbiträdet ska dock undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. Data- skyddsförordningen innebär således att varje personuppgiftsansvarig eller personuppgiftsbiträde som har medverkat vid en behandling kan hållas ansvarigt för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgifts- biträden för samma behandling.

I artikel 82.1 anges att ansvaret och rätten till ersättning gäller till följd av en överträdelse av denna förordning, dvs. dataskydds- förordningen. Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestäm- melser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens

239

Tillsyn och sanktioner

SOU 2017:50

bedömning att den av Dataskyddsutredningen föreslagna bestäm- melsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse be- höver därför inte införas i forskningsdatalagen.

11.4Sammanfattning

I detta kapitel har utredningen översiktligt behandlat frågor om tillsyn och skadestånd i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den natio- nella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå genom en bestämmelse i 3 § i den nationella för- ordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskyddsutredningens bedömning är vidare att en reglering som innebär att Datainspek- tionen blir tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva till- syn även i fråga om efterlevnaden av de andra nationella författ- ningar som kompletterar dataskyddsförordningen.

Dataskyddsutredningen föreslår vidare en bestämmelse i data- skyddslagen som anger att de befogenheter som tillsynsmyndig- heten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen. Eftersom den föreslagna forskningsdatalagen kompletterar data- skyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen- heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskydds- lagen som stadgar att rätten till ersättning enligt artikel 82 i data- skyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kom- pletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen där-

240

SOU 2017:50

Tillsyn och sanktioner

med täcker även rätten till ersättning vid överträdelser av forsk- ningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

241

12 Skyddsåtgärder

12.1Inledning

Av utredningens direktiv framgår bl.a. följande:

Det krävs […] en analys av vilka skyddsåtgärder som bör gälla vid be- handling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan vara exem- pelvis etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.

Utredningen ska lämna förslag, inklusive behövliga författningsförslag på sådana lämpliga skyddsåtgärder som personuppgiftsbehandling för forskningsändamål ska omfattas av.

Utifrån detta uppdrag går vi i detta kapitel igenom de rättsliga för- utsättningar som den nuvarande dataskyddsregleringen ger, samt vilka förändringar som dataskyddsförordningen (EU 2016/679) medför. Vi definierar en uppsättning centrala begrepp, för att sedan i närmare detalj analysera ett antal tänkbara skyddsåtgärder. Vi be- handlar även förordningens säkerhetskrav och vad detta innebär för kraven på skyddsåtgärder. Avslutningsvis lämnar vi överväganden och förslag på hur skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål bör regleras.

12.2Rättsliga förutsättningar

Nationell lagstiftning som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forskningsändamål är inte en nyhet som följer med dataskydds- förordningen. Sådan lagstiftning har tidigare införts i svensk rätt med stöd av det nuvarande dataskyddsdirektivet (95/46/EG). I 19 § första stycket personuppgiftslagen (1998:204) föreskrivs att käns-

243

Skyddsåtgärder

SOU 2017:50

liga personuppgifter får behandlas för forskningsändamål om be- handlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Personupp- gifter om lagöverträdelser m.m. får behandlas av andra än myndig- heter om behandlingen har godkänts på samma sätt (21 § andra stycket samma lag). Det finns dock inte någon mer specifik be- stämmelse om säkerhet. Enligt 31 § personuppgiftslagen anges endast att lämpliga åtgärder ska vidtas för att uppnå en lämplig säkerhetsnivå. Bestämmelsen i 31 § personuppgiftslagen genomför artikel 17 i det nuvarande dataskyddsdirektivet. Vid en jämförelse ställer motsvarande bestämmelse i dataskyddsförordningen (arti- kel 32) mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras.

Utöver detta ställer dataskyddsförordningen specifika krav på all personuppgiftsbehandling för forskningsändamål i artikel 89.1. Dessa har inte någon direkt motsvarighet i personuppgiftslagen eller det nuvarande dataskyddsdirektivet.1

12.2.1Allmän reglering av skyddsåtgärder

En av dataskyddsförordningens grundläggande principer för person- uppgiftsbehandling, principen om integritet och konfidentialitet (artikel 5.1 f), anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säker- het för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Till den generella regleringen hör även all- männa skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säker- ställa och visa att behandlingen utförs i enlighet med dataskydds- förordningen (artikel 24), samt krav på att säkerställa en lämplig säkerhetsnivå (artikel 32).

Även medlemsstaterna åläggs att införa åtgärder till skydd för den registrerade för att viss personuppgiftsbehandling ska vara möjlig. Särskilt artikel 9 och 10, som rör känsliga personuppgifter

1 Dataskyddsdirektivet innehåller dock i artikel 6.1 e, som behandlar samma princip som artikel 5.1 e i dataskyddsförordningen (principen om lagringsminimering), ett krav på att medlemsstaterna ska vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för bl.a. vetenskapliga ändamål.

244

SOU 2017:50

Skyddsåtgärder

(i förordningen kallat ”särskilda kategorier av personuppgifter”) respektive personuppgifter om lagöverträdelser m.m., ålägger med- lemsstaterna att införa bestämmelser i nationell rätt för att behand- ling i vissa fall ska vara tillåten. Sådana bestämmelser ska även fast- ställa lämpliga skyddsåtgärder.

12.2.2Reglering av skyddsåtgärder i samband med forskningsändamål

Enligt dataskyddsförordningens artikel 89.1 ska personuppgifts- behandling för bl.a. forskningsändamål omfattas av lämpliga skydds- åtgärder. Dessa åtgärder ska skydda den registrerades rättigheter och friheter, särskilt principen om uppgiftsminimering. Lämpliga skyddsåtgärder är även en förutsättning för att kunna använda sig av det s.k. forskningsundantaget i artikel 5.1 b.2

Artikel 9.2 j i dataskyddsförordningen, som berör nödvändig behandling för bl.a. forskningsändamål av känsliga personuppgifter i enlighet med artikel 89.1, anger att unionsrätten eller den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgär- der. Dessa åtgärder ska säkerställa den registrerades grundläggande rättigheter och intressen.

Skäl 156 i dataskyddsförordningen anger utöver detta även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behand- lingen av personuppgifter för bl.a. forskningsändamål.

12.2.3Allmän reglering av säkerhetskrav

Av artikel 32, som innehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säker- hetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett antal åtgär- der och utgångspunkter för bedömningen av lämplig säkerhetsnivå. Även artikel 25 (inbyggt dataskydd och dataskydd som standard)

2 Med ”forskningsundantaget” avses det undantag från den allmänna regeln om ändamåls- begränsning, där ytterligare behandling för just bl.a. forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen.

245

Skyddsåtgärder

SOU 2017:50

ålägger den personuppgiftsansvarige att integrera nödvändiga skydds- åtgärder i behandlingen.

I sammanhanget bör även uppmärksammas de krav som följer av svensk lagstiftning på statliga myndigheters informationssäkerhet, främst 19 § förordningen (2015:1052) om krisberedskap och bevak- ningsansvariga myndigheters åtgärder vid höjd beredskap samt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Av de senare framgår bl.a. att varje myndighet som omfattas av föreskrif- terna ska bedriva ett systematiskt och riskbaserat informationssäker- hetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas.

12.3Skyddsåtgärder för personuppgiftsbehandling

12.3.1Skyddsåtgärder enligt dataskyddsförordningen

Vad är en skyddsåtgärd?

Termerna ”skyddsåtgärder” respektive ”tekniska och organisato- riska åtgärder” är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säkerställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” förklaras närmare i dataskyddsförord- ningen.

Vad ska skyddas?

I vissa sammanhang används termerna utan närmare förklaring. I andra sammanhang framgår vad själva skyddsintresset är, dvs. vad åtgärderna är tänkta att skydda. Exempelvis anger artikel 10 i data- skyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 23 anger att skyddsåtgärderna ska förhindra missbruk eller olaglig tillgång eller överföring. Artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42

246

SOU 2017:50

Skyddsåtgärder

nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskyddsförordningen.

Hur regleras skyddsåtgärderna?

I de flesta fall följer det direkt av förordningen att skyddsåtgärder ska genomföras. För forskningsändamål framgår exempelvis direkt av artikel 89.1 att personuppgiftsbehandling ska omfattas av skydds- åtgärder.

I några fall lämnar dock förordningen ett visst utrymme för unionslagstiftaren eller den nationella lagstiftaren att närmare reglera skyddsåtgärderna, som i artiklarna 9.2 och 10. I just dessa artiklar ställer förordningen kravet att sådan lagstiftning ska fastställa lämp- liga och (för artikel 9.2 j) särskilda skyddsåtgärder.

Även artikel 89.1 kan utgöra stöd för den nationella lagstiftaren att närmare reglera lämpliga skyddsåtgärder (jfr skäl 156).

Exempel på skyddsåtgärder

I några sammanhang används termerna ”skyddsåtgärder”, ”tekniska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. Artikel 6.4 e, som berör fastställande av huruvida behandling för andra ändamål är förenlig med ursprungs- ändamålet, anger att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas. Artikel 46, om tredjelandsöverföringar i avsaknad av ett beslut från kommissionen om adekvat skyddsnivå i ett tredjeland, anger i punkt 2 och 3 flera olika tänkbara skyddsåtgärder, exempelvis bin- dande företagsbestämmelser,3 godkända uppförandekoder eller avtalsklausuler.

3 Bindande företagsbestämmelser (Binding Corporate Rules, BCR) definieras i förordning- ens artikel 4.20 som ”strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en person- uppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet”.

247

Skyddsåtgärder

SOU 2017:50

Gränsdragningar mellan olika typer av skyddsåtgärder

Det är svårt att dra en skarp skiljelinje mellan olika termer, även om

”tekniska och organisatoriska åtgärder” avgränsar tänkbara åtgärder på ett sätt som ”skyddsåtgärder” ensamt inte gör. För att kunna dra närmare slutsatser av hur ett visst åtgärdsbegrepp ska förstås torde man inte enbart kunna utgå från den term som har använts. Man måste i första hand se på det sammanhang i vilket termen förekom- mer och i vilken mån den omgivande texten beskriver åtgärden.

Utifrån förordningens terminologi har vi i detta avsnitt valt att använda den sammansatta termen ”tekniska och organisatoriska skyddsåtgärder” för att beskriva tänkbara åtgärder. Vi använder förledet ”skydds” framför ”åtgärder” för att understryka att det är fråga om sådana åtgärder som ska skydda den registrerades rättig- heter och friheter enligt dataskyddsförordningen.

När det är fråga om sådana skyddsåtgärder som förutsätter åt- gärder från lagstiftaren eller på annat vis grundar sig i rättsregler har vi valt ”rättsliga skyddsåtgärder”, en term som inte återfinns i dataskyddsförordningen. Även dessa åtgärder ska ha till syfte att skydda den registrerades rättigheter. Att även sådana åtgärder kan ingå i begreppet ”skyddsåtgärder” framgår på flera ställen i förord- ningen.

Lämpliga skyddsåtgärder

Utifrån förordningens reglering kan olika skyddsåtgärder vara möjliga. Eftersom det åligger den personuppgiftsansvarige att välja lämpliga skyddsåtgärder (artikel 32, och, särskilt vad gäller forskningsända- mål, artikel 89.1) är nästa steg att försöka ställa upp utvärderings- kriterier för när en viss skyddsåtgärd kan vara lämplig.

Förordningens lämplighetskriterier

Dataskyddsförordningen anger inom ramen för dess bestämmelser om säkerhet (artikel 32) vissa kriterier som ska beaktas vid utvär- dering av lämpligheten av en viss skyddsåtgärd. Dessa kriterier analyseras mer detaljerat i avsnitt 12.3.5 om säkerhet. Här konsta- terar vi endast inledningsvis att dessa kriterier ska tillämpas vid all

248

SOU 2017:50

Skyddsåtgärder

personuppgiftsbehandling och att de utgör underlag för en avväg- ning mellan möjligheterna till och kostnaderna för skydd å ena sidan, och risken för de registrerades rättigheter och friheter å andra sidan.

En strukturerad analys för val av lämplig skyddsåtgärd

För att kunna välja vilken eller vilka skyddsåtgärder som kan vara lämpliga krävs en strukturerad analys av vad som ska skyddas (skydds- objektet), vilka hot och risker som kan drabba skyddsobjektet, och vilka mål för skyddet som prioriteras. Vissa riktlinjer för en sådan analys, framför allt vilka risker som ska beaktas, ges i artikel 32 samt skäl 75.

Detta kan exemplifieras enligt följande. När grundläggande per- sonuppgifter, inklusive känsliga personuppgifter, för ett stort antal personer behandlas i ett projekt är skyddsobjektet vanligtvis själva personuppgifterna. Några av problemen kan vara:

Att personuppgifterna visar sig vara felaktiga.

Att personuppgifter från olika källor inte kan kombineras.

Att identifierande eller känsliga personuppgifter sprids utanför forskningsprojektet.

I det första fallet är personuppgifternas riktighet (integritet) det prioriterade skyddsmålet. I det andra fallet kan personuppgifternas tillgänglighet, särskilt åtkomsten till de register som utgör källor för personuppgifterna, vara det viktigaste. I det sista fallet är person- uppgifternas konfidentialitet, dvs. att de inte avslöjas för obehöriga, det centrala skyddsmålet.

Beroende på hur denna riskanalys och målprioritering görs kan den personuppgiftsansvarige landa i att i det första fallet tillämpa skyddsåtgärder som säkerställer korrekt information (exempelvis genom att underlätta för den enskilde att utöva sin rätt till rättelse). I det andra fallet kan det vara mer lämpligt att avtalsrättsligt säker- ställa villkor för åtkomst till källregister. I det sista fallet kan såväl uppgiftsminimerande åtgärder (där exempelvis identifierande person- uppgifter som inte behövs för själva forskningen avlägsnas genom pseudonymisering) som åtgärder som begränsar tillgängligheten till

249

Skyddsåtgärder

SOU 2017:50

uppgifterna till endast utvalda personer eller endast inom ett enskilt it-system.

Det ligger utanför utredningens uppdrag att ge närmare rikt- linjer eller förslag till bestämmelser för hur en sådan strukturerad analys ska utföras. Att i nationell lagstiftning särskilt reglera hur ett sådant arbete ska utföras riskerar dessutom att komma i konflikt med de regler som finns i framför allt artikel 32 i dataskyddsförord- ningen. Utredningen lämnar därför inte något förslag i denna del, men erinrar om att särskilt 9 § i myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informations- säkerhet (MSBFS 2016:1) innehåller ett krav på statliga myndigheter att utifrån beslutad informationsklassningsmodeller analysera risker och vidta lämpliga åtgärder. Motsvarande arbetssätt torde vara lämpligt att tillämpa för privata forskningsaktörer och andra rätts- subjekt trots att dessa inte omfattas direkt av MSB:s föreskrifter vid sin behandling av personuppgifter.

Utformning av skyddsåtgärder

En viss metod för att skydda den personliga integriteten i det kon- kreta fallet kan utformas på olika sätt. Vid pseudonymisering (se avsnitt 12.3.3) kan själva pseudonymen skapas antingen från olika personuppgifter eller skapas helt fristående. Vid kryptering (se av- snitt 12.3.3) finns en mängd algoritmer och protokoll för nyckel- hantering att välja mellan. Sekretesslagstiftning kan utformas med exempelvis presumtion för offentlighet eller för hemlighållande.

Frågan huruvida pseudonymisering är en lämplig åtgärd i ett visst sammanhang har med andra ord inte något enkelt svar, utan det blir nödvändigt att komplettera och specificera analysen med avseende på exakt vilka attribut som ska pseudonymiseras, hur eventuella kodnycklar ska bevaras m.m. Innan man gjort denna ut- formning går det i allmänhet inte att komma fram till att en viss skyddsåtgärd är lämplig.

Vad gäller den motsatta frågeställningen, huruvida en viss skydds- åtgärd inte är lämplig i ett visst sammanhang, kan det däremot vara möjligt att komma fram till att så är fallet utan att fullständigt ha utformat den. Om det exempelvis medför ett icke godtagbart in- trång i den registrerades integritet att poster om denne i en data-

250

SOU 2017:50

Skyddsåtgärder

mängd går att särskilja från andra poster om andra personer även utan att denne identifieras så är pseudonymisering per definition inte en lämplig skyddsåtgärd eftersom pseudonymisering per defi- nition gör det möjligt att särskilja poster om en enskild registrerad.

När ”skyddsåtgärd” används i det nedanstående (och generellt) finns det därför anledning att tänka sig en detaljerad beskrivning av hur skyddsåtgärden kommer att utformas.

Tänkbara skyddsåtgärder

Dataskyddsförordningen reglerar inte att några specifika skydds- åtgärder ska vidtas. I artikel 32 nämns dock att den personuppgifts- ansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudonymisering och kryptering som så- dana åtgärder. Även artikel 6.4 e exemplifierar lämpliga skydds- åtgärder med kryptering eller pseudonymisering. Förordningen lyfter i övrigt särskilt fram pseudonymisering som skyddsåtgärd i skäl 28–29 och 156. I skäl 78 anges även ett antal övriga skydds- åtgärder som är främst organisatoriska till sin natur:

Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhets- anordningar.

Utöver sådana skyddsåtgärder som nämns direkt i förordningen har svensk personuppgiftslagstiftning laborerat med andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretess- bestämmelser.

Avsnitt 12.3.3 och 12.3.4 innehåller en genomgång av dessa och andra skyddsåtgärder.

251

Skyddsåtgärder

SOU 2017:50

12.3.2Begrepp

För att närmare kunna analysera vissa skyddsåtgärder, särskilt de av teknisk karaktär, underlättar det att först beskriva några av de be- grepp som förekommer i samband med personuppgiftsbehandling för forskningsändamål. I anslutning till detta redogör vi även för varför vi valt vissa termer som beteckningar för dessa begrepp.4

Personuppgift

Dataskyddsförordningens artikel 4.1 definierar personuppgift (vår kursivering):

Varje upplysning som avser en identifierad eller identifierbar fysisk per- son (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hän- visning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera fakto- rer som är specifika för den fysiska personens fysiska, fysiologiska, gene- tiska, psykiska, ekonomiska, kulturella eller sociala identitet

Det nuvarande dataskyddsdirektivet har i artikel 2 a motsvarande definition:

Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är speci- fika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet

Utöver språkliga förändringar som inte kan anses ändra innebörden i ovanstående definition skiljer sig denna definition från det nuva- rande dataskyddsdirektivet på ett antal sätt. Strukturellt har indel- ningen i direkt eller indirekt identifiering ersatts med uppdelningen mellan identifierare respektive faktorer som är specifika för personen. Det framgår vidare att ett namn kan vara en sådan identifierare, samt att en fysisk person även kan identifieras med faktorer som är specifika för en fysisk persons genetiska identitet. I sammanhanget bör nämnas att definitionen av identifierare innefattar även någons

4 Med ”term” avses här ett visst ord eller språkligt uttryck, och med ”begrepp” själva inne- börden som man lägger i uttrycket.

252

SOU 2017:50

Skyddsåtgärder

”online identifier”, vilket i den svenska översättningen benämnts omväxlande ”nätidentifierare” (skäl 30 och 64) eller ”onlineidentifi- katorer” (artikel 4.1). Det är oklart om ”online identifier” ska inne- fatta även användarvalda identifierare såsom e-postadresser eller användarnamn i sociala nätverk.

Med detta sagt är vår bedömning att tidigare praxis kring vad som utgör en personuppgift får anses vägledande även för den nya definitionen, med beaktande av den utvidgning som skett genom dataskyddsförordningen (se även skäl 9 i dataskyddsförordningen, som anger att målen och principerna för det tidigare dataskydds- direktivet fortfarande är giltiga).

Pseudonymisering

Dataskyddsförordningen definierar i artikel 4.5 pseudonymisering (vår kursivering):

Behandling av personuppgifter på ett sätt som innebär att personupp- gifterna inte längre kan tillskrivas en specifik registrerad utan att kom- pletterande uppgifter används, under förutsättning att dessa komplette- rande uppgifter förvaras separat och är föremål för tekniska och organi- satoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person

För att en åtgärd ska utgöra pseudonymisering krävs alltså kom- pletterande uppgifter som förvaras separat. Dessa uppgifter utgörs vanligen av en s.k. kodnyckel (se vidare avsnitt 12.3.3).

Pseudonymiserade uppgifter är fortfarande personuppgifter och faller därför inom förordningens tillämpningsområde. Själva åtgär- den pseudonymisering har på flera ställen i förordningen lyfts fram som exempel på en skyddsåtgärd.

Kodning

Eftersom dataskyddsförordningens definition av pseudonymisering ställer höga krav på att återidentifiering endast ska vara möjlig med hjälp av vissa specifika kompletterande uppgifter (se närmare be- skrivningen av pseudonymisering som skyddsåtgärd i avsnitt 12.3.3) finns ett behov av en term för en enklare, men mer osäker, process

253

Skyddsåtgärder

SOU 2017:50

i vilken endast identifierande uppgifter som namn och personnum- mer ersätts med pseudonymer eller koder.

I många sammanhang används termen ”kodning” för ett sådant förfarande. Även i detta betänkande används termen i denna bety- delse.

Anonymisering

Anonymisering definieras inte särskilt i förordningen, men av skäl 26 framgår att anonym information är ”information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar”, och att förord- ningen inte är tillämplig på sådan information. Kravet på att den registrerade inte längre ska vara identifierbar medför att fullständig anonymisering, till skillnad från pseudonymisering, i praktiken ofta kan vara mycket svårt att åstadkomma.

Kravet är dock inte absolut. Det framgår vidare av skäl 26 att när man avgör huruvida en fysisk person är identifierbar så ska man beakta alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tid- punkten för behandlingen som den tekniska utvecklingen. Bedöm- ningen av huruvida det är fråga om personuppgifter eller anonym information grundas alltså på en rimlighets- och sannolikhets- bedömning.

För att förstå gränsdragningen för när någon är att anse som identifierbar kan även artikel 29-gruppens yttrande 4/2007 beaktas.5

I detta yttrande (s. 15) uttalas att ”enbart en hypotetisk möjlighet att särskilja en individ inte är tillräcklig för att anse personen som

5 Yttrande 4/2007 om begreppet personuppgifter, ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2007/wp136_sv.pdf

Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.

254

SOU 2017:50

Skyddsåtgärder

identifierbar” samt att om denna möjlighet inte existerar eller är försumbar när man beaktar hjälpmedel enligt ovan bör personen inte anses som identifierbar. Yttrandet gäller skäl 26 till nuvarande dataskyddsdirektivet (vars innehåll till stor del överensstämmer med skäl 26 i dataskyddsförordningen), men torde utifrån vad som sagts ovan fortfarande vara relevant.

Avidentifiering

Termen ”avidentifiering” används inte i dataskyddsförordningen. I tidigare sammanhang har uttrycket ”avidentifieringsmetoder” an- vänts som översättning till ”anonymisation techniques”.6 Det finns alltså en oklarhet huruvida termerna ”avidentifiering” och ”anony- misering” avser samma begrepp. Båda termerna ”avidentifiering” och ”anonymisering” har tidigare använts i svensk rätt. Datainspek- tionen har exempelvis tidigare yttrat att ”avidentifierade uppgifter” enligt inspektionens mening inte har samma innebörd som ”anonyma uppgifter”,7 samt att anonyma uppgifter kan utgöra personuppgif- ter om de kan hänföras till en enskild individ som är i livet, exem- pelvis genom en kodnyckel. Datainspektionens egen praxis på detta område har inte varit helt konsekvent, troligen beroende på att man i remissammanhang och liknande följt avsändarens användning.

För att undvika otydlighet bedömer vi därför att ”avidentifier- ing” inte bör användas i samband med dataskyddsförordningen, och att ”anonymisering” används i den betydelse som framgår av skäl 26.

Återidentifiering

Med återidentifiering avses den process enligt vilken tidigare anonyma8 eller pseudonyma uppgifter åter fås att avse en identifie- rad person. Förordningen använder inte denna term, men bland skälen finns ett fåtal skrivningar om ”hävande av pseudonymiser-

6Artikel 29-gruppens yttrande 05/2014.

7Yttrande över ”Unik kunskap genom registerforskning (SOU 2014:45), dnr 2469-2014.

8Som vi tolkar förordningens skäl 26 finns det ett åtminstone teoretiskt utrymme där anonym information kan återidentifieras, nämligen om hjälpmedel bortom det rimligas gräns använts eller om återidentifiering ändå varit möjlig trots att det var orimligt osannolikt.

255

Skyddsåtgärder

SOU 2017:50

ing”, som kan betraktas som en begränsad form av återidentifiering för just pseudonymiserade uppgifter. Skäl 75 talar om bl.a. person- uppgiftsbehandling som kan leda till ”obehörigt hävande av pseudo- nymisering”, liksom skäl 85. Se även första delen av skäl 26 som diskuterar hur man kan avgöra om en fysisk person är identifierbar.

I en anonymiseringsprocess kan personuppgifter behandlas så att de blir mer eller mindre möjliga att återidentifiera. Beroende på anonymiseringen kan även en framtida återidentifiering göras med större eller mindre säkerhet. Rent tekniskt är det därför svårt att se anonymisering som en process i vilken information antingen är anonym eller inte.

Dataskyddsförordningen (och nuvarande dataskyddslagstift- ning) förutsätter dock en indelning i antingen anonym information eller personuppgifter. Gränsdragningen blir därför huruvida hjälp- medel med rimlig sannolikhet kan komma att användas för att (åter)identifiera den fysiska personen. Ett exempel på sådant hjälp- medel är, enligt den engelska versionen av förordningen, ”singling out”, dvs. att särskilja uppgifter rörande en person från uppgifter rörande andra personer. Att kunna särskilja uppgifter om en person ska inte likställas med att kunna identifiera personen, även om sär- skiljande ofta kan vara första steget mot en identifiering. Det är värt att notera att den svenska översättningen av förordningen har

översatt ”singling out” med ”utgallring”, vilket kan leda tankarna fel till gallring i arkivlagens (1990:782) mening. I denna text används därför ”särskilja” som huvudsaklig term.

Bakvägsidentifiering

Bakvägsidentifiering används ibland som synonym till återidenti- fiering. I vissa sammanhang kan denna term dock indikera att åter- identifieringen är otillåten eller obehörig. Ett exempel är 6 § lagen (2001:99) om den officiella statistiken, som förbjuder samman- förande av uppgifter i den officiella statistiken med andra uppgifter i syfte att utröna enskilds identitet. Detta har i förarbetena benämnts just ”bakvägsidentifiering”.9

I detta betänkande används genomgående termen ”återidenti- fiering”.

9 Prop. 2000/01:27 s. 68.

256

SOU 2017:50

Skyddsåtgärder

Kvasiidentifierare

En kvasiidentifierare utgörs av en kombination av uppgifter som tillsammans unikt identifierar en fysisk person. Exempelvis kan kombinationen av ålder, kön, taxerad inkomst och postnummer ofta unikt särskilja en viss person. Identifierandet måste inte vara knutet till personens namn eller personnummer, utan det räcker enligt definitionen av personuppgift att det går att särskilja någons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Detta kan jämföras med indirekta person- uppgifter, dvs. personuppgifter som inte direkt, men däremot med hjälp av annan tillgänglig information, kan hänföras till en person.

Ett exempel på användning av kvasiidentifierare kan tas från registret Stockholm Birth Cohort som består av information som ursprungligen samlats in inom ramen för det dåvarande Metropolit- projektet, med nya registerdata påfört. Efter att Metropolitprojektet upphörde 1984 behandlades de då insamlade uppgifterna på så sätt att möjligheten att identifiera ingående personer togs bort. Seder- mera, och efter etikprövning, har man kunnat påföra nya uppgifter genom sannolikhetsmatchning, där uppgifter från andra databaser länkats samman genom att koppla information som fanns i samma form på båda ställena, till exempel hemort, yrke och hemförhållan- den.10 Dessa variabler har tillsammans utgjort kvasiidentifierare med vars hjälp man kunnat påföra nya uppgifter på cirka 95 procent av de registrerade individerna. Utmärkande för kvasiidentifierare är att de inte lika precist pekar ut en specifik person jämfört med identifierare, och ofta kan uppstå utan att den personuppgifts- ansvarige lägger märke till det. Exempelvis är det tänkbart att en viss kombination av ålder, yrke och postort, som inte utgör en kvasi- identifierare i en stor postort eftersom kombinationen där inte är unik, utgör en kvasiidentifierare i en liten postort, där dessa uppgif- ter kan särskilja någons sociala identitet även i avsaknad av namn.

10 Stenberg, S. Å., Vågerö, D., Österman, R., Arvidsson, E., von Otter, C. and Janson, C. G, “Stockholm Birth Cohort Study 1953-2003: a new tool for life-course studies.” Scandinavian Journal of Public Health, s. 104–110.

257

Skyddsåtgärder

SOU 2017:50

Dataset, poster och attribut

Dessa tre närliggande begrepp handlar om hur en samling uppgifter är ordnade. Med dataset avses en samling av poster. Med post avses en uppsättning värden (relaterade till en enskild person) för varje attribut. Med attribut avses en definierad egenskap. Dessa begrepp används här i samma betydelse som i artikel 29-gruppens yttrande 05/2014 om avidentifieringsmetoder,11 och är framför allt av bety- delse i samband med diskussion om tekniska skyddsåtgärder.

I vissa sammanhang används datamängd som synonym till dataset, observation som synonym till post och variabel som synonym till attribut.

12.3.3Tekniska och organisatoriska skyddsåtgärder

Dataskyddsförordningen använder genomgående uttrycket ”tek- niska och organisatoriska åtgärder” med några variationer. Ut- trycket definieras inte närmare, men får ändå uppfattas som en indel- ning i åtgärder som har en teknisk respektive organisatorisk karaktär.

Dessa typer av åtgärder är dock inte oberoende av varandra. Sär- skilt tekniska skyddsåtgärder kan ofta behöva kompletteras med organisatoriska, och ibland är det svårt att dra en skiljelinje. Ett exempel är accesskontroll, dvs. att endast den eller de inom en organisation som har behov av att komma åt vissa uppgifter ska kunna göra det. Detta är i grunden en teknisk åtgärd som genom- förs av systemansvariga som sätter läsrättigheter på filer, auktori- sering på interna tjänster och så vidare. Men själva bestämmandet av vilka arbetsuppgifter som medför behov av att komma åt vilka uppgifter är i allra högsta grad en organisatorisk skyddsåtgärd.

Tekniska skyddsåtgärder kan betraktas inom ramen för infor- mationssäkerhet och dess olika skyddsmål, bl.a. konfidentialitet, integritet, tillgänglighet, spårbarhet och oavvislighet.12 Den person- uppgiftsansvarige ska enligt artikel 32.1 b säkerställa flera av dessa mål.

För den registrerade vars personuppgifter behandlas är skydds- målen konfidentialitet och riktighet (dataintegritet) av särskilt in-

11Se yttrandet, s. 12.

12Se bl.a. SOU 2004:32, s. 15.

258

SOU 2017:50

Skyddsåtgärder

tresse. För den personuppgiftsansvarige kan även skyddsmålen spår- barhet och oavvislighet vara centrala för att säkerställa att säker- hetsnivån är tillräcklig.

Vad gäller bedömningen av tekniska skyddsåtgärders lämplighet syftar samtliga åtgärder som behandlas i detta avsnitt helt eller del- vis till att värna de registrerades rättigheter och friheter vad gäller dataskydd. Huruvida en viss teknisk skyddsåtgärd faktiskt även resulterar i ett effektivt skydd beror allt för mycket på omständig- heterna kring den enskilda personuppgiftsbehandlingen och åtgär- dens utformning för att det ska vara meningsfullt att generellt ut- tala sig om lämpligheten. Utredningen gör därför inga lämplighets- bedömningar i denna del.

Kryptering

Kryptering kan utgöra en byggsten för att uppnå samtliga skydds- mål, men är särskilt central för att åstadkomma konfidentialitet, dvs. säkerställa att data, inklusive personuppgifter, inte blir tillgängliga för någon annan än behörig part. Vid behandling som innebär över- föring av personuppgifter mellan olika parter är även riktighet ett prioriterat skyddsmål, där kryptering kan spela en viktig roll.

Vad gäller konfidentialitet måste man göra skillnad på krypter- ing för överföring respektive lagring. Ursprungligen kommer kryp- tering från behovet att uppnå konfidentialitet vid dataöverföringar. Man kan se kryptering av lagrade data som ett specialfall av kryp- tering av dataöverföring – en överföring från en part till samma part över tid.13 Detta kan ställa högre krav på de metoder och processer som används, eftersom den skyddsvärda informationen kan expo- neras under längre tid.

Styrning av åtkomst till personuppgifter (accesskontroll)

Accesskontroll, dvs. att på systemnivå möjliggöra eller förhindra tillgång till filer, tjänster och andra resurser, får anses vara en grundläggande del av informationssäkerhet. När resurserna inne-

13 Jfr Bruce Schneier, Data at rest vs. Data in motion, http://www.schneier.com/blog/archives/2010/06/data_at_rest_vs.html

259

Skyddsåtgärder

SOU 2017:50

fattar lagrade personuppgifter utgör accesskontroll även en form av skyddsåtgärd som skyddar personuppgifterna från obehörig åt- komst (artikel 32.2).

Som nämnts inledningsvis i detta avsnitt har denna åtgärd både organisatorisk och teknisk karaktär. Det är den personuppgifts- ansvarige som ansvarar för att besluta vilka fysiska personer som utför arbete med personuppgiftsbehandling under dennes över- inseende och meddela instruktion för detta arbete (artikel 32.4). Att på systemnivå möjliggöra eller förhindra tillgång är sedan en teknisk åtgärd som kan ses som ett verkställande av sådana instruk- tioner.

I samband med registerforskning, där det många gånger är fråga om fjärråtkomst till uppgifterna kan accesskontrollen omfatta styrning av åtkomst för personer som inte arbetar under den per- sonuppgiftsansvariges överinseende, utan som har ett självständigt personuppgiftsansvar. Det rör sig fortfarande om en skyddsåtgärd som minskar risken för obehörig åtkomst.

Själva åtkomsten kan utformas på många tänkbara sätt. Det be- höver inte vara fråga om att ge behörighet i form av full tillgång till de lagrade personuppgifterna med möjlighet att exempelvis över- föra dem till sin egen it-miljö. Man kan också ge åtkomst till tjänster genom vilka det går att komma åt delar av uppgifterna, funktioner för att sammanställa eller aggregera personuppgifter, eller liknande. All sådan utformning av tillgång utgör en form av skyddsåtgärd. Ett exempel på det senare är differentiell integritet, en metod för att göra personuppgifter anonyma, som förutsätter att den som vill använda innehållet i datasetet ges tillgång till kontrollerade vyer över datasetet, inte datasetet som sådant.

Fjärråtkomst

Fjärråtkomst är ett exempel på systemutformning som har verkan av en skyddsåtgärd. I ett typiskt datorsystem för fjärråtkomst sam- las ett eller flera dataset tillsammans med analysverktyg med vilka den sammanlagda datamängden kan analyseras. Den forskare som behöver göra analyser av uppgifterna i systemet kan koppla upp sig till systemet på distans, utföra beräkningar och sammanställningar med de installerade analysverktygen, och sedan föra över resultatet

260

SOU 2017:50

Skyddsåtgärder

av analysen till sin egen it-miljö. Skyddsåtgärden består i att den underliggande datamängden, som innehåller personuppgifter, inte behöver överföras till forskarens egen it-miljö, utan endast resulta- tet av behandlingen, som kan bestå av aggregerade personuppgifter och som därmed inte utgör personuppgifter (jfr dataskyddsförord- ningens skäl 162). Detta bör dock ställas mot att själva möjligheten till fjärråtkomst ökar risken till integritetsintrång på så sätt att det introducerar en risk för att obehöriga personer ska få åtkomst på distans genom dataintrång, jämfört med om datamängden endast finns på ouppkopplade system. Vid en avvägning måste den person- uppgiftsansvarige beakta de allmänna krav på säkerhet som förord- ningen ställer (se avsnitt 12.3.5).

I svensk miljö är exempelvis Statistiska centralbyråns (SCB) MONA ett viktigt system för fjärråtkomst.14 Användarvillkoren för MONA förbjuder kopiering av mikrodata, dvs. observationer på detaljnivå som innehåller personuppgifter, från MONA till något annat system (se vidare avsnitt 12.3.4 om avtalsvillkor).

Federering av databaser

Med federering av databaser avses ett enhetligt och transparent sätt att tillgängliggöra data lagrat på flera olika ställen i flera olika system för databashantering.15 Detta utgör egentligen en hybrid av teknisk och organisatorisk åtgärd.

Skyddsåtgärden består här främst i att federeringen kan mot- verka behovet att lagra stora datamängder på ett och samma ställe. Detta förutsätter dock att dataöverföringen till den centrala punkt från vilken data tillgängliggörs (federationspunkten) hålls till ett minimum. Det förutsätter också att en federationsserver (”trusted location”) kan upprättas och är laglig att lämna uppgifterna till. Även kortvarigt processande i arbetsminnet på en gemensam dator kan betraktas som utlämnande av data och måste då ha en rättslig grund.

14Se SOU 2012:36 s. 43 ff. samt SOU 2014:45 s. 335 ff. för mer information om hur MONA används.

15Jfr exv. Federated Databases as a Basis for Infrastructure Supporting Epidemiological Research, Fomkin et al, i 20th International Workshop on Database and Expert Systems Application.

261

Skyddsåtgärder

SOU 2017:50

Själva federeringen av data kan ske med olika grad av flyktighet. I vissa sammanhang förekommer mellanlagring medan ett projekt pågår av en samkörd databas. I andra bara under de sekunder när data processas. I svenska forskningssammanhang finns vissa exempel på federerade lösningar, både nationellt och inom ramen för inter- nationellt samarbete.16

Pseudonymisering

Pseudonymisering har en legaldefinition i förordningen. Denna definition tar dock inte upp hur pseudonymiseringen ska utformas. Detta kan göras på huvudsakligen två sätt, antingen baserat på identi- fierande uppgifter, eller utifrån helt fristående värden.

Pseudonymer baserade på identifierande uppgifter

I många fall, särskilt vid longitudinella studier, där det finns ett be- hov av att komplettera uppgifterna vid senare tillfälle, är det önsk- värt att pseudonymen härleds från de ursprungliga uppgifterna. Ett enkelt exempel kan vara att skapa en pseudonym från ett person- nummer genom att med en s.k. säker hashfunktion17 beräkna en hashsumma på personnumret. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya, personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.

Nackdelen är att denna process, särskilt om man bara använder en enstaka, starkt identifierande, uppgift som personnummer, inte är särskilt resistent mot återidentifiering. Om hashfunktionen är känd och man önskar ta reda på vilket personnummer som motsva- rar en viss pseudonym räcker det med att pröva de cirka 400 miljoner möjliga personnummervärden som finns med hashalgoritmen för

16Se SOU 2014:45 s. 337 ff. för en närmare beskrivning av dessa.

17En säker (eller kryptografisk) hashfunktion är en algoritm som används för att determi- nistiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman.

262

SOU 2017:50

Skyddsåtgärder

att se vilket som motsvarar detta personnummer.18 För att mot- verka detta bör man välja en hashfunktion som är utformad för att vara resurskrävande. Denna underkategori av funktioner kallas all- mänt nyckelderiveringsfunktioner (key derivation functions).

Vid användning av hashfunktionen kompletteras vanligen indata med ett unikt slumpvärde, s.k. saltning. Detta ökar resistensen så länge som saltet hålls hemligt. Det kan dock fortfarande vara möjligt att återidentifiera det ursprungliga värdet, särskilt om typen av vär- det är känd och begränsad vad gäller möjliga värden.19

Pseudonymer i form av kodnycklar

Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att över- sätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.

Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifierande uppgifterna. Vid exempelvis longitudinella studier kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.

Skillnaden mellan pseudonymer baserade på identifierande upp- gifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hem- lig, men förteckningen måste vara det.

18Detta med antagandet att datamängden kan innehålla personer födda på 110 olika årtal, att det finns 365,25 dagar på ett år, och att de sista fyra siffrorna i ett personnummer kan anta

10000 olika värden: 110 × 365,25× 10 000 = 401 775 000 olika personnummer.

19Se artikel 29-gruppens yttrande 05/2014, s. 20.

263

Skyddsåtgärder

SOU 2017:50

När är det inte längre fråga om personuppgifter?

De definitioner som presenterats ovan väcker bl.a. frågan om vad som händer om man har pseudonymiserade personuppgifter med en separat kodnyckel, bestående av de kompletterande uppgifter som gör att uppgifterna kan tillskrivas en specifik registrerad, och kodnyckeln förstörs (med antagandet att kodnyckeln faktiskt kan förstöras, med tanke på molntjänster, backupper och annat) – blir det då fråga om anonymiserade data?

Vår bedömning är att det blir det, men denna bedömning vilar på en strikt tolkning av definitionen av pseudonymisering: Det centrala för att dataskyddsförordningen ska bli tillämplig är att personupp- gifterna ska kunna tillskrivas en identifierbar person, dvs. det ska finnas antingen en identifierare eller ”en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet” (artikel 4.1).

För att det ska vara möjligt att tillskriva en person vissa uppgif- ter måste alltså denna person vara identifierbar. Som vi har sett är förordningens definition av ”identifierbar” bred och omfattar mer än bara namn och personnummer (se särskilt skäl 26 som anger att alla hjälpmedel som rimligen kan komma att användas för att iden- tifiera någon ska beaktas vid denna bedömning). Det är lätt hänt att en viss kombination av attribut som bostadsort, yrke, kön, års- inkomst och liknande faktiskt är specifik för någons identitet i de angivna avseendena. Pseudonymisering måste därför, enligt denna strikta definition, omfatta mer än att bara byta ut identifierare som namn eller personnummer. Även andra attribut måste ändras så att de inte utgör faktorer som är specifika för den fysiska personens identitet i de angivna avseendena.

Det kan noteras att artikel 29-gruppen i det tidigare refererade yttrandet om avidentifieringsmetoder ställer ännu högre krav. Enligt dessa metoder ska det inte gå att särskilja (”single out”) en enskild individ på något sätt för att anonymisering ska anses ha skett. Detta gäller alltså även om man inte kan särskilja någon av dennes identiteter enligt ovan, utan endast avgöra att en viss post handlar om en särskild individ.20

20 Jfr artikel 29-gruppens yttrande 05/2014, s. 14.

264

SOU 2017:50

Skyddsåtgärder

Att en enskild person kan särskiljas, exempelvis genom att det i ett större dataset går att avgöra vilka poster som kan hänföras till denne person, är alltså inte nödvändigtvis samma sak som att denne är identifierbar. Personer vars personuppgifter är pseudonymise- rade är alltid särskiljbara (genom själva pseudonymen). Att det går att särskilja exempelvis medicinska mätvärden för en enskild person innebär inte att denne person är identifierbar såvida inte mätvär- dena tillsammans är specifika för exempelvis personens fysiska eller fysiologiska identitet.

Uppgifter om en viss person kan alltså vara särskiljbara utan att dataskyddsförordningen blir tillämplig, så länge som personen inte också är identifierbar enligt förordningens definition.

Randomisering

Randomisering är en familj av åtgärder som alla har det gemensamt att ett dataset skyddas genom att uppgifterna i det förvrängs i syfte att försvåra bakvägsidentifiering. Det ska i sammanhanget nämnas att alla förvrängningar av enskilda observationer innebär svårigheter för forskningen om metodiken innefattar att undersöka samband mellan värden på individnivå.

Brustillägg

Brustillägg innebär att enskilda attribut ändras inom vissa inter- valler på så sätt att uppgifter inom en enskild post inte längre stäm- mer och därför inte kan användas för att återidentifiera en individ, men där attributets sammanlagda distribution i datasetet som hel- het är oförändrat.

Permutation

Permutation innebär att enskilda attribut byts mellan poster så att varje enskilt attribut är korrekt, men inte uppträder i samma post som det ursprungligen gjorde. Detta kan ses som ett specialfall av brustillägg, men där intervall och distribution för varje attribut är oförändrat.

265

Skyddsåtgärder

SOU 2017:50

Differentiell integritet

Brustillägg och permutation är tekniker som måste tillämpas i förväg på ett dataset, och som syftar till att datasetet i sin helhet ska kunna överföras till en tredje part, utan risk att denna tredje part ska kunna göra en återidentifiering på materialet. I jämförelse är differentiell integritet (”differential privacy”) en teknik där det ursprungliga datasetet är oförändrat, men där tredje part inte ges tillgång till det. I stället får tredje part tillgång till vyer över datasetet utifrån en upp- sättning fasta frågor. I en sådan vy läggs brus på attributvärden på ett sådant sätt att datasetets ägare (personuppgiftsansvarig) kan kon- trollera hur mycket brus som ska läggas på för att kunna garantera en viss nivå av skydd. En fördel med denna metod är att åtkomst till datasetet sker genom fördefinierade frågor och under kontroll av ägaren till datasetet. Denne kan då övervaka om det uppstår möjligheter att identifiera enskilda individer genom olika vyer på datasetet.

Som skyddsåtgärd har differentiell integritet dock en praktisk nackdel i att det fulla datasetet fortfarande samlas in. Det finns där- för en risk att överanvändandet av differentiell integritet leder till att mer dataset skapas än vad som är nödvändigt. I praktiken riske- rar även dessa dataset göras tillgängliga i större utsträckning än vad som är nödvändigt, exempelvis via internet.

Generalisering

Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare på så sätt att integritetskänsliga eller sär- skiljande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges vilket åldersspann (exempel- vis ”20–29 år”) denne faller inom. Sådan aggregering eller generali- sering kan förstås begränsa informationen i och värdet av datasetet. Flera metoder för generalisering syftar till att minimera informa- tionsförlusten av datasetets statistiska värde, men maximera svårig- heten att urskilja enskilda individer i datasetet.

266

SOU 2017:50

Skyddsåtgärder

K-anonymitet

Med K-anonymitet utformas varje attributs möjliga värden så att minst K antal individer delar samma attributvärde. En enskild indi- vid kan då inte identifieras som annat än del av en K individer stor grupp. Genom att välja värde på K kan man styra datasetets upp- lösning gentemot integritetsskyddet för den enskilde.

L-diversitet

K-anonymitet adresserar inte problemet med ekvivalensklasser, som kan beskrivas som grupper av attribut som kan vara korrelerade på så sätt att de kan användas för återidentifiering. L-diversitet kan ses som en utökning av K-anonymitet där problemet med ekvivalens- klasser hanteras så att varje attribut i en ekvivalensklass har minst L olika värden.

T-närhet

Ett känsligt attribut är ett attribut som en angripare inte ska kunna härleda, dvs. en personuppgift vars exakta värde inte ska röjas. Med K-anonymitet och L-diversitet finns risken att fördelningen för ett sådant attribut inte är tillräckligt nära den riktiga fördelningen, vilket i sin tur kan leda till informationsläckage. T-närhet åtgärdar detta genom att kräva att skillnaden i fördelningen av ett känsligt attribut i någon ekvivalensklass och fördelningen av samma attribut i det totala datasetet befinner sig under ett tröskelvärde T.

Sökbegränsningar

I svensk lagstiftning har ofta sökbegränsningar, dvs. förbud mot användning av vissa sökbegrepp, använts som en slags skydds- åtgärd, särskilt i registerförfattningar.21 Det rör sig vanligtvis om förbud eller begränsningar kring att använda känsliga personupp- gifter eller uppgifter om lagöverträdelser och liknande som sök-

21 Se bl.a. prop. 2007/08:126, s. 67 f, prop. 2000/01, s. 100 f. samt prop. 2014/15:148, s. 51 f.

267

Skyddsåtgärder

SOU 2017:50

begrepp. Dataskyddsförordningen innehåller i sig inte någon regler- ing av just sökmöjligheter, men eftersom sökning och den resulte- rande sammanställningen utgör en form av personuppgiftsbehand- ling måste den, som all annan behandling, vara förenlig med de an- givna ändamålen.

Sökningar som avslöjar och sammanställer känsliga personupp- gifter är en åtgärd som ligger nära det som ursprungligen har moti- verat förbudet mot behandling av känsliga personuppgifter, nämli- gen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen har därför föreslagit ett generellt förbud mot att använda dessa typer av upp- gifter som sökbegrepp när personuppgifter behandlas med stöd av ett viktigt allmänt intresse (artikel 9.2 g), i första hand i samband med ärendehandläggning.22

Vid personuppgiftsbehandling för forskningsändamål måste det dock vara möjligt att göra urval baserade på de faktorer eller variab- ler som ska studeras när detta är nödvändigt för att uppfylla ända- målet med behandlingen. Dessa faktorer eller variabler kan utgöras av känsliga personuppgifter eller uppgifter om lagöverträdelser och liknande.

Frågan om sökbegränsningar för system inrättade för forsknings- ändamål har aktualiserats i enskilda fall, exempelvis i samband med personuppgiftsbehandling vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). I förarbetena uttalades bl.a. följande:

IFAU söker i sina studier svar på frågan om värdet på en variabel, t. ex. antal dagar i arbetslöshet, har betydelse i förhållande till en viss utfalls- variabel, t.ex. att en enskild har fått arbete. Forskningsmetodiken är ofta explorativ på så sätt att olika modeller med många variabler under- söks. De variabler som inte har någon betydelse för utfallsvariabeln ute- sluts. Då återstår samband som kan tolkas och utvärderas. Att leta sam- band bland många variabler, även bland sådana där uppenbara logiska samband saknas, har visat sig vara en effektiv och värdefull metod för att hitta ny kunskap. Det är därmed inte önskvärt att begränsa antalet variabler som IFAU får använda i sin verksamhet.23

22SOU 2017:39 avsnitt 10.6.2.

23Prop. 2011/12:176 s. 48 f.

268

SOU 2017:50

Skyddsåtgärder

Även rörande den s.k. LifeGene-lagen har sökbegränsningar som skyddsåtgärd avstyrkts:

Med hänsyn till att det för utlämnande till forskningsprojekt måste vara möjligt att göra urval baserade på de faktorer eller variabler som ska studeras bör det dock inte i den föreslagna lagen ställas upp några begränsningar för vilka sökbegrepp som får användas.24

Även Registerforskningsutredningen har behandlat frågan om sök- begränsningar i databaser för forskningsändamål, och inte funnit skäl att införa sådana begränsningar:

Endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna. Det innebär att innehållet i databasen och därmed också möjliga sökbegrepp är noga avvägt och begränsat. För att data- basen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas.25

Mot bakgrund av ovanstående anser vi därför inte att en generell sökbegränsning ska gälla vid personuppgiftsbehandling för forsk- ningsändamål.

Utbildning av personal med tillgång till personuppgifter

Att utbilda den personal som har tillgång till personuppgifter lyftes fram som en av flera möjliga skyddsåtgärder vid förhandlingarna även om detta inte togs med i den slutliga förordningstexten.26 Att utbilda personal får i allmänhet anses följa av förordningens all- männa bestämmelser och varje individs skyldighet att känna till lagen, och i synnerhet av den princip som framgår av artikel 5.2 (ansvars- skyldighet). Det kan dock inte uteslutas att certifiering27 eller lik- nande av personal med tillgång till personuppgifter kan vara en orga- nisatorisk åtgärd som minskar risken för intrång i de registrerades integritet.

24Prop. 2012/13:163 s. 43.

25SOU 2014:45 s. 442.

26Note from German delegation to Working Party on Information Exchange and Data Protection, Subject: Pseudonymisation (dokument 14705/14, 24 oktober 2014), data.consilium.europa.eu/doc/document/ST-14705-2014-INIT/en/pdf

27Med certifiering avses här ett utfärdande (från ett behörigt certifieringsorgan) som syftar till att visa att en viss person har kunskap om personuppgiftsbehandling och dess förenlighet med förordningen.

269

Skyddsåtgärder

SOU 2017:50

Det bör i sammanhanget nämnas att dataskyddsförordningen reglerar och uppmuntrar möjligheten till certifiering av behandling av personuppgifter (artikel 42). Det är dock inte samma sak som certifiering av personuppgiftsansvariga när denna tar sikte på själva processen för behandlingen snarare än de personer som utför den.

Avskild verksamhet

Det följer direkt från förordningens säkerhetskrav att den person- uppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att varje fysisk person som utför arbete under dennes överinseende endast behandlar personuppgifter på instruktion från denne (arti- kel 32.4). Utöver detta kan det också vara fördelaktigt att avskilja personuppgiftsbehandlande verksamhet från övrig verksamhet.

Att skapa en avskild verksamhet inom en större myndighet eller ett företag, genom att exempelvis ha fysiskt avskilda servrar, låsta avdelningar, organisatorisk indelning, behörighetskontroll med mera, syftar till att begränsa framför allt de personer som har till- gång till personuppgifterna, samt även utgöra en tydligare och mer kontrollerbar gräns som skydd mot dataintrång. Det kan därför ut- göra en skyddsåtgärd i dataskyddsförordningens mening.

Ett exempel på en lagreglerad avskild verksamhet utgör 10 § för- ordningen (2001:100) om den officiella statistiken, som rör behand- ling av personuppgifter och som anger att en statistikansvarig myn- dighets verksamhet för framställning av statistik ska vara organiserad så att den är avgränsad från myndighetens verksamhet i övrigt.

Regelefterlevnad (”compliance”)

När en viss skyddsåtgärd införs är det viktigt att verksamheten an- passas så att det är möjligt att kontrollera att åtgärden har avsedd effekt. Om exempelvis accesskontroll för personuppgifter införs kan man inte veta om den fungerar som avsett utan att följa upp hur denna kontroll har efterlevts i praktiken. Detta görs ofta genom loggkontroller, där man analyserar de loggar som systemet för access- kontroll kan föra, och genom vilka man kan få reda på vilka som har medgivits eller nekats tillgång till vilka resurser.

270

SOU 2017:50

Skyddsåtgärder

Sådan loggning och logguppföljning utgör förstås personupp- giftsbehandling i sig, med de anställda som registrerade, och behö- ver ha stöd i bl.a. artiklarna 5 och 6 i dataskyddsförordningen.

I en bredare bemärkelse utgör regelefterlevnad ett förfarande för att testa, undersöka och utvärdera effektiviteten hos andra skydds- åtgärder. Av artikel 32.1 d framgår att ett sådant förfarande kan över- vägas för att säkerställa en lämplig säkerhetsnivå. Förordningen före- lägger dock inte den personuppgiftsansvarige att göra just detta.

Regelefterlevnad utgör således ett förfarande för att bl.a. testa, undersöka och utvärdera effektiviteten av införda åtgärder, och är enligt utredningens bedömning en skyddsåtgärd som kan användas för att säkerställa en lämplig säkerhetsnivå.

12.3.4Rättsliga skyddsåtgärder

Det finns ett antal rättsligt orienterade åtgärder som kan öka skyddet för personuppgifter och de registrerades grundläggande rättigheter och friheter. Vi har samlat dessa under begreppet ”rättsliga skydds-

åtgärder”, en indelning som inte förekommer i förordningstexten. Det bör uppmärksammas att termen ”tekniska och organisato-

riska åtgärder” används i artikel 89.1, angående vilka åtgärder som krävs för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Detta får anses medföra att en rättslig åtgärd inte ensam kan utgöra sådan skyddsåtgärd som krävs enligt denna artikel.

På andra ställen i förordningen (bl.a. artikel 9.2 j om behandling av känsliga uppgifter) används däremot ”lämpliga skyddsåtgärder” utan någon avgränsning. I detta sammanhang är det fråga om så- dana åtgärder som ska vara fastställda enligt unionsrätten eller med- lemsstaternas nationella rätt.

Det krävs därför en vidare analys av i vilka sammanhang följande åtgärder kan uppfylla förordningens krav på skyddsåtgärder. Utöver nedanstående åtgärder analyseras även etikprövning som skydds- åtgärd i kapitel 14.

271

Skyddsåtgärder

SOU 2017:50

Avtal

I vissa sammanhang kan avtalsvillkor som exempelvis begränsar mot- tagares rätt att vidarebehandla personuppgifter utgöra en skydds- åtgärd. Ett exempel är SCB:s tjänst för mikrodata (MONA). Med mikrodata avses i statistiska sammanhang information på individu- ell svarsnivå. Detta innefattar vanligen personuppgifter. I tjänstens användarvillkor intygar användaren bl.a. att inte kopiera mikrodata från MONA-systemet till annan dator.28

Skyddet består i att ytterligare behandling hos mottagaren – som förstås måste ha en tillämplig rättslig grund för sin behandling av personuppgifter och i övrigt uppfylla de grundläggande princi- perna för personuppgiftsbehandling – genom ett eller flera avtals- villkor kan begränsas. Av dataskyddsförordningens artikel 46.3 e framgår att avtalsvillkor kan utgöra skyddsåtgärder vid vissa tredje- landsöverföringar. Vår bedömning är att avtalsvillkor generellt kan utgöra skyddsåtgärder. Lämpligheten är dock förstås avhängigt vill- korens materiella innehåll.

Sekretessbestämmelser

Detta avsnitt fokuserar på skyddet för personuppgifter som be- handlas inom ramen för forskningsverksamhet när det är fråga om att lämna ut dessa personuppgifter till annan verksamhet.

I offentlighets- och sekretesslagen (2009:400) (OSL) regleras ett fåtal typer av uppgifter i sammanhang som har direkt anknytning till forskning:

Uppgift som hänför sig till psykologisk undersökning som ut- förs för forskningsändamål (24 kap. 1 § OSL).

Uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts det rättspsykiatriska forsknings- registret (24 kap. 2 § OSL).

Uppgift som avser en enskilds personliga förhållanden i verksam- het enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den s.k. ”LifeGene- lagen”), 24 kap. 2 a § OSL).

28 Se även FAQ: ”Finns det restriktioner på vilken typ av information filerna jag tar hem får innehålla? Ja, datafiler får ej innehålla mikrodata utan enbart aggregat.”, http://www.scb.se/Grupp/ Produkter_Tjanster/Forskare/_Dokument/MONA/FAQ.pdf

272

SOU 2017:50

Skyddsåtgärder

Uppgifter om en enskilds personliga eller ekonomiska förhållan- den i verksamhet som består i etikprövning och tillsyn enligt etik- prövningslagen (24 kap. 3 § OSL).

Uppgift i en upptagning som har dialektologiskt eller etnolo- giskt innehåll och som har gjorts eller anskaffats för vetenskap- ligt ändamål, (24 kap. 4 § OSL).

Utöver ovanstående finns vissa regler till skydd för enskild som gäller oavsett i vilket sammanhang uppgiften förekommer:

Uppgifter om enskilds hälsa eller sexualliv (21 kap. 1 § OSL).

Om ett utlämnande av personuppgift skulle medföra att uppgif- ten behandlas i strid med personuppgiftslagen (21 kap. 7 § OSL).

Dessa bestämmelser har olikartad utformning vad gäller presum- tion för offentlighet eller sekretess, sekretessens styrka m.m. Ut- formningen av bestämmelserna i varje enskilt fall får antas ha gjorts med beaktande av risker för den enskilde. Under dessa förutsätt- ningar är vår bedömning att de aktuella sekretessbestämmelserna också utgör skyddsåtgärder i dataskyddsförordningens mening. En likartad bedömning har även tidigare gjorts i samband med genom- förandet av det nuvarande dataskyddsdirektivet.29 Eftersom sekretess- lagstiftningen i sig utgör en avvägning mellan skyddet för den en- skilde och insynsintresset får lagstiftningen presumeras vara för- enlig med det väsentliga innehållet i rätten till dataskydd.

Av praktisk betydelse för forskningen är även den regel om över- föring av sekretess som återfinns i 11 kap. 3 § OSL och som anger att om en myndighet i sin forskningsverksamhet får en sekretess- reglerad uppgift från en annan myndighet, blir sekretessbestämmel- sen tillämplig på uppgiften även hos den mottagande myndigheten (med undantag för uppgifter som ingår i beslut hos den mottag- ande myndigheten). Den s.k. statistiksekretessen (24 kap. 8 § OSL) är här av särskild betydelse för registerbaserad forskning.

En effekt av en sekretessbestämmelse är att den person som vid en myndighet får del av en uppgift för vilken det råder sekretess kan dömas till ansvar för brott mot tystnadsplikt om denne ändå röjer uppgiften (20 kap. 3 § brottsbalken via 4 kap. 2 § OSL). För

29 SOU 1997:39 s. 307.

273

Skyddsåtgärder

SOU 2017:50

vissa sekretessbestämmelser går denna tystnadsplikt även före den grundlagsskyddade meddelarfriheten.

I den mån aktuell forskning utförs inom en myndighet bedömer utredningen att tillämpliga sekretessbestämmelser utgör en rättslig skyddsåtgärd för den registrerades rättigheter och friheter.

Tystnadsplikt

Användning av tystnadsplikt som skyddsåtgärd nämns särskilt i förordningens artikel 9.2 i som ett undantag från det generella för- budet att behandla känsliga personuppgifter på folkhälsoområdet. En motsvarande bestämmelse saknas dock för behandling för forskningsändamål. Av föregående avsnitt om sekretess framgår att det för en uppgift som omfattas av sekretess råder tystnadsplikt för den person vid en myndighet som får del av uppgiften.

Utöver den tystnadsplikt som följer av sekretessen finns regler om tystnadsplikt som träffar personer inom enskild verksamhet. Exempelvis anger 6 kap. 12 § patientsäkerhetslagen (2010:659) att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Bestämmelserna är avsedda att ge patienten samma skydd som enligt OSL.30 Denna bestämmelse tar dock inte sikte på forskning i enskild verksamhet.

För uppgifter inom enskilt bedriven forskning finns inte, som till exempel inom privat hälso- och sjukvård, några generellt tillämpliga bestämmelser om tystnadsplikt. Om en forskare i enskild verksam- het begär ut uppgifter som omfattas av sekretess från en myndighet kan dock uppgifterna i vissa fall ändå lämnas ut, med stöd av 10 kap. 14 § OSL och med ett förbehåll som ålägger den enskilde forskaren tystnadsplikt.

Vår bedömning är att befintlig lagreglerad tystnadsplikt, utöver vad som följer av sekretesslagstiftningen, endast undantagsvis kan sägas utgöra en skyddsåtgärd i dataskyddsförordningens mening. Vi bedömer vidare att det inte ryms inom utredningens uppdrag att komma med nya förslag på reglering av tystnadsplikt, då sådana

30 SOU 2015:45 s. 464.

274

SOU 2017:50

Skyddsåtgärder

förslag skulle ha konsekvenser utanför de frågor vi har i uppdrag att reglera.

Avtalsreglerad tystnadsplikt kan dock, på samma sätt som andra avtalsvillkor, utgöra lämplig skyddsåtgärd.

Möjlighet att motsätta sig behandling (opt out-reglering)

I kapitel 6 har utredningen redogjort för möjligheterna att använda samtycke som rättslig grund för personuppgiftsbehandling.

Ett alternativt förhållningssätt till den enskildes viljeyttring kan vara att, inom ramen för en personuppgiftsbehandling som sker på annan rättslig grund än samtycke, ge den registrerade möjlighet att motsätta sig behandling av dennes personuppgifter (opt out-regler- ing). Exempel på sådana möjligheter i lagstiftningen finns i 7 kap. 2 § patientdatalagen (2008:355), där den enskilde ges möjlighet att motsätta sig att dennes personuppgifter behandlas i ett s.k. kvalitets- register.31 Ytterligare exempel finns i 11 § personuppgiftslagen, där den enskilde ges möjlighet att skriftligen motsätta sig behandling av sina personuppgifter för ändamål som rör direkt marknadsföring.32 I dessa fall utgör den enskildes motsättande ett absolut rättsligt hinder för vidare personuppgiftsbehandling.

Om grunden för behandlingen i stället är en intresseavvägning enligt dataskyddsförordningens artikel 6.1 f (motsvarande dagens reglering i 10 § f personuppgiftslagen) får den registrerades uttryck- liga motsättande mot behandlingen visserligen anses väga tungt, men den utgör inte ett absolut hinder.33

Om grunden för behandlingen är intresseavvägning enligt arti- kel 6.1 f eller att behandlingen är nödvändig för att utföra en upp- gift av allmänt intresse eller som ett led i den personuppgiftsansva- riges myndighetsutövning enligt artikel 6.1 e har den registrerade rätt att göra invändningar mot behandlingen enligt artikel 21. Denna möjlighet behandlas närmare i avsnitt 10.3.4.

31Med kvalitetsregister avses enligt 7 kap. 1 § patientdatalagen en automatiserad och struktu- rerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

32En motsvarande bestämmelse finns i artikel 21.3 i dataskyddsförordningen.

33I forskningssammanhang är det av stor betydelse att en myndighet inte kan basera en laglig behandling på intresseavvägning som rättslig grund enligt artikel 6.1 andra stycket i data- skyddsförordningen.

275

Skyddsåtgärder

SOU 2017:50

Opt out skiljer sig från avsaknad av samtycke eftersom den en- skilde aktivt måste motsätta sig behandlingen. Skyddsåtgärden består i att den enskilde ges kontroll att hindra en personuppgiftsbehand- ling som annars hade varit tillåten.

Vid opt out-reglering som skyddsåtgärd är grundförutsättningen att det finns en annan rättslig grund än samtycke för personuppgifts- behandlingen. För att opt out-regleringen ska vara effektiv måste den enskilde få vetskap om att den sker i enlighet med artiklarna 12–14 i dataskyddsförordningen. Möjligheten att exempelvis låta bli att informera den enskilde i enlighet med artikel 14.5 b får inte användas om opt out-reglering ska tillämpas som skyddsåtgärd. Inte heller kan den enskildes rätt till tillgång enligt artikel 15 inskränkas med stöd av artikel 89.2.

Reglering av möjlighet att motsätta sig behandling bör kunna förenas med formkrav på exempelvis skriftlighet, undertecknande eller liknande. För att regleringen ska betraktas inte bara som en skyddsåtgärd i sig utan också som en lämplig skyddsåtgärd måste dock eventuella formkrav vara proportionerliga gentemot ett legi- timt intresse som formkravet har till syfte att säkerställa. Det kan exempelvis vara fråga om att försäkra sig om att det verkligen är den registrerade som är den som motsätter sig behandlingen. I sammanhanget bör beaktas de villkor för den registrerades ut- övande av sina rättigheter som framgår av artikel 12 samt rätt till information och tillgång som framgår av artiklarna 13–15. Särskilt bör formkrav utformas så att de kan uppfyllas på enklast möjliga sätt, vilket ofta innebär elektroniskt uppfyllande (jfr skäl 59).

Arkivering, gallring och utplåning

I sådan forskning som bedrivs i offentlig verksamhet medför offent- lighetsprincipen att enskilda har rätt att ta del av allmänna handlingar hos myndigheter (2 kap. tryckfrihetsförordningen). Myndigheters arkiv är en del av det nationella kulturarvet. För att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rätt- skipningen och förvaltningen och forskningens behov ska myndig- heternas arkiv bevaras, hållas ordnade och vårdas enligt 3 § arkivlagen (1990:782).

276

SOU 2017:50

Skyddsåtgärder

Med gallring avses generellt att förstöra allmänna handlingar eller uppgifter i allmänna handlingar. I en digital miljö omfattas även åtgärder med handlingarna som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjlig- heter, eller förlust av möjligheter att bedöma handlingarnas autenti- citet (2 kap. 1 § RA-FS 2009:1).

Huvudregeln i arkivlagstiftningen är att allmänna handlingar ska arkiveras för att därefter kunna gallras eller bevaras. Principen om uppgiftsminimering i dataskyddsförordningen föreskriver däremot bl.a. att uppgifter inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas. Principen om lagringsminimering föreskriver vidare att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna be- handlas.34 Särskilt vad gäller personuppgiftsbehandling för forsk- ningsändamål anges i artikel 89.1 att när dessa ändamål kan upp- fyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ända- mål uppfyllas på det sättet.

I den mån arkivering innebär att uppgifter avskiljs från den van- liga verksamheten genom att exempelvis lagras separat kan effekten bli ett visst skydd för den registrerades rättigheter och friheter enligt dataskyddsförordningen. Men även separat lagring utgör person- uppgiftsbehandling. Den princip om allmänna handlingars bevar- ande som finns i den svenska arkivlagstiftningen är därmed i konflikt med de olika minimeringsprinciperna i dataskyddsförordningen. Vad gäller arkivlagstiftningens förenlighet med nuvarande dataskydds- direktiv har denna konflikt adresserats i samband med genomför- andet i form av 8 § andra stycket personuppgiftslagen, som anger att lagen inte hindrar att en myndighet arkiverar och bevarar all- männa handlingar eller att arkivmaterial tas om hand av en arkiv- myndighet. Dataskyddsutredningen har haft i uppdrag att bl.a. analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar som behövs utöver dataskydds- förordningen.

34 Personuppgifter får dock lagras under längre tid i den mån de enbart behandlas för bl.a. arkiv- och forskningsändamål, under förutsättning att skyddsåtgärder genomförs.

277

Skyddsåtgärder

SOU 2017:50

Även om arkivering kan vara tillåten enligt dataskyddsförord- ningen kan det, med tanke på den ovan beskrivna konflikten, knappast bedömas utgöra en skyddsåtgärd. Gallring, i den bety- delse att uppgifterna utplånas, kan däremot utgöra en sådan åtgärd som särskilt säkerställer att principen om lagringsminimering i arti- kel 5.1 e och kraven i artikel 89.1 uppfylls. Vår bedömning är därför att beslut om gallring inom en viss myndighetsverksamhet kan ut- göra en rättslig skyddsåtgärd i dataskyddsförordningens mening vad gäller behandling för forskningsändamål i den mån kriterierna för gallring motsvarar de krav som följer av principen om uppgifts- minimering i artikel 5.1 e samt kravet på att ändamålen ska upp- fyllas genom uppgifter som inte medger identifiering av de registre- rade när så är möjligt i artikel 89.1.

12.3.5Säkerhet

Utöver de lämpliga skyddsåtgärder som artikel 89.1 kräver ställer förordningen i artikel 25 och 32 krav på att den personuppgifts- ansvarige vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Dessa åtgärder kan i många fall vara av samma slag, även om skyddsobjektet (den registrerades rättigheter och friheter, respektive lämplig säkerhetsnivå) skiljer sig åt.

Kriterier för en lämplig säkerhetsnivå

I det nuvarande dataskyddsdirektivets artikel 17 anges att medlems- staterna ska föreskriva att lämpliga tekniska och organisatoriska åtgärder ska genomföras för att skydda personuppgifter. Åtgär- derna ska med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstad- komma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas. Artikeln har genomförts i 31 § personuppgiftslagen.

278

SOU 2017:50

Skyddsåtgärder

Motsvarigheten i dataskyddsförordningen finns i artikel 32.1, som inleds:

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska perso- ners rättigheter och friheter ska den personuppgiftsansvarige och person- uppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Jämfört med artikel 17 i det nuvarande dataskyddsdirektivet är denna uppräkning av utvärderingskriterier för vad som är en lämplig åtgärd mer detaljerad, men innehåller inte något kriterium som i sak avviker från artikel 17. En genomgång av de olika kriterierna kan göras utifrån lydelsen av artikel 32 i dataskyddsförordningen enligt nedan.

Med beaktande av den senaste utvecklingen

Rubriken får anses motsvara ”Med beaktande av den nuvarande tekniska nivån” i artikel 17 i det nuvarande dataskyddsdirektivet. Det framstår emellertid inte som självklart hur man ska se på den omständighet att teknik inte nämns i det nya kriteriet – är det under- förstått att det är fråga om den tekniska utvecklingen inom i första hand it-säkerhet, eller ska även utvecklingen inom närbesläktade, ”mjukare” områden beaktas, såsom risker som kan uppstå med nya möjligheter till social manipulation?

Mot bakgrund av fortsättningen av artikel 32, vilken behandlar åtgärder som i första hand är förknippade med it-säkerhet, finner vi att en rimlig utgångspunkt är att det är it-utvecklingen, särskilt på säkerhetsområdet, som ska beaktas i första hand.

Den nya lydelsen förmedlar tydligare att utvecklingen på områ- det hela tiden fortgår. Detta får till effekt att en åtgärd som bedöms som lämplig ett år kanske inte är lämplig året efter, just på grund av utvecklingen. Särskilt vad gäller it-säkerhet och metoder för kryp- tering upptäcks hela tiden mer avancerade attacker mot dessa.

279

Skyddsåtgärder

SOU 2017:50

Genomförandekostnaderna

Rubriken får anses motsvara ”de kostnader som är förknippade med åtgärdernas genomförande” i artikel 17 i det nuvarande data- skyddsdirektivet. Vad som är kostnadsdrivande i genomförandet av en åtgärd beror såväl på den faktiska åtgärden som på det samman- hang den ska införas i. En organisation med hög teknisk kompe- tens och befintliga liknande åtgärder kommer att kunna införa en viss teknisk åtgärd billigare än en organisation som saknar denna kunskap.

Generellt sett medför dock den tekniska utvecklingen att genom- förandekostnaderna för en specifik teknisk åtgärd i allmänhet sjunker över tid. Detta bl.a. på grund av hård- och mjukvaras kom- modifiering, dvs. att från början tekniskt avancerade funktioner som krypterad lagring och servercertifikat för säker kommuni- kation går mot att bli standardfunktioner. Detta utgör en motvikt till den ovan nämnda tendensen att en specifik åtgärd kan anses mindre och mindre lämplig allt eftersom tiden går. Tillsammans ger båda dessa utvecklingstendenser att bedömningen av vad som utgör lämpliga säkerhetsåtgärder måste göras kontinuerligt, inte enbart vid behandlingens början.

Behandlingens art, omfattning, sammanhang och ändamål

Rubriken får anses motsvara ”arten av de uppgifter som ska skyddas” i artikel 17 i det nuvarande dataskyddsdirektivet, eller som kriteriet uttryckts i svensk lagstiftning, ”hur pass känsliga de behandlade personuppgifterna är” (31 § d personuppgiftslagen). Dataskydds- förordningen utgår dock från att man ska beakta behandlingen, inte uppgifterna i sig. En ytterligare ändring är att där direktivet endast utgår från uppgifternas art så utgår förordningen från behand- lingens art, omfattning, sammanhang och ändamål.

Detta kriterium, tillsammans med nästföljande, tydliggör att valet av lämplig skyddsåtgärd fordrar en avvägning: å ena sidan ut- ifrån vad som är tekniskt och ekonomiskt rimligt, å andra sidan utifrån hur viktigt skyddet egentligen är. Det förefaller naturligt att den registrerades rättigheter måste skyddas mer noggrant när det är fråga om känsliga personuppgifter än när det är fråga om mer all- dagliga uppgifter, och att detta skydd i så fall måste få kosta mer.

280

SOU 2017:50

Skyddsåtgärder

Riskerna för fysiska personers rättigheter och friheter

Rubriken indikerar ett avslutande kriterium som får anses motsvara

”de risker som är förknippade med behandlingen” i artikel 17 i det nuvarande dataskyddsdirektivet. Ingen av dessa formuleringar kan dock läsas helt fristående, eftersom artiklarna på andra ställen i förordningen större detalj beskriver riskbedömningen. Artikel 17 i det nuvarande dataskyddsdirektivet inleds:

Medlemsstaterna skall föreskriva att den registeransvarige skall genom- föra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.

Dataskyddsförordningens artikel 32.2 anger:

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olag- lig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Även om skyddsmålet i slutändan är den enskildes integritet ligger tyngdpunkten vid denna riskbedömning på uppgiftsförstörelse eller obehörigt röjande. Dataskyddsförordningen nämner även obehörig åtkomst. Den omständighet att dataskyddsförordningen till skill- nad från det nuvarande dataskyddsdirektivet inte i detta samman- hang nämner ”överföring av uppgifter i ett nätverk” medför enligt vår bedömning inte en materiell förändring av riskbedömningen, utan får snarast ses som en följd av att överföring i nätverk är det vanliga år 2017, på ett sätt som det kanske inte var år 1995 när det nuvarande dataskyddsdirektivet antogs.

Den nationella säkerhetsstrategin

Regeringen presenterade den 8 januari 2017 en ny nationell säker- hetsstrategi. Under rubriken ”Informations- och cybersäkerhet, digitala risker” framhålls att det är en uppgift för alla aktörer i sam- hället att fortlöpande arbeta för att minska sårbarheter. Förmågan

281

Skyddsåtgärder

SOU 2017:50

att förebygga, identifiera och hantera it-incidenter och antagonis- tiska attacker behöver därtill förbättras inom alla samhällsviktiga funktioner. Regeringen håller även på att ta fram en nationell strategi för informations- och cybersäkerhet som bl.a. bygger på EU-direk- tivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet).35 NIS- direktivet och dataskyddsförordningen innehåller inga direkta refe- renser mellan sig. Nationella och unionsrättsliga regler om it-säker- het måste förstås ändå beaktas inom ramen för den personuppgifts- ansvariges säkerhetsansvar.

12.4Överväganden och förslag

Nedan lämnar vi förslag på bestämmelser om skyddsåtgärder gäll- ande all personuppgiftsbehandling för forskningsändamål. Utöver dessa lämnar vi även specifika förslag på bestämmelser om skydds- åtgärder vid behandling av känsliga personuppgifter samt person- uppgifter om lagöverträdelser m.m. i kapitel 14.

12.4.1Lämplig normgivningsnivå

Utredningens bedömning: Bestämmelser om skyddsåtgärder vid personuppgiftsbehandling kan och bör ges i författningsform.

Det utesluter inte att skyddsåtgärder även kan beslutas i det enskilda fallet genom meddelade villkor i samband med etik- prövning, eller självregleras genom godkända uppförandekoder.

Vi föreslår inte något särskilt bemyndigande för en myndig- het att meddela föreskrifter om skyddsåtgärder.

Vårt uppdrag i denna del är att lämna förslag på sådana lämpliga skyddsåtgärder som personuppgiftsbehandling för forskningsända- mål ska omfattas av. Vi ska vidare lämna behövliga författnings- förslag.

35 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Se vidare utredningen om genomförande av NIS-direktivets betänkande Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36).

282

SOU 2017:50

Skyddsåtgärder

För att behandling av känsliga personuppgifter ska vara tillåten måste den enligt artikel 9.2 j vara nödvändig på grundval av unions- rätten eller medlemsstaternas nationella rätt som ska innehålla be- stämmelser om skyddsåtgärder. Även behandling av personuppgifter om lagöverträdelser m.m. av andra än myndigheter kräver stöd i unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts. Utöver detta är det inte självklart att lämp- liga skyddsåtgärder för personuppgiftsbehandling för forsknings- ändamål måste regleras i nationell lagstiftning, även om det av skäl 156 framgår att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål. Data- skyddsförordningens krav på lämpliga skyddsåtgärder i artikel 89.1 är direkt tillämpliga. Nationell reglering som anvisar vissa särskilda skyddsåtgärder förhindrar inte EU-domstolen att göra en självstän- dig bedömning av huruvida en viss skyddsåtgärd är lämplig i ett visst sammanhang.

Alternativ till lagreglering av skyddsåtgärder kan vara att bemyn- diga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförande- koder enligt artikel 40 kan vara ett sätt att se till att lämpliga skydds- åtgärder vidtas.

Etikgodkännande med villkor

Etikprövningsnämnderna har enligt gällande rätt och även enligt våra förslag möjlighet att förena ett etikgodkännande med villkor. Dessa villkor kan utgöra skyddsåtgärder.

Det är visserligen så att etikprövning i dag sker, och även fort- sättningsvis föreslås ske, endast för forskning som medför behand- ling av känsliga personuppgifter eller personuppgifter om lagöver- trädelser m.m. Forskning som inte innefattar behandling av denna typ av personuppgifter etikprövas inte, och det saknas därför möjlig- het att ålägga sådan forskning villkor enligt etikprövningslagen. Det får dock antas att forskning av detta slag generellt sett är mindre känslig för den personliga integriteten, och att behovet av den för- utsägbara och lagreglerade tillämpningen av skyddsåtgärder är mindre i dessa fall. Kravet på lämpliga skyddsåtgärder kvarstår även när etikprövning inte är obligatoriskt, men den personuppgiftsansva-

283

Skyddsåtgärder

SOU 2017:50

rige har då att självständigt göra en bedömning av vilka skydds- åtgärder som bör tillämpas. Datainspektionen har som tillsyns- myndighet möjlighet att utöva tillsyn över sådan behandling.

Uppförandekoder

Dataskyddsförordningen ger en möjlighet till införande av upp- förandekoder som kan godkännas av tillsynsmyndighet eller kom- missionen (artikel 40). Efter godkännande kan anslutning till sådan uppförandekod användas för att visa att den personuppgiftsansva- rige uppfyller sina skyldigheter (artikel 24). Avsikten med sådana uppförandekoder är att bidra till att förordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där personuppgifts- behandling sker. Ett sådant exempel är Biobanking and BioMolecular resources Research Infrastructure (BBMRI), ett s.k. European Research Infrastructure Consortium (ERIC), som har för avsikt att ta fram en uppförandekod för ”health and life science”. Första utkastet till en sådan uppförandekod kommer att presenteras under juli 2017 med målsättningen att ha en version som kan godkännas enligt den process som anges i artikel 40.36

Vår bedömning är att sådana uppförandekoder kan vara en lämplig mekanism för självreglering av personuppgiftsbehandling för forsk- ningsändamål under tillsynsmyndigheten och kommissionens insyn.

Sammanfattning

Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi be- dömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform.

Jämfört med villkor meddelade vid etikgodkännande samt upp- förandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller person- uppgifter om lagöverträdelser m.m.

36 Se vidare Summary Report on the BBMRI-ERIC Working Meeting on Health and Life Sciences GDPR Code of Conduct, http://www.bbmri-eric.eu/news-events/summary-report -on-the-bbmri-eric-working-meeting-on-health-and-life-sciences-gdpr-code-of-conduct/

284

SOU 2017:50

Skyddsåtgärder

12.4.2Förslag till skyddsåtgärder

Uppgifter får inte användas för att vidta åtgärder i fråga om den registrerade

Utredningens förslag: Personuppgiftslagens befintliga bestäm- melse som anger att uppgifter som samlats in för forskningsända- mål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Den befintliga bestämmelsen i 9 § fjärde stycket personuppgifts- lagen samt undantaget i 8 § andra stycket samma lag för myndig- hets användning av personuppgifter i allmänna handlingar överförs till forskningsdatalagen. Dessa två bestämmelser har tillsammans tidigare bedömts vara en lämplig skyddsåtgärd när uppgifter be- handlas för bl.a. forskningsändamål.37

Den befintliga bestämmelsen i 9 § fjärde stycket personuppgifts- lagen omfattar historiska, statistiska eller vetenskapliga ändamål. Vad gäller historiska och statistiska ändamål har Dataskyddsutred- ningen föreslagit en likartad reglering i dataskyddslagen för arkiv- ändamål och statistiska ändamål. Dataskyddsutredningen har bedömt att det saknas skäl att ange att personuppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att uppgif- ten används för nya ändamål, kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen. Vi ansluter oss till denna bedömning. I sammanhanget ska understrykas att det nya ändamålet omfattar vidtagande av åtgärder i fråga om den registrerade och alltså inte för forskningsändamål.

Bestämmelsen har omformulerats något med anledning av att huvudregeln i 9 § fjärde stycket sammanförts med sitt undantag i 8 § andra stycket. Vi avser dock ingen ändring i sak jämfört med dagens bestämmelser.

37 Prop. 1997/98:44 s. 62 och 119.

285

Skyddsåtgärder

SOU 2017:50

Personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt

Utredningens förslag: Personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppfyllas på det viset.

Pseudonymisering framhålls på flera ställen i dataskyddsförord- ningen som en tänkbar skyddsåtgärd. I praktiken är också pseudo- nymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforsk- ning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form.

Vi anser därför att den personuppgiftsansvarige ska skydda person- uppgifterna genom att tillämpa pseudonymisering eller likvärdigt skydd, under förutsättning att forskningsändamålen kan uppfyllas på det viset.

I denna bedömning har vi framför allt beaktat skaderisken vad gäller intrånget i den registrerades personliga integritet som sam- mankopplingen mellan dennes identitet och anknytande person- uppgifter medför. Denna prioritering har stöd särskilt i skäl 75 i dataskyddsförordningen som lyfter fram risken för ”obehörigt häv- ande av pseudonymisering”. Pseudonymisering innebär enligt defi- nitionen i artikel 4.5 bl.a. att kompletterande information behövs för att sådan tillskrivning ska bli möjlig. Genom att särskilt prioritera konfidentialitet i denna kompletterande information säkerställs skyddsåtgärdens effektivitet.

Alternativ till pseudonymisering enligt dataskyddsförordningen

Den legaldefinition av pseudonymisering som finns i dataskydds- förordningen är, som beskrivits i avsnitt 12.3.3, strikt och ställer framför allt kravet på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kod- nyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer/koder. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt.

286

SOU 2017:50

Skyddsåtgärder

Sådan behandling kan medföra att uppgifterna blir mindre läm- pade för det aktuella forskningsändamålet, se exempelvis diskussio- nen om skyddsåtgärderna randomisering och generalisering i av- snitt 12.3.3. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Ut- vecklingen, framför allt på det tekniska området, gör det mindre lämpligt att föreskriva en viss form av skyddsåtgärder om lämpligare tekniker kan komma att utvecklas i framtiden.

Vad är likvärdigt skydd?

Det skydd som följer av pseudonymisering utgörs främst av att identifierande uppgifter avlägsnas från de uppgifter som behandlas. Information som kan användas för att identifiera den enskilde be- varas separat och omgärdas av säkerhetsåtgärder. Detta hindrar att den enskilde sammankopplas med sina uppgifter.

Med likvärdigt skydd avser vi en åtgärd eller kombination av åtgär- der som i samma utsträckning som pseudonymisering förhindrar att den enskilde obehörigen sammankopplas med sina personuppgif- ter. Med obehörig sammankoppling avser vi här en sammankoppling mellan den enskilde och dennes uppgifter som inte framgår från det angivna ändamålet med behandlingen.

Alternativa åtgärder kan åstadkomma ett likvärdigt skydd genom att exempelvis begränsa åtkomst till identifierande uppgifter, eller omfatta instruktioner för hur personuppgiftsbehandling får bygga på användning av identifierande uppgifter. Exempel på sådana åtgärder kan vara att en separat organisation har hand om sådan information som kan användas för att identifiera den enskilde, eller att instruktio- nerna för personuppgiftsbehandling inom ramen för forskningen ut- tryckligen förbjuder försök till återidentifiering (jfr avsnitt 12.3.2).38

Detta likvärdighetskriterium för skyddsåtgärder gör det möjligt att exempelvis använda mindre ingripande metoder för att behandla

38 Det torde vara det normala inom de flesta forskningsprojekt att återidentifiering inte får ske. Det tidigare nämnda Stockholm Birth Cohort har dock använt återidentifiering som ett verktyg för att påföra ny information till anonymiserad data. Detta projekt skulle därför inte kunna använda den här föreskriva skyddsåtgärden, utan i stället få åberopa att ändamålet inte kan uppnås på det viset.

287

Skyddsåtgärder

SOU 2017:50

uppgifterna, exempelvis att endast ersätta direkt identifierande upp- gifter med pseudonymer eller koder (kodning), under förutsättning att ytterligare åtgärder vidtas för att säkerställa att någon obehörig sammankoppling mellan den enskilde och dennes personuppgifter inte sker.

Förutsatt att ändamålet kan uppnås på sådant vis

Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Även om sådan behandling kan framgå genom det angivna ändamålet (med behandlingen), och därmed inte kan anses utgöra obehörig sammankoppling, anser vi inte att detta är att betrakta som ett likvärdigt skydd. Forskningsmetoden kan dock utgöra det minst ingripande sättet att uppnå det förväntade resulta- tet, och forskningens vetenskapliga värde kan fortfarande väga upp risken för den enskildes personliga integritet.

Det bör därför finnas en möjlighet att inte tillämpa pseudonymi- sering eller annat likvärdigt skydd, om forskningsändamålet annars inte kan uppnås.

Det är i första hand forskningsaktören som bedömer om forsk- ningsändamålen kan uppfyllas när pseudonymisering eller likvär- diga skyddsåtgärder tillämpas. I samband med forskning som etik- prövas kan dock etikprövningsnämnder meddela villkor, bland annat om pseudonymisering.

Den registrerade ska kunna motsätta sig personuppgiftsbehandling

Utredningens förslag: Den enskilde ska ges möjlighet att mot- sätta sig att dennes personuppgifter behandlas för forsknings- ändamål.

Om det visar sig vara omöjligt eller medföra en oproportio- nerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.

288

SOU 2017:50

Skyddsåtgärder

Möjlighet att motsätta sig behandling (opt out) som skyddsåtgärd har berörts i avsnitt 12.3.4. Personuppgiftsbehandling för forsk- ningsändamål torde som huvudregel utföras med stöd av att den är nödvändig för att utföra en uppgift av allmänt intresse. Det finns därför ett behov av att även låta den enskildes inställning påverka möjligheten att behandla dennes personuppgifter.

I denna bedömning har vi beaktat vikten av den enskildes medver- kan i en säkerhetsanalys rörande sina egna personuppgifter. Genom att ge den enskilde möjligheten att motsätta sig behandling har vi också tillerkänt den registrerade ett grundläggande inflytande över bl.a. riskbedömningen. Den enskilde har i detta ett begränsat val att antingen låta sina personuppgifter ingå i behandlingen eller inte.

Kravet på information

Den enskilde måste få vetskap om att behandlingen sker för att kunna motsätta sig behandlingen.

Dataskyddsförordningen anger i artiklarna 12–15 på vilket sätt den enskilde ska informeras om sina rättigheter i samband med person- uppgiftsbehandling. Det finns vissa möjligheter till undantag från dessa informationsplikter när personuppgifter behandlas för forsk- ningsändamål. Exempelvis behöver den personuppgiftsansvarige, när uppgifterna erhållits från annan än den registrerade, inte infor- mera den enskilde om det skulle visa sig vara omöjligt eller skulle medföra en oproportionerlig ansträngning (artikel 14.5 b). Den personuppgiftsansvarige behöver inte heller ge den registrerade be- kräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas, eller i så fall ge tillgång till personuppgif- terna samt information om behandlingen (om nationell lagstiftning gör undantag från artikel 15 med stöd av artikel 89.2). Om tillämp- ningen av sådana undantag leder till att den enskilde i praktiken inte kan motsätta sig behandlingen kan denna skyddsåtgärd inte heller anses uppfylld.

289

Skyddsåtgärder

SOU 2017:50

Undantag från kravet att informera om

eller erbjuda möjlighet att motsätta sig behandling

I många sammanhang, särskilt vid registerforskning, uppstår prak- tiska problem kring information till de registrerade personerna. Det kan exempelvis röra sig om att forskningen sker utan de regi- strerades samtycke, på personuppgifter som pseudonymiserats eller kodats. Skäl 57 i dataskyddsförordningen anger att den personupp- giftsansvarige inte bör vara tvungen att skaffa ytterligare informa- tion för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i förordningen. Det måste där- för finnas ett undantag från skyldigheten att erbjuda en möjlighet för den enskilde att motsätta sig behandlingen, när det skulle visa sig vara omöjligt eller medföra en oproportionerlig ansträngning att informera den enskilde (jämför artikel 14.5 b).39

Däremot är det i många andra fall tänkbart och lämpligt att informera den registrerade att dennes personuppgifter behandlas, men att det ändå inte går att uppfylla forskningsändamålen om det finns en möjlighet att motsätta sig behandling.

Med vissa forskningsmetoder finns vidare problem med bortfall, när enskilda väljer att inte fortsatt medverka. Detta kan öka osäker- heten i forskningsresultaten.40 För vissa studier, exempelvis rörande våld i nära relationer eller smittsamma sjukdomar, kan det dess- utom vara olämpligt eller helt ogörligt att låta den enskilde få infly- tande över om forskningen ska utföras. Om forskningsändamålen med den valda metoden inte kan uppfyllas när den enskilde får rätt att motsätta sig behandling måste det finnas en möjlighet att ändå utföra behandlingen. Vid en sådan bedömning måste forsknings- aktören ta ställning till hur många personer som sannolikt skulle välja att motsätta sig behandlingen, och vad ett sådant bortfall får för effekt på osäkerheten i resultaten.

Vi föreslår således att det ska finnas två undantag från kravet att erbjuda den registrerade möjlighet att motsätta sig behandling, dels om det skulle vara oproportionerligt ansträngande att informera

39Notera dock det närliggande skäl 62, som i stället för ”oproportionerliga ansträngningar” använder uttrycket ”orimliga ansträngningar”. Den engelska språkversionen använder dock uttrycket ”disproportionate effort” i båda sammanhangen.

40Se t.ex. SOU 2014:45 s. 320 f.

290

SOU 2017:50

Skyddsåtgärder

samtliga registrerade, dels om forskningsändamålen i sådana fall inte kan uppfyllas.

Dessa två undantag kan bedömas fristående från varandra, vilket kan leda till en situation där den enskilde måste informeras om per- sonuppgiftsbehandlingen, men forskningens utformning inte tillåter den enskilde att få inflytande över denna behandling. Den registre- rade som i det fallet vänder sig mot behandlingen kan förstås använda rättssystemets övriga möjligheter om denne menar att den person- uppgiftsansvarige inte tillämpar lämpliga skyddsåtgärder.

Det är, likt vad som föreslås gälla för pseudonymisering eller likvärdiga skyddsåtgärder ovan, i första hand forskningsaktören som bedömer om något av dessa två undantag är tillämpliga. För sådan forskning som etikprövas har etikprövningsnämnderna möjlig- het att meddela villkor om att det ska vara möjligt att motsätta sig behandling.

12.4.3Övriga överväganden

Utredningens bedömning: Övriga tänkbara skyddsåtgärder ska inte regleras i nationell rätt.

De tre föreslagna bestämmelserna förordar tre specifika skydds- åtgärder. Den första är överförd från dagens bestämmelser i per- sonuppgiftslagen, och motsvaras av liknande bestämmelser i den föreslagna dataskyddslagen för arkivändamål samt statistiska ända- mål. Den andra framhålls särskilt i förordningen. Den tredje utgör ett sätt för den enskilde att påverka behandlingen när samtycke inte kan användas som rättslig grund för behandlingen. Vi bedömer där- för att skyddsåtgärderna har en särställning som gör att de är befo- gade att använda vid personuppgiftsbehandling för forskningsända- mål. Det är utredningens bedömning att övriga tänkbara skydds- åtgärder inte ska regleras i nationell rätt.

För behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. föreslår utredningen ytterligare skydds- åtgärder, se kapitel 14.

291

Skyddsåtgärder

SOU 2017:50

Utredningens bedömning: Nationell reglering ersätter inte för- ordningens generella krav på skyddsåtgärder. Någon upplysning om detta bör inte införas i nationell rätt.

Eftersom den personuppgiftsansvarige under vissa omständigheter kan underlåta att tillämpa pseudonymisering såväl som att ge den registrerade möjlighet att motsätta sig behandling kan det finnas situationer när den föreslagna nationella regleringen inte kräver några specifika skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål.

För vissa integritetskänsliga behandlingar är det även tänkbart att, även om pseudonymisering och/eller möjlighet att motsätta sig behandling tillämpas, dessa skyddsåtgärder inte är tillräckliga för att de ska bedömas som lämpliga.

I dessa situationer kräver ändå artikel 89.1 i dataskyddsförord- ningen att behandlingen omfattas av lämpliga skyddsåtgärder. Arti- keln ålägger den personuppgiftsansvarige att se till att sådana lämp- liga skyddsåtgärder föreligger. Det är därför inte tillräckligt att endast tillämpa bestämmelserna i den föreslagna forskningsdata- lagen utan att samtidigt beakta om artikel 89.1 är uppfylld. I samman- hanget bör påminnas om att artikel 89.1 även ålägger den person- uppgiftsansvarige att uppfylla forskningsändamålen genom vidare behandling av anonymiserade uppgifter när så är möjligt.

Den föreslagna nationella regleringen begränsar dock den person- uppgiftsansvariges möjligheter att efter helt fritt skön välja lämpliga skyddsåtgärder. Om pseudonymisering respektive möjlighet att motsätta sig behandling kan tillämpas ska dessa skyddsåtgärder tillämpas, även om andra skyddsåtgärder i och för sig skulle kunna betraktas som lämpliga.

En särskild påminnelse om att artikel 89.1 gäller behöver dock inte tas in i lagen.

12.5Sammanfattning

Detta kapitel har behandlat dataskyddsförordningens krav på skydds- åtgärder. Vårt uppdrag har varit att göra en analys av vilka skydds- åtgärder som bör gälla vid behandling av personuppgifter för forsk- ningsändamål och hur åtgärderna bör vara utformade. För känsliga

292

SOU 2017:50

Skyddsåtgärder

personuppgifter samt uppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmel- ser för att alls få behandla dessa, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför inlett med en analys av centrala begrepp som person- uppgift, pseudonymisering och anonymisering, för att sedan gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättig- heter, särskilt mot bakgrund på dataskyddsförordningens säkerhets- krav. Slutligen har vi lämnat förslag på vilka skyddsåtgärder som ska tillämpas vid personuppgiftsbehandling för forskningsändamål i allmänhet.

293

13 En proportionerlig lagstiftning

13.1Inledning

I kapitel 4 har vi analyserat behovet av och föreslagit en särskild forskningsdatalag, i linje med utredningens övergripande syfte att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. I andra kapitel har vi lämnat kompletterande för- slag om skyddsåtgärder för all personuppgiftsbehandling för forsk- ningsändamål, att behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten under förutsättning att behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövnings- lagen), samt vissa begränsningar av de rättigheter som följer av kapitel III i dataskyddsförordningen (EU 2016/679).

I detta kapitel görs en integritetsanalys och en proportionalitets- bedömning av den föreslagna forskningsdatalagen. Denna bedöm- ning sker utifrån de krav som följer av dataskyddsförordningen, 2 kap. 6 § regeringsformen, Europarådets dataskyddskonvention,1 artikel 6 och 7 i EU:s rättighetsstadga2 samt artikel 8 i Europa- konventionen.3

1Europarådets konvention om skydd för enskilda vid automatisk databehandling av person- uppgifter, nr 108.

2Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02).

3Jfr lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

295

En proportionerlig lagstiftning

SOU 2017:50

13.2Rättsliga förutsättningar

13.2.1Dataskyddsförordningen4

Fastställande av rättslig grund för personuppgiftsbehandling i nationell rätt

Av artikel 6.3 i dataskyddsförordningen framgår att grunden för personuppgiftsbehandling i enlighet med artikel 6.1 c och e ska fastställas i unionsrätten eller en medlemsstats nationella rätt. Så- dan rätt ska uppfylla ett mål av allmänt intresse och vara proportio- nell mot det legitima mål som eftersträvas, och kan innehålla sär- skilda bestämmelser för att anpassa tillämpningen av bestämmel- serna i förordningen.

Behandling av känsliga personuppgifter på grundval av nationell rätt

Av artikel 9.2 j framgår att behandling av känsliga personuppgifter för bl.a. forskningsändamål kan ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, under förutsättning att denna står i proportion till det eftersträvade syftet, är förenlig med det väsent- liga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder.

Begränsning av skyldigheter och rättigheter i nationell rätt

Av artikel 89.2 framgår att det i unionsrätten eller i medlemsstater- nas nationella rätt får föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21. Undantag ska dock föreskrivas med förbehåll för de villkor och skyddsåtgärder som avses i arti- kel 89.1. Undantag får föreskrivas i den utsträckning som dessa rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4 Utöver de förutsättningar som behandlats ovan kan nämnas att förordningen i artikel 35.10 tillåter att en konsekvensbedömning för vissa typer av behandlingar görs i samband med antagan- det av nationell rätt. Om detta har skett kan det befria den personuppgiftsansvarige från skyldigheten att göra en egen konsekvensbedömning för en sådan behandling. I utredningens uppdrag ryms dock inte möjligheten att reglera och konsekvensbedöma specifika behandlings- åtgärder, varför denna aspekt inte behandlas närmare.

296

SOU 2017:50

En proportionerlig lagstiftning

13.2.2Regeringsformen

Skyddet mot betydande intrång i den personliga integriteten

Sedan år 2011 gäller enligt 2 kap. 6 § andra stycket regeringsformen att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Uttrycket ”enskildas personliga förhållanden” avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400), vilket kan innefatta uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeför- hållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket.5

Endast sådan behandling utan samtycke som innebär kartlägg- ning eller övervakning omfattas av bestämmelsen. Enligt förarbe- tena kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall ofta anses innebära kartläggning av enskildas förhållanden. Så torde vara fallet när det gäller ett flertal uppgiftssamlingar som det allmänna förfogar över. En betydande mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Försäkringskassans, Skatteverkets, Tullverkets och Kronofogdemyndighetens olika data- baser. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och hanteringen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ända- målet med behandlingen är ett helt annat.6

Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgif- terna normalt anses vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär.

5Prop. 2009/10:80 s. 177.

6A.a. s. 180.

297

En proportionerlig lagstiftning

SOU 2017:50

Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i ärendehandläggningen. Vid bedöm- ningen av vad som kan anses utgöra ett betydande intrång bör flera omständigheter vägas in. Uppgifternas karaktär och omfattning ut- gör endast två faktorer att beakta. Även sådana omständigheter som t.ex. ändamålet med behandlingen av uppgifterna och omfatt- ningen av utlämnandet av uppgifter till andra som sker utan omedel- bart stöd av offentlighetsprincipen kan vara av betydelse vid bedöm- ningen.7

Förutsättningar för begränsning av skyddet

Skyddet för den personliga integriteten får enligt 2 kap. 20 § reger- ingsformen begränsas genom lag. Detta får, enligt 21 § samma kapitel, endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En sådan begränsning får vidare inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan så- dan åskådning.

Det obligatoriska lagområdet

Enligt 8 kap. 2 § andra punkten regeringsformen faller föreskrifter som avser förhållandet mellan enskilda och det allmänna, och som gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskil- das personliga eller ekonomiska förhållanden under det s.k. obliga- toriska lagområdet. Detta innebär att sådana föreskrifter ska med- delas genom lag.

7 A.a. s. 183.

298

SOU 2017:50

En proportionerlig lagstiftning

13.2.3Övriga rättsliga instrument

Utöver ovanstående innehåller även Europarådets dataskyddskon- vention (nr 108), artikel 7 i EU:s rättighetsstadga samt artikel 8 i Europakonventionen bestämmelser till skydd för den personliga integriteten.

Europarådets dataskyddskonvention

Artikel 5 i Europarådets dataskyddskonvention anger ett antal grund- läggande krav på automatisk databehandling av personuppgifter. Artikel 6 tillåter behandling av särskilda kategorier av uppgifter8 samt uppgifter om att någon dömts för brott endast om nationell lag ger ett ändamålsenligt skydd.

Rättighetsstadgan

Artikel 6 i EU:s rättighetsstadga anger att var och en har rätt till frihet och personlig säkerhet. Artikel 7 anger vidare att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.

Från artikel 52.1 framgår att varje begränsning till dessa rättig- heter ska vara föreskriven i lag, och att sådana begränsningar, med beaktande av proportionalitetsprincipen, endast får göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra männi- skors rättigheter och friheter.

Europakonventionen

Artikel 8.1 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

Artikel 8.2 tillåter inskränkningar med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säker- het, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

8 Med vilket avses ”personuppgifter som avslöjar rasursprung, politiska åsikter liksom person- uppgifter som rör hälsa eller sexualliv”.

299

En proportionerlig lagstiftning

SOU 2017:50

13.3Integritetsanalys och proportionalitetsbedömning

Samtliga ovanstående lagar, förordningar och övriga rättsliga instru- ment lämnar ett visst utrymme för nationell lagstiftning som be- gränsar eller inskränker de fri- och rättigheter som de ger individen vad gäller den personliga integriteten. Det ställs dock vissa propor- tionalitetskrav på sådan lagstiftning.

Vad gäller särskilt regleringen i regeringsformen framgår av för- arbetena att en följd av denna reglering bl.a. är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid propor- tionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingå- ende belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare.9

13.3.1Kartläggning av den föreslagna personuppgiftsbehandlingen

Datainspektionen har i september 2016 publicerat en vägledning för integritetsanalys i syfte att underlätta arbetet med att kartlägga konsekvenserna för den personliga integriteten vid personuppgifts- behandling när förslag till nya lagar och andra föreskrifter utarbetas.10 I vägledningen föreslår Datainspektionen en metod där man först utför en kartläggning av den personuppgiftsbehandling som ett för- slag kan medföra och därefter vilka konsekvenser den får för den per- sonliga integriteten. Utan en sådan kartläggning är det inte möjligt att besvara frågan om konsekvenserna är proportionerliga i förhållande till det man avser att uppnå med behandlingen.

Mot denna bakgrund har vi försökt beakta de centrala faktorer som enligt vägledningen behöver belysas i en sådan kartläggning. Eftersom utredningens uppdrag med anknytande förslag inte om- fattar personuppgiftsbehandling i det konkreta fallet har det varit nödvändigt att i vår kartläggning fokusera på vilken personupp- giftsbehandling allmänt sett som, med beaktande av föreslagna skyddsåtgärder, blir möjlig med utredningens förslag.

9Prop. 2009/10:80 s. 177.

10Vägledning för integritetsanalys, Datainspektionen september 2016, http://www.datainspektionen.se/Documents/vagledning-integritetsanalys.pdf

300

SOU 2017:50

En proportionerlig lagstiftning

Särskilda faktorer i personuppgiftsbehandlingen

De här diskuterade frågeställningarna är hämtade från Datainspek- tionens vägledning.

För vilka ändamål ska personuppgifter behandlas?

Den föreslagna forskningsdatalagen fastställer en rättslig grund för laglig behandling av personuppgifter när det är fråga om att utföra forskning av allmänt intresse. I en generell reglering av detta slag går det inte att göra ändamålsbeskrivningen mer detaljerad. Även den grundlagsskyddade forskningsfriheten11 medför att det inte i förväg går att göra en ändamålsbeskrivning i lagstiftning av generell karaktär. Varje enskilt forskningsprojekt eller annat sammanhang där person- uppgifter behandlas behöver dock för sin del göra en mer detaljerad ändamålsbeskrivning.

Med vilket rättsligt stöd ska personuppgifterna behandlas?

När personuppgifter behandlas för forskningsändamål är det, som redan framkommit, huvudsakligen fråga om nödvändig behandling för en uppgift av allmänt intresse, och har därmed stöd i dataskydds- förordningens artikel 6.1 e. Den rättsliga grunden ges i den före- slagna forskningsdatalagen, med stöd av artikel 6.2 och 6.3.

Vem ska utföra personuppgiftsbehandlingen och vem ansvarar för den?

Den forskningsaktör som behandlar personuppgifterna torde vara personuppgiftsansvarig enligt dataskyddsförordningen. Individuella forskare utför själva personuppgiftsbehandlingen som del av forsk- ningsarbetet. De forskare som på detta sätt medverkar till behand- lingen utan att vara personuppgiftsansvariga har i doktrin kommit att betecknas medhjälpare.12

112 kap. 18 § andra stycket regeringsformen, se även 1 kap. 6 § högskolelagen som anger att forskningsproblem fritt får väljas, forskningsmetoder fritt får utvecklas samt forsknings- resultat fritt får publiceras.

12Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo), kommentaren till 3 §.

301

En proportionerlig lagstiftning

SOU 2017:50

Vilka personuppgifter kommer att behöva samlas in och i övrigt behandlas?

Vilka personuppgifter som kommer att samlas in och behandlas be- ror på forskningens inriktning, vald forskningsmetod m.m. Exakt vilka uppgifter som är nödvändiga att behandla går inte att ange i lagstiftningssammanhang. Allmänt kan ändå sägas att det finns mycket få typer av personuppgifter som aldrig kan komma ifråga för behandling för forskningsändamål. Såväl känsliga personuppgif- ter som personuppgifter om lagöverträdelser m.m. behandlas regel- mässigt inom forskningen. Även andra integritetskänsliga uppgifter som inte särskilt regleras i dataskyddsförordningen kan komma att behandlas för forskningsändamål.

Hur många personer kommer att beröras

av personuppgiftsbehandlingen och hur många uppgifter om varje person kommer att behöva samlas in?

Antalet registrerade personer beror på forskningsändamålen och den valda forskningsmetodiken i det enskilda projektet. Vår föreslagna reglering ställer här inte upp någon gräns. Det kan med andra ord förekomma forskningsprojekt som behöver uppgifter om signifi- kanta delar av eller hela befolkningen, likväl som projekt som be- höver behandla ett stort antal uppgifter om varje registrerad individ.

Varifrån ska personuppgifterna samlas in?

De huvudsakliga datakällorna kommer att vara olika typer av myn- dighetsregister (såväl befolkningsregister som kvalitetsregister och annat) samt de registrerade själva. Även allmänna handlingar kan för vissa vetenskapliga metoder utgöra ett viktigt underlag för forsk- ningen. Utredningen föreslår ingen ny författningsreglerad skyldig- het för myndigheter att lämna ut uppgifter för forskningsändamål eller någon reglering av elektroniskt informationsutbyte.

302

SOU 2017:50

En proportionerlig lagstiftning

Vilka kommer att ha åtkomst till personuppgifterna

och vilken spridning kan uppgifterna i övrigt komma att få?

Inom ramen för personuppgiftsbehandling i ett visst forsknings- projekt kan medverkande forskare komma att ha tillgång till per- sonuppgifterna. Den här föreslagna regleringen kräver inte särskilt att åtkomsten till personuppgifterna begränsas till bara vissa del- tagare i ett projekt, även om det i vissa fall kan vara möjligt och lämpligt att strukturera arbetet så rent praktiskt.

Uppgifter som samlas in för forskningsändamål kan i vissa fall, när forskningsaktören tillhör det allmänna, få spridning genom offent- lighetsprincipen. Det är dessutom en forskningspolitisk målsättning att främja öppen tillgång till forskningsresultat och tillgängliggör- ande av forskningsdata.13 Sådan spridning av uppgifter och forsk- ningsresultat måste förstås ske i enlighet med dataskyddsförord- ningen.

När forskningsresultat publiceras sker detta i de flesta fall genom aggregerade personuppgifter eller andra sammanställningar som inte avslöjar enskilda personuppgifter. Inom vissa områden, särskilt vad gäller rättsvetenskaplig forskning, finns dock behov av att publicera indirekta personuppgifter i form av beslutsidentifierare såsom målnummer eller referatbeteckning, med hänvisning till att detta kan utgöra vedertagen forskningssed på dessa områden.

Finns det behov av nya sekretessbestämmelser och sekretessbrytande bestämmelser?

Utredningen föreslår varken någon tillkommande sekretessregler- ing eller sekretessbrytande bestämmelser.

Vilka sök- och sammanställningsmöjligheter är nödvändiga för ändamålet och hur kan de begränsas?

Det är, utifrån kravet att forskningsmetodik ska få utvecklas fritt, inte möjligt att på generell nivå ange vilka sök- och sammanställ- ningsmöjligheter som är nödvändiga för forskningsändamål. Det är

13 Prop. 2016/17:50 s. 106 f.

303

En proportionerlig lagstiftning

SOU 2017:50

därför inte heller lämpligt att ställa upp generella krav på sökbegräns- ningar (se avsnitt 12.3.3). Det kan däremot i vissa fall vara lämpligt att i samband med etikprövning meddela villkor att vissa sökningar eller sammanställningar inte får göras.

Hur länge behöver personuppgifter bevaras?

Efter avslutat projekt kommer personuppgifter ofta kunna pseudo- nymiseras eller anonymiseras, vilket också är ett krav enligt artikel 89.1 i dataskyddförordningen. För longitudinella studier behöver personuppgifter, inklusive identifierande uppgifter, regelmässigt bevaras under en längre tid, vilket kan ske med stöd av artikel 5.1 e (undantag från principen om lagringsminimering) under förutsätt- ning att lämpliga skyddsåtgärder genomförs.

När forskning utförs av en myndighet, och uppgifterna inte längre bevaras, måste arkivlagens (1990:782) regler om gallring be- aktas (se vidare avsnitt 12.3.4). Även sådana kompletterande upp- gifter som används vid pseudonymisering (såsom kodnycklar) kan vara föremål för gallring. Utredningen föreslår inga nya särskilda gallringsbestämmelser.

Vilket inflytande kommer de registrerade att ha över personuppgiftsbehandlingen?

Enligt den föreslagna regleringen kommer den registrerade som huvudregel ha möjlighet att motsätta sig behandling (”opt out”, se avsnitt 12.3.4). Utöver detta får uppgifterna användas för att vidta åtgärder i fråga om den registrerade endast om denne har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. När uppgifter hämtas direkt från den enskilde inom ramen för ett forskningsprojekt kan den enskilde alltid avstå från att uppge dessa. Utöver dessa möjligheter finns även de möjligheter till inflytande som följer direkt av dataskyddsförord- ningen, såsom rätt till rättelse (artikel 16), rätt till radering (arti- kel 17), rätt till begränsning av behandling (artikel 18), rätt till data- portabilitet (artikel 20) samt rätt att göra invändningar (artikel 21).

304

SOU 2017:50

En proportionerlig lagstiftning

Vilken information om behandlingen av personuppgifter kommer de registrerade få?

De registrerade har rätt att få information om behandlingen i en- lighet med artiklarna 13–15 dataskyddsförordningen. När möjlig- het för den registrerade att motsätta sig behandling tillämpas som skyddsåtgärd, i enlighet med förslag i avsnitt 12.4.2, får denna rättig- het inte inskränkas med stöd av något av de undantag som ges i dataskyddsförordningen.

Vilka regler kommer att gälla till skydd för de registrerades personliga integritet vid den föreslagna personuppgiftsbehandlingen?

Utredningen föreslår att pseudonymisering och möjlighet att mot- sätta sig behandling som huvudregel ska gälla generellt för all behand- ling av personuppgifter för forskningsändamål. Personuppgifter får som huvudregel inte heller användas för att vidta åtgärder i fråga om den registrerade (se avsnitt 12.4.2). Utöver detta ska etikprövning äga rum för behandling av känsliga personuppgifter samt person- uppgifter om lagöverträdelser m.m. för forskningsändamål (se av- snitt 14.3.4). Sådan prövning kan vidare resultera i villkor för behand- lingen, vilket också kan fungera som skyddsåtgärder.

Slutsats av integritetsanalysen

Som tidigare angetts omfattar inte utredningens uppdrag att detalj- reglera den personuppgiftsbehandling som kan komma att ske för forskningsändamål. Den huvudsakliga regleringen av personupp- giftsbehandling, även för forskningsändamål, kommer att finnas i dataskyddsförordningen, som är direkt tillämplig. Den reglering som utredningen föreslår medför dock att viss personuppgiftsbehandling som annars hade varit förbjuden blir tillåten. Detta rör framför allt sådan behandling som sker utan stöd av giltigt samtycke, samt be- handling av känsliga personuppgifter samt personuppgifter om lag- överträdelser m.m. Vidare görs även vissa begränsningar av de rättigheter som enligt dataskyddsförordningen tillkommer de regi- strerade, med stöd av artikel 89.2.

305

En proportionerlig lagstiftning

SOU 2017:50

Genom de föreslagna skyddsåtgärderna begränsas dock integri- tetsintrånget avsevärt. Inte minst kravet på pseudonymisering, som motsvarar vad som är vanligt i forskningsmetodik, motverkar effek- ten av den kartläggning av enskilda som kan komma att ske i forsk- ningsprojekt.

Det förhåller sig som sagt också så att dataskyddsförordningen, även om den ger visst utrymme för nationell reglering, är direkt tillämplig. En nationell lagstiftning om skyddsåtgärder kan exem- pelvis aldrig upphäva kravet i artikel 89.1 i dataskyddsförordningen på att personuppgiftsbehandling för forskningsändamål ska vara omgärdad av lämpliga skyddsåtgärder. Om de av utredningen före- skrivna skyddsåtgärderna är otillräckliga i det specifika fallet är det den personuppgiftsansvariges ansvar att självständigt efterleva data- skyddsförordningens krav.

Utredningens slutsats blir med hänvisning till ovanstående resone- mang att konsekvenserna för den personliga integriteten är för- enliga med det väsentliga innehållet i rätten till dataskydd. För att personuppgiftsbehandlingen ska vara tillåten måste dock det all- männa syftet med den behandling som möjliggörs (behandling för forskningsändamål) vägas in i en proportionalitetsbedömning.

13.3.2Proportionalitetsbedömning

Som framgår av avsnitt 13.2 inrymmer samtliga här aktuella rättsliga instrument någon form av möjlighet att begränsa eller inskränka de rättigheter avseende skydd av den personliga integriteten som säkerställs på principiell nivå. Gemensamt för samtliga dessa (med undantag för Europarådets dataskyddskonvention) är att någon form av proportionalitetsbedömning ska göras. I en sådan bedöm- ning ställs det ändamål för vilket personuppgiftsbehandlingen sker, och som måste vara godtagbart enligt olika kriterier, mot det integri- tetsintrång som behandlingen medför.

Den personuppgiftsbehandling som vårt lagförslag kan medföra, med beaktande av effekten av de skyddsåtgärder som föreslås, ska alltså ställas mot värdet av det ändamål för vilket personuppgifts- behandlingen sker.

En viktig utgångspunkt är att själva forskningsändamålet gene- rellt kan anses vara legitimt och godtagbart i ett demokratiskt sam-

306

SOU 2017:50

En proportionerlig lagstiftning

hälle. Personuppgiftsbehandling för forskningsändamål intar en särställning i dataskyddsregleringen. Bland de många särreglering- arna för forskningsändamål kan särskilt nämnas det s.k. forsknings- undantaget i artikel 5.1 b, och möjligheterna att inskränka flera av de registrerades rättigheter enligt artikel 89.2. I bilaga 3 finns en mer fullständig genomgång av dataskyddsförordningens särregler- ing för forskningsändamål.

Utgångspunkter för en proportionalitetsbedömning

De här diskuterade frågeställningarna är hämtade från den tidigare nämnda vägledningen för integritetsanalys från Datainspektionen. Syftet med det närmaste följande är att belysa den avvägning mellan motstående intressen som görs i alla proportionalitetsbedömningar.

Vilket eller vilka ändamål motiverar behandlingen av personuppgifter?

Den behandling av personuppgifter som kan komma att ske med stöd av den föreslagna forskningsdatalagen är sådan som är nöd- vändig för att utföra forskning av allmänt intresse. Den forskning som sedan sker med stöd av lagen måste fortfarande ange:

Sitt specifika ändamål på så sätt att det går att avgöra vilka upp- gifter som ska behandlas.

Behandlingens förenlighet med ändamålet för vilket de samlades in (med beaktande av att det s.k. forskningsundantaget medför att ytterligare behandling inte ska anses oförenlig med det ur- sprungliga ändamålet).

Hur länge personuppgifter ska bevaras (med beaktande av att personuppgifter får lagras under längre perioder vid behandling för forskningsändamål).

307

En proportionerlig lagstiftning

SOU 2017:50

Finns det några mindre integritetsingripande alternativ för att uppnå det avsedda ändamålet än den föreslagna personuppgiftsbehandlingen?

Ändamålet som utgör bas för forskningsdatalagen – forsknings- ändamål – är för generellt till sin natur för att det ska gå att bedöma alternativa metoder för att uppnå detta. Av särskild betydelse i sammanhanget är att en förutsättning för att tillämpa den rättsliga grund som utredningen föreslår är att behandlingen ska vara nöd- vändig för att kunna utföra forskning av allmänt intresse. Vidare gäller för sådan forskning som kräver etikprövning att forskning inte får godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för bl.a. forskningspersoners personliga integritet (10 § etikprövningslagen).

Står integritetsintrånget som behandlingen medför i rimlig proportion till den nytta som behandlingen innebär för de avsedda ändamålen?

Även den förväntade nyttan kan endast bedömas på ett generellt plan. Värdet av forskning framhålls emellertid såväl i dataskydds- förordningen som i andra rättskällor. Vad gäller nyttobedömningen bör man särskilt uppmärksamma att forskning som kräver etik- prövning endast får godkännas om de risker som den kan medföra för bl.a. forskningspersonernas personliga integritet uppvägs av dess vetenskapliga värde (9 § etikprövningslagen).

Proportionalitetskrav i dataskyddsförordningen

Vi föreslår nationell lagstiftning som med stöd av artikel 6.2 och 6.3 fastställer den rättsliga grunden allmänt intresse för personupp- giftsbehandling för forskningsändamål. Sådan nationell rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Målet är att forskning ska kunna bedrivas på ett effektivt sätt med respekt för de registrerades personliga integritet. Detta mål framgår även från dataskyddsförordningen (se exempelvis skäl 157 och 159). Målet är alltså legitimt och av allmänt intresse också en- ligt förordningen.

308

SOU 2017:50

En proportionerlig lagstiftning

Forskningsdatalagen innehåller två viktiga begränsningar till för- mån för den personliga integriteten.

Den rättsliga grund som vi fastställer är begränsad till nödvändig och proportionerlig behandling för forskning av allmänt intresse.

Vi föreslår även skyddsåtgärder för all behandling av personupp- gifter för forskningsändamål.

Lagen innehåller dock även vissa begränsningar av den registrerades rättigheter och därmed integritetsskyddet. Dessa begränsningar är utformade för att endast kunna tillämpas när det är nödvändigt för att uppnå forskningsändamålen. Det sammanlagda integritetsintrånget blir därför begränsat. Ställt mot det stora värde som forskningen har, vilket även framhålls i förordningen, finner vi att den före- slagna lagstiftningen måste anses vara proportionell.

Vi föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla känsliga personuppgifter. Av artikel 9.2 j fram- går att lagstiftning som tillåter behandling av känsliga personupp- gifter ska stå i proportion till det eftersträvade syftet. Vi föreslår att sådan tillåtande lagstiftning ska innehålla bestämmelser om skydds- åtgärder i form av etikprövning. Detta ställningstagande har sin grund i att etikprövningslagstiftningen särskilt kräver att de risker som forskningen medför ska uppvägas av dess vetenskapliga värde, att endast sådan forskning som innebär den minsta risken för det förväntade resultatet kan godkännas, samt att forskning endast får godkännas om den kan utföras med respekt för människovärdet. Även denna reglering måste anses stå i proportion till det eftersträ- vade syftet.

Proportionalitetskrav i regeringsformen

Regeringsformen skyddar inte den personliga integriteten mot all slags personuppgiftsbehandling. Den första bedömning som måste göras är därför om den personuppgiftsbehandling som utredningens förslag kan medföra når upp till kravet för skydd av den personliga integriteten enligt 2 kap. 6 § regeringsformen (se avsnitt 13.2.2).

Det ska alltså vara fråga om personuppgiftsbehandling som ut- gör betydande intrång i den personliga integriteten, sker utan sam-

309

En proportionerlig lagstiftning

SOU 2017:50

tycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Vid denna bedömning ska särskilt beaktas att det är fråga om en rättighetsbegränsande lagstiftning, vilket talar för en restriktiv tolk- ning till den enskildes fördel. Kartläggningen ovan visar att den personuppgiftsbehandling som forskningsdatalagen möjliggör åt- minstone i vissa fall kommer uppfylla samtliga dessa krav, i det fall det är fråga om omfattande uppgiftsinsamlingar om enskilda som inbegriper integritetskänsliga behandlingar.

Eftersom det kan vara fråga om bestämmelser som omfattas av 2 kap. 6 § regeringsformen blir det därför nödvändigt att ta ställ- ning till de krav som ställs i 21 § samma kapitel.

Vid denna bedömning är det återigen värt att uppmärksamma att forskning är ett ändamål som inte bara är godtagbart i ett demo- kratiskt samhälle utan som är legitimt enligt gällande lag. Forsk- ningsfriheten är dessutom även grundlagsskyddad (18 § andra stycket samma kapitel). Det finns inget som talar för att den här aktuella begränsningen på något sätt skulle utgöra ett hot mot den fria åsiktsbildningen. Begränsningens utformning tar inte sikte på politisk, religiös, kulturell eller annan sådan åskådning. Det kan i och för sig förekomma forskningsprojekt där exempelvis forsknings- personer väljs ut utifrån sådana kriterier, men kravet på etikpröv- ning säkerställer att en sådan urvalsmetod är motiverad och godtag- bar från etisk synvinkel.

Proportionalitetskrav i övriga rättsliga instrument

Av artikel 8.2 i Europakonventionen framgår att inskränkningar endast får ske med stöd av lag och om det är nödvändigt med hän- syn till statens säkerhet, den allmänna säkerheten, landets ekono- miska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det framgår inte klart av ovanstående att forskning är ett av de ändamål som kan motivera en inskränkning (legitima ändamål). I doktrinen har det dock framhållits att det är naturligt att ge varje konventionsstat stor rörelsefrihet och inte kräva mera än att sär- skilt känslig information behandlas på ett ansvarsfullt sätt och inte

310

SOU 2017:50

En proportionerlig lagstiftning

görs i onödan tillgänglig för andra än dem som har ett legitimt intresse av att få del av informationen.14 Vidare har uttalats att upp- räkningen legitima ändamål är omfattande, att de olika ändamålen är allmänt formulerade, och att det är i de flesta fall möjligt att hänföra ett ingrepp till någon av dessa kategorier.15 Vår bedömning är därför att forskningsändamål ryms inom ovanstående uppräkning.

De proportionalitetskrav, och de legitima syften för vilka in- skränkningar kan göras, som framgår av dataskyddskonventionen, rättighetsstadgan och Europakonventionen skiljer sig i övrigt inte på ett avgörande sätt från de ovan behandlade kraven. Vår bedöm- ning är därför att en reglering som uppfyller dataskyddsförordning- ens och regeringsformens krav även uppfyller kraven i de övriga behandlade rättsliga instrumenten.

Slutsats av proportionalitetsbedömningen

Inskränkningarna i de registrerades fri- och rättigheter görs för att tillgodose forskningsändamålet. Detta är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle utan som dessutom är grundlagsskyddat. Inskränkningarna har utformats så de inte går utöver vad som är nödvändigt med hänsyn till ändamålet. Den före- slagna lagstiftningen kan därför anses vara förenlig med dataskydds- förordningen, regeringsformen och övriga rättsliga instrument.

13.3.3De föreslagna bestämmelserna kräver reglering i lagform

Utredningen föreslår bestämmelser i nationell rätt som kompletterar och fyller ut dataskyddsförordningens bestämmelser, inom ramen för vad som är möjligt enligt förordningen. Förordningen inne- håller i sig inte närmare krav på i vilken form den nationella rätten ska fastställas.

I svensk rätt kan generell bindande reglering ges i form av lag, förordning eller myndighetsföreskrifter (8 kap. 1 § regeringsfor- men). Normgivning i form av lag förutsätter riksdagsbeslut, medan

14SOU 2004:20 s. 89, som hänvisar till Danelius.

15Danelius, Mänskliga rättigheter i europeisk praxis, 5 u, s. 370.

311

En proportionerlig lagstiftning

SOU 2017:50

normgivning i form av förordning kan ske genom regeringsbeslut. Normer som måste ges i form av lag sägs tillhöra det obligatoriska lagområdet. Kapitel 8 regeringsformen innehåller närmare bestäm- melser om denna gränsdragning.

Av den föreslagna regleringen följer att vissa personuppgifts- behandlingar som annars skulle ha varit förbjudna blir tillåtna. Eftersom det dessutom åtminstone i vissa fall rör behandling utan den registrerades samtycke är det fråga om ett ingrepp i enskildas personliga förhållanden. Enligt 8 kap. 2 § andra punkten reger- ingsformen måste sådan reglering ges i form av lag.

Utöver detta är det fråga om lagstiftning som begränsar var och ens rätt att vara skyddad mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket. Enligt 2 kap. 20 § reger- ingsformen ska sådan reglering ske i form av lag.

13.4Överväganden

Utredningens bedömning: Den föreslagna regleringen uppfyller de krav på proportionalitet m.m. som följer av dataskyddsförord- ningen, regeringsformen samt övriga relevanta rättsliga instru- ment.

Som redovisat i avsnitt 13.3.2 måste den föreslagna regleringen uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Vår bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den person- uppgiftsbehandling som regleringen möjliggör, är att regleringen är proportionell utifrån samtliga dessa proportionalitetskrav.

13.5Sammanfattning

I detta kapitel har vi analyserat de föreslagna bestämmelserna ut- ifrån de krav på framför allt proportionalitet som ställs upp i data- skyddsförordningen, regeringsformen samt övriga relevanta rätts- liga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en ramlag som inte kan reglera personuppgifts- behandlingen på detaljnivå, och att den faktiska personuppgifts-

312

SOU 2017:50

En proportionerlig lagstiftning

behandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen. Vidare har den föreslagna regleringen bedömts utifrån de normgivningsprinciper som framgår av regeringsformen. Det är utredningens bedömning att den föreslagna regleringen uppfyller de krav på proportionalitet m.m. som följer av dataskyddsförord- ningen, regeringsformen samt övriga relevanta rättsliga instrument.

313

14Etikprövning

av personuppgiftsbehandling för forskningsändamål

14.1Vårt uppdrag i denna del

Utredningen har i uppdrag att analysera behovet av anpassningar av lagen (2003:460) om etikprövning av forskning som avser männi- skor (etikprövningslagen) med anledning av att dataskyddsförord- ningen (EU 2016/679) blir tillämplig den 25 maj 2018. Detta upp- drag har flera beståndsdelar.

Etikprövning framhålls i utredningens direktiv som en möjlig skyddsåtgärd i enlighet med förordningens krav på skyddsåtgärder vid behandling av personuppgifter för forskningsändamål. Mot bakgrund av att kravet på etikprövning i dag enbart omfattar be- handling av vissa kategorier av personuppgifter enligt 19 och 21 §§ personuppgiftslagen (1998:204) är det utredningens uppdrag att överväga om kravet på etikprövning bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål. Ett sådant ställ- ningstagande kan komma att medföra behov av ändringar i etikpröv- ningslagen, alternativt ny reglering i annan författning som kom- pletterar dataskyddsförordningen samt den nationella komplette- rande reglering som Dataskyddsutredningen (Ju 2016:04) föreslår.

Utredningen har även i uppdrag att se över vissa aspekter på för- farandereglerna i etikprövningslagen. Denna översyn hänger samman med uppdraget att överväga en utvidgning av etikprövningsförfar- andet till att gälla all personuppgiftsbehandling för forskningsända- mål. Om utredningen kommer fram till att all personuppgiftsbehand- ling för forskningsändamål ska etikprövas behöver det övervägas hur den ökade ärendehanteringen i så fall ska kunna ske på ett effek- tivt sätt och om samma krav på prövningen behöver gälla i alla slags

315

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

ärenden. Utredningen ska, givet ett ställningstagande avseende en utvidgning av etikprövningskravet, analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden. Utredningen ska i sådana fall även överväga om det bör införas ett enklare förfarande vid etik- prövning när det är fråga om behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet. Utöver detta ska utredningen även se över vilka anpassningar i övrigt som behövs med anledning av dataskyddsförordningen och den gene- rella kompletterande reglering Dataskyddsutredningen föreslår. Utredningen ska i alla delar lämna behövliga författningsförslag.

Framställningen i denna del av betänkandet kommer att följa ut- redningens direktiv på så vis att efter en inledande beskrivning av etikprövningslagen och dess anknytning till personuppgiftslagen kommer etikprövning som möjlig skyddsåtgärd enligt dataskydds- förordningens krav att analyseras. Därefter överväger utredningen enligt sitt uppdrag ett utökat tillämpningsområde för kravet på etik- prövning, varefter utredningen behandlar frågan om ett eventuellt behov av förenklat etikprövningsförfarande under vissa förhållan- den. Avslutningsvis lämnar utredningen förslag på vilka anpassningar av etikprövningslagen i övrigt som är behövliga med anledning av dataskyddsförordningen.

14.2Rättsliga förutsättningar

14.2.1Inledning

Lagen (2003:460) om etikprövning av forskning som avser männi- skor (etikprövningslagen) började gälla den 1 januari 2004. Etik- prövningslagen innehåller bestämmelser om etikprövning av forsk- ning som avser människor och biologiskt material från människor och om samtycke till sådan forskning (1 §). Etikprövningslagen tillämpas på forskning som innefattar behandling av känsliga person- uppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen (3 §).

Utöver detta tillämpas etikprövningslagen på forskning som innebär ett fysiskt ingrepp på en forskningsperson, utförs enligt en

316

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forsknings- personen fysiskt eller psykiskt, avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna män- niska (4 §). Utredningen kommer i det följande att fokusera på etik- prövningslagens tillämpningsområde enligt 3 §.

Syftet med etikprövningslagen är att skydda den enskilda männi- skan och respekten för människovärdet vid forskning (1 §). Forsk- ning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet upp- vägs av dess vetenskapliga värde och bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundlägg- ande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (7–11 §§).

14.2.2Personuppgiftslagens relation till etikprövningslagen

Aktuella bestämmelser

Personuppgiftslagen och etikprövningslagen relaterar till varandra på flera sätt. I det följande återges de relevanta delarna av de aktuella bestämmelser som utredningen kommer att återkomma närmare till i det följande.

De bestämmelser som främst aktualiseras i personuppgiftslagen är följande:

Undantag för behandling av personuppgifter i ostrukturerat material

5 a § Bestämmelserna i 9, 10, 1319, 2126, 28, 33, 34 och 42 §§ behö- ver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har struk- turerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.

Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet.

317

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Förbud mot behandling av känsliga personuppgifter

13 § Det är förbjudet att behandla personuppgifter som avslöjar

a)ras eller etniskt ursprung

b)politiska åsikter,

c)religiös eller filosofisk övertygelse, eller

d)medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Uppgifter av den art som anges i första och andra styckena beteck- nas i denna lag som känsliga personuppgifter.

Undantag från förbudet mot behandling av känsliga personuppgifter

14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person- uppgifter i de fall som anges i 1519 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av person- uppgifter över huvud taget är tillåten.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om be- handlingen är nödvändig på sätt som sägs i 10 § och om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forsk- ningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.

Uppgifter om lagöverträdelser m.m.

21 § Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

318

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

De bestämmelser som främst aktualiseras i etikprövningslagen är följande:

Definitioner

2 § I denna lag avses med

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

behandling av personuppgifter: sådan behandling som anges i artikel 3 § personuppgiftslagen (1998:204).

Forskning som omfattas av lagen

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1.känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2.personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden enligt 21 § personuppgiftslagen.

Godkännande

6 § Forskning som avses i 35 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett god- kännande skall avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behand- lingen har godkänts vid etikprövningen.

Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.

Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.

319

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Utgångspunkter för etikprövningen

7 § Forskning får godkännas bara om den kan utföras med respekt för människovärdet.

8 § Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd skall ges företräde framför samhällets och vetenskapens behov.

9 § Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet upp- vägs av dess vetenskapliga värde.

10 § Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forsknings- personers hälsa, säkerhet och personliga integritet.

Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

11 § Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.

Utlämnande av personuppgifter

12 § Personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt.

Det territoriella tillämpningsområdet för respektive lag skiljer sig åt enligt följande:

Personuppgiftslagen:

Det territoriella tillämpningsområdet

4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable- rade i Sverige.

Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

I det fall som avses i andra stycket första meningen skall den person- uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren.

Etikprövningslagen:

Geografiskt tillämpningsområde

5 § Denna lag skall tillämpas på forskning som skall utföras i Sverige.

320

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Etikprövningslagens tillämplighet vid viss behandling av personuppgifter

Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige, till skillnad från personuppgiftslagen som huvudsakligen tar sikte på sådana personuppgiftsansvariga som är etablerade i Sverige.1 Detta innebär att det enbart är sådan forskning som ska utföras i Sverige som kräver etikprövning enligt etikprövningslagen. Forsk- ning som ska utföras i andra länder av personuppgiftsansvariga som är etablerade i Sverige kan dock omfattas av krav på etikgodkän- nande enligt respektive lands lagstiftning. Relationen mellan etik- prövningslagens och personuppgiftslagens territoriella tillämpnings- område har kommenterats i lagkommentaren till personuppgifts- lagen.

Etikprövningslagen tillämpas bara på forskning som ska utföras i Sverige (5 §). Om en svensk forskningshuvudman (dvs. en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen ut- förs) deltar i ett internationellt forskningsprojekt (multicenterstudie), ska etikprövning ske av den del av projektet som ska utföras i Sverige (prop. 2002/03:50 s. 109 och 194). Det territoriella tillämpningsområdet för etikprövningslagen är alltså inte samordnat med tillämpningsområdet för personuppgiftslagen, som enligt huvudregeln bestäms av var den personuppgiftsansvarige är etablerad och inte var behandlingen utförs, se 4 § och kommentaren till den paragrafen. En personuppgiftsansvarig som är bunden av personuppgiftslagen (företrädesvis därför att han eller hon är etablerad i Sverige) och som ska utföra forskning utanför Sverige kan alltså inte behandla känsliga personuppgifter för forskningsända- mål efter en etikprövning enligt etikprövningslagen utan torde i prakti- ken ha att förlita sig på uttryckligt samtycke till behandlingen från alla registrerade.2

Etikprövningslagen blir, enligt 3 §, tillämplig när forskning inne- fattar behandling av känsliga personuppgifter, enligt 13 § person- uppgiftslagen, eller personuppgifter om lagöverträdelser m.m., enligt 21 § personuppgiftslagen. Enligt 6 § etikprövningslagen får sådan forskning enbart utföras om den har godkänts vid en etikprövning.

1Dataskyddsförordningen ska enligt artikel 3 i vissa fall tillämpas även på personuppgifts- ansvariga som inte är etablerade i unionen.

2Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo), kommentaren till 19 §.

321

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

När laglig personuppgiftsbehandling förutsätter etikprövning

Av 13 § personuppgiftslagen framgår att det som huvudregel är förbjudet att behandla känsliga personuppgifter. Vilka uppgifts- kategorier detta är framgår uttömmande av bestämmelsens första och andra stycke. I 14 § anges dock att undantag från förbudet framgår av 15–19 §§. Genom ett villkor i 19 § undantas behandling för forskningsändamål från det generella förbudet att behandla känsliga personuppgifter. Villkoret utgörs av etikgodkännande enligt etikprövningslagen för behandling av känsliga personuppgifter.

Av 21 § personuppgiftslagen framgår ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Detta förbud kan dock enligt andra stycket upphävas på lik- nande sätt som för känsliga personuppgifter, dvs. genom ett krav på etikgodkännande enligt etikprövningslagen för sådan behandling som utförs av andra än myndigheter.

Detta innebär sammantaget att det föreligger krav på etikpröv- ning av behandling för forskningsändamål av såväl känsliga per- sonuppgifter som personuppgifter om lagöverträdelser m.m. enligt etikprövningslagen och att sådan behandling enligt personuppgifts- lagen kan få utföras om behandlingen har godkänts vid prövning enligt etikprövningslagen.

Personuppgiftslagens tillämplighet vid etikgranskning av forskning

En utgångspunkt vid tillämpningen av personuppgiftslagen i rela- tion till annan lagstiftning är att den, enligt 2 §, är subsidiär i för- hållande till avvikande bestämmelser i annan lag eller förordning. Sådan annan lagstiftning som har företräde framför personuppgifts- lagen är till exempel etikprövningslagen.

Av sista meningen i 6 § etikprövningslagen framgår att ett etik- godkännande inte medför att forskningen får utföras om den stri- der mot någon annan författning. I förarbetena betonas att 6 § bara anger betydelsen av etikprövningen och inte innefattar någon pröv- ning enligt alla andra regler som kan påverka om och hur forsk- ningen får utföras, ett godkännande vid etikprövning är därmed

322

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

långtifrån alltid en tillräcklig nödvändig förutsättning för forsk- ningens bedrivande.3

Av 6 § första stycket etikprövningslagen framgår att forskning får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Innan etik- prövningslagen infördes hanterades undantaget från förbudet att behandla känsliga personuppgifter för forskningsändamål enligt en avvägningsnorm i den dåvarande 19 § personuppgiftslagen. Denna avvägningsnorm innebar att behandlingen skulle vara nödvändig för forskningen och samhällsintresset skulle klart överväga risken för intrång i enskildas personliga integritet. Den personuppgiftsansva- rige kunde välja att tillämpa avvägningsnormen själv och sedan för- anmäla behandlingen till Datainspektionen som gjorde en bedöm- ning av eventuella åtgärder. Alternativt lät den personuppgifts- ansvarige en etikkommitté granska personuppgiftsbehandlingen. En sådan etikgranskning omfattades dock inte av något krav på an- vändning av avvägningsnormen som framgick av dåvarande 19 § personuppgiftslagen.

Införandet av etikprövningslagen innebar att bedömningen av själva personuppgiftsbehandlingen flyttades över till etikprövnings- nämnderna som, i samband med granskningen av forskningsprojektet i fråga, har att förhålla sig till samma avvägningsnorm i sak som enligt tidigare bestämmelse i personuppgiftslagen.4 Denna avvägningsnorm baseras på de principer som en bedömning enligt personuppgifts- lagen utförs på, och grunderna för den ingår i etikprövningslagens utgångspunkter för etikprövningen i 7–11 §§ etikprövningslagen. Det var med andra ord framför allt ansvaret för bedömningen som flyttades till etikprövningsnämnderna.

Denna regelkonstruktion innebär vidare att det i samband med etikprövningen av ett forskningsprojekt också ska göras en bedöm- ning av själva personuppgiftsbehandlingen, en bedömning som annars skulle ske enligt bestämmelser i personuppgiftslagen. Personupp- giftslagen är således subsidiär till etikprövningslagen i detta hänse- ende även om bedömningen baseras på samma principer, se särskilt nödvändighetskravet i 10 § andra stycket etikprövningslagen. Det ska samtidigt noteras att forskning som har etikgodkänts därefter

3Prop. 2002/03:50 s. 195 f.

4A.a s. 172 f.

323

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

ändå måste vara förenlig med personuppgiftslagens bestämmelser i de delar där någon tillämplig särreglering inte förekommer, t.ex. avseende säkerheten vid behandlingen och rätten till registerutdrag.

Av 12 § etikprövningslagen framgår att personuppgifter får läm- nas ut för att användas i forskning om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen ska läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen. Där framgår att om personuppgifter samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige själv- mant lämna den registrerade information om behandlingen av upp- gifterna när de registreras. Sådan information behöver dock inte lämnas om det finns bestämmelser om registreringen eller utläm- nandet av personuppgifterna i lag eller annan författning.

Bestämmelsen i 12 § etikprövningslagen är en sådan bestämmelse om utlämnande av personuppgifter som avses i 24 § andra stycket personuppgiftslagen. Den för med sig att en forskare som i enlighet med bestämmelsen hämtar in personuppgifter från annat håll än den registrerade inte behöver informera den registrerade om sin be- handling. Däremot kan etikprövningsnämnden ställa som villkor att information ändå ska lämnas. Bestämmelsen innebär inte någon skyldighet att lämna ut personuppgifter, men gör det tillåtet för den som har uppgifterna att göra detta. Om något annat följer av regler om sekretess och tystnadsplikt får uppgifterna dock inte lämnas ut. En motsvarande bestämmelse avseende utlämnande för användning i statistikprojekt finns i 19 § fjärde stycket personuppgiftslagen.

Särskilt om förhållandet mellan missbruksregeln i personuppgiftslagen och etikprövningslagen

Bestämmelsen i 5 a § personuppgiftslagen infördes år 20075 och innebär lättnader i regleringen vid behandling av personuppgifter i vad som betecknas som ostrukturerat material. Enligt den utred- ning som låg till grund för införandet av bestämmelsen var syftet i korthet att de detaljerade hanteringsreglerna i personuppgiftslagen inte skulle tillämpas på s.k. vardaglig hantering av personuppgifter. Det rör sig till exempel om produktion av löpande text i ordbehand- lingsprogram, publicering av löpande text på Internet, användning

5 SFS 2006:398.

324

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ska infogas i en databas med en avancerad personuppgiftsanknuten struktur, till exempel ett ärende- hanteringssystem.6

Sådan ostrukturerad behandling kan alltså utföras utan att den personuppgiftsansvarige behöver beakta ett flertal av de övriga reglerna i personuppgiftslagen. Bestämmelsen innebär således att behandling av personuppgifter kan göras jämförelsevis fritt, vilket i sig motiverade skrivningen i bestämmelsens andra stycke som an- ger att sådan behandling inte får utföras om den innebär en kränk- ning av den registrerades personliga integritet. Eftersom regeln avser att skydda mot missbruk av personuppgifter kallas den missbruks- regeln.

Vad som innebär en kränkning av den personliga integriteten avgörs från fall till fall utifrån bland annat vilka uppgifter som be- handlas, i vilket sammanhang, för vilket syfte, vilken spridning uppgifterna kan få samt vad behandlingen kan leda till. I förarbetena angavs fem förhållningsregler att beakta vid kränkningsbedömningen:

Behandla inte personuppgifter för otillbörliga syften, såsom för- följelse och skandalisering.

Samla inte utan godtagbara skäl en stor mängd uppgifter om en person.

Rätta personuppgifter som visar sig vara felaktiga eller missvis- ande.

Förtala eller förolämpa inte någon annan.

Bryt inte mot sekretess eller tystnadsplikt.7

Missbruksregelns tillämpningsområde har varit föremål för utredning sedan den infördes. Informationshanteringsutredningen (Ju 2011:11) föreslår exempelvis i sitt slutbetänkande att missbruksregeln inte längre ska kunna tillämpas av myndigheter eftersom bestämmelsen motiverades av helt andra skäl än att underlätta myndigheternas informationshantering.8

6SOU 2004:6 s. 134 f.

7A.a. s. 148.

8SOU 2015:39 s. 240 ff.

325

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Personuppgiftslagens 5 a § i relation till etikprövningslagen

Enligt 5 a § personuppgiftslagen behöver varken 13, 19 eller 21 §§ tillämpas på sådan behandling som tas upp i bestämmelsen, dvs. ostrukturerat material. Eftersom personuppgiftslagen är subsidiär till etikprövningslagen så går dock kraven enligt etikprövningslagen före undantaget i 5 a § personuppgiftslagen. Etikprövningslagen hänvisar i 3 § till 13 § (känsliga personuppgifter) och 21 § (lagöver- trädelser m.m.) i personuppgiftslagen samt fastslår i 6 § att sådan forskning endast får utföras efter etikgodkännande. Detta innebär kortfattat att om förutsättningarna för tillämpning av etikprövnings- lagen är uppfyllda krävs ett etikgodkännande för behandlingen.

Missbruksregeln sett i relation till dataskyddsförordningen

Möjligheten att tillämpa den svenska särregleringen i 5 a § person- uppgiftslagen försvinner i och med att dataskyddsförordningen börjar tillämpas. Något utrymme att komplettera med en sådan nationell bestämmelse om undantag från tillämpningen av förordningen finns inte. Eftersom förordningen ska tillämpas i sin helhet på all be- handling av personuppgifter måste sådan behandling som tidigare utförts enligt missbruksregeln ha sin rättsliga grund i förordning- ens bestämmelser.

14.3Etikprövning som skyddsåtgärd

14.3.1Inledning

Etikprövning utgör i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. för forskningsändamål. Etikprövning fram- hålls i utredningens direktiv som en möjlig skyddsåtgärd i enlighet med dataskyddsförordningens krav på skyddsåtgärder vid behand- ling av personuppgifter för forskningsändamål. För att ta ställning till om etikprövning utgör en skyddsåtgärd som är förenlig med dataskyddsförordningen kommer utredningen i det följande att analysera etikprövningens beståndsdelar samt uppmärksamma vilka bedömningar som legat till grund för införandet av etikprövning som en redan i dag befintlig skyddsåtgärd.

326

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

14.3.2Etikprövning som befintlig skyddsåtgärd

Utgångspunkterna för vad som ska beaktas vid etikprövningen fram- går av 7–11 §§ etikprövningslagen. Dessa bestämmelser är emeller- tid inte avsedda att utgöra en detaljerad beskrivning av hur själva prövningen ska gå till. Lagstiftaren ansåg nämligen vid etikpröv- ningslagens införande att den materiella prövning som ska göras, beträffande bedömningen av bl.a. forskningens vetenskapliga värde och om riskerna för forskningspersonerna uppvägs av detta veten- skapliga värde, varken kan eller bör detaljstyras i lagen. Denna bedömning motiverades med att forskning utförs på så många olika sätt och att forskningsmetoder och andra förhållanden av betydelse ständigt utvecklas och förändras.9

I den proposition som låg till grund för etikprövningslagen hän- visas dock till den avvägningsnorm som vid den tiden framgick av 19 § personuppgiftslagen och som tillämpades vid prövning av om undantag från förbudet att behandla känsliga personuppgifter var tillåtet vid behandling för forskningsändamål. Denna avvägnings- norm innebar att behandlingen skulle vara nödvändig för forsk- ningen och att samhällsintresset klart skulle överväga risken för in- trång i enskildas personliga integritet. Enligt förarbetena till person- uppgiftslagen (till vilka det hänvisades i propositionen till etikpröv- ningslagen) bestod avvägningsnormen av en helhetsbedömning av samtliga omständigheter i det enskilda fallet.10

Vid helhetsbedömningen skulle således beaktas bl.a. forsknings- projektets vikt, behovet av personuppgifter, säkerheten vid behand- lingen, omständigheter vid ett eventuellt samtycke, om information lämnats till de berörda och i vilken utsträckning den som begärde detta hade rätt att bli struken. I viss mån skulle även beaktas hur pass svårt det var att på grund av de behandlade uppgifterna identi- fiera enskilda personer.

Regeringen framhöll i propositionen med förslag till etikpröv- ningslag att några sakliga förändringar i avvägningsnormens inne- håll inte var avsedda i samband med att dess grunder fördes över från personuppgiftslagen till de allmänna utgångspunkterna för etik- prövningen enligt etikprövningslagen. Avsikten var helt enkelt att

9Prop. 2002/03:50 s. 113 f.

10A.a. s. 172 f.

327

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

prövningen av forskning som innefattar behandling av känsliga per- sonuppgifter skulle ske på samma sätt som enligt den avvägnings- norm som då fanns i personuppgiftslagen.11 Grunderna för avväg- ningen mellan risk och värde i samband med etikprövning av person- uppgiftsbehandling för forskningsändamål har således sitt ursprung i personuppgiftslagen, vilken i sin tur baseras på det nuvarande data- skyddsdirektivet (95/46/EG).

Den personuppgiftsbehandling som är föremål för etikprövning ska vidare vara nödvändig enligt 10 § andra stycket etikprövnings- lagen. Nödvändighetskravet i etikprövningslagen motsvarar det som gäller enligt 10 § personuppgiftslagen.12 Enligt utredningens bedömning torde nödvändighetskravet också ha samma innebörd som kravet på nödvändighet i dataskyddsförordningen.13

Ett beslut om etikgodkännande kan förenas med villkor. Detta görs i de fall integritetsaspekterna kan anses tillvaratagna på ett till- fredsställande sätt genom särskilda villkor, i stället för att en ansö- kan avslås. Sådana villkor antogs i etikprövningslagens förarbeten behövas till exempel beträffande formerna för rekrytering av forsk- ningspersoner och inhämtande av samtycke, lämnande av informa- tion eller strykningsrätt. Lagstiftaren ansåg vidare att det i praxis får utvecklas närmare när villkor i något avseende behöver med- delas, eftersom det inte går att förutse alla uppkommande situatio- ner när något villkor borde meddelas.14

Etikprövningsnämnderna har utvecklat denna praxis till att om- fatta villkor avseende t.ex. krav på inhämtande av samtycke, möjlig- heter för den registrerade att motsätta sig behandling av person- uppgifter samt tydligare information till den enskilde. Allmänna anvisningar för datasäkerhet har också utvecklats, vilka anger på vilket sätt personuppgifter ska hanteras för att uppnå tillräckligt dataskydd.

Etikprövning har i tidigare lagstiftningsarbete uttryckligen be- dömts utgöra en skyddsåtgärd enligt dataskyddsdirektivet vid be- handling av personuppgifter om lagöverträdelser m.m. för forsk- ningsändamål.15 I propositionen som föregick vissa ändringar i etik-

11A.a. s. 196.

12Prop. 2002/03:50 s. 196.

13Se vidare avsnitt 5.2.2.

14Prop. 2002/03:50 s. 115.

15SOU 2005:78 s. 71.

328

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

prövningslagen anförde regeringen att den prövning av personupp- gifter om lagöverträdelser m.m., som ska ske av en etikprövnings- nämnd, för ett godkännande av forskning som innebär behandling av sådana uppgifter, innefattar sådana lämpliga och specifika skydds- åtgärder som avses i dataskyddsdirektivet.16 Syftet med etikpröv- ning har följaktligen bedömts vara överensstämmande med data- skyddsregleringens övergripande syfte.

Etikprövning som skyddsåtgärd vid behandling av känsliga per- sonuppgifter och personuppgifter om lagöverträdelser m.m. har alltså tidigare bedömts i relation till kraven i dataskyddsdirektivet.

Av dataskyddsdirektivets artikel 8 p. 4 och 5 (artikel 8.1 reglerar förbudet mot behandling av känsliga personuppgifter och 8.2 anger undantag från förbudet) framgår att:

4.Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin natio- nella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.

5.Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av natio- nella bestämmelser som innehåller lämpliga och specifika skyddsåtgär- der. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

Dataskyddsdirektivet kräver således lämpliga skyddsåtgärder för behandling av hänsyn till ett viktigt allmänt intresse av känsliga personuppgifter17 och lämpliga och specifika skyddsåtgärder för be- handling av personuppgifter om lagöverträdelser m.m. I båda fallen har etikprövning sedan tidigare bedömts uppfylla kraven i data- skyddsdirektivet på skyddsåtgärd fastställd i nationell rätt.

14.3.3Dataskyddsförordningens krav

Dataskyddsförordningen kräver lämpliga skyddsåtgärder för behand- ling av alla slags personuppgifter för forskningsändamål, inklusive personuppgifter om lagöverträdelser m.m., och lämpliga och sär-

16Prop. 2007/08:44 s. 31.

17Behandling för forskningsändamål av känsliga personuppgifter har av lagstiftaren bedömts utgöra ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet.

329

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) för forskningsändamål. Dataskyddsförordningen saknar närmare definitioner av begreppen lämpliga och särskilda skyddsåtgärder. En analys av begreppet lämp- liga skyddsåtgärder finns i kapitel 12.

Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Etikprövningen måste således uppfylla kraven avseende de olika kategorierna av personuppgiftsbehandling för att vara förenlig med förordningen. Dataskyddsförordningens krav i dessa delar har tre olika nivåer:

All personuppgiftsbehandling för forskningsändamål, innefatt- ande uppgifter om lagöverträdelser m.m. som utförs under kon- troll av myndighet, måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1).

Personuppgiftsbehandling för forskningsändamål av uppgifter om lagöverträdelser m.m. som utförs av enskild får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Personuppgiftsbehandling för forskningsändamål av känsliga uppgifter måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).18

Dataskyddsförordningens krav har stora likheter med de krav som det nuvarande dataskyddsdirektivet ställer. Dataskyddsdirektivet kräver, som angetts ovan, lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgär- der vid behandling av personuppgifter om lagöverträdelser m.m. Utredningen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsförordningen skulle

18 I dataskyddsdirektivet saknas ett undantag specifikt för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter. Undantaget i nuvarande lagstiftning baseras därför på att forskningsändamålet utgör en uppgift av viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet. I dataskyddsförordningen finns undantaget för behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g. Enligt utredningens slutsats i kapitel 7 bör dock personuppgiftsbehandling för forskningsändamål av allmänt intresse, med rättsligt stöd i artikel 6.1 e, tillämpa undantaget i artikel 9.2 j vid behandling av känsliga personuppgifter.

330

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

innebära någon skillnad i sak jämfört med begreppet specifika skydds- åtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”suitable and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet anger kravet på ”suitable specific safeguards”. Det engelska begreppet ”specific” har således översatts till såväl särskilda som specifika i respektive svensk version av data- skyddsförordningen och dataskyddsdirektivet.

Syftet med de skyddsåtgärder som enligt artikel 9.2 j i data- skyddsförordningen ska omfatta behandling av känsliga person- uppgifter för forskningsändamål ska vara att säkerställa den registre- rades grundläggande rättigheter och intressen. I artikel 10 anges kravet på lämpliga skyddsåtgärder för de registrerades rättigheter och fri- heter vid personuppgiftsbehandling av uppgifter om lagöverträdel- ser m.m. Någon motsvarande formulering av syftet med skydds- åtgärderna finns inte i dataskyddsdirektivet, som dock har som över- gripande syfte enligt artikel 1 att skydda fysiska personers grund- läggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

I kapitel 12 finns utförligare beskrivningar av dataskyddsförord- ningens krav på skyddsåtgärder generellt. I korthet bör i detta sam- manhang lyftas fram att en av dataskyddsförordningens grundlägg- ande generella principer för personuppgiftsbehandling, principen om integritet och konfidentialitet (artikel 5.1 f), anger att den person- uppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Till den generella regleringen hör även allmänna skyldigheter i artikel 24 i dataskyddsförordningen för den personuppgiftsansvarige att genom- föra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.

Artikel 32 i dataskyddsförordningen ställer mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Där framgår att den personuppgiftsansvarige ska vidta lämp- liga tekniska och organisatoriska åtgärder för att säkerställa en säker- hetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varie-

331

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

rande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.

Av skäl 75 i dataskyddsförordningen framgår att risker för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling av bland annat känsliga personuppgifter eller personuppgifter om lag- överträdelser m.m. I skäl 76 i förordningen anges att hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv be- dömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

Ansvaret för att denna riskbedömning görs åligger enligt data- skyddsförordningen den personuppgiftsansvarige. Om det före- ligger ett krav på etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för forskningsändamål, varigenom denna avvägning mellan risk och nytta utförs, måste dock etikprövningen vara förenlig med data- skyddsförordningens reglering av riskbedömningen. Ansvaret för att varje enskild personuppgiftsbehandling uppfyller dataskydds- förordningens krav på lämpliga och särskilda skyddsåtgärder åvilar dock alltid den personuppgiftsansvarige.

14.3.4Överväganden

Utredningens bedömning: Etikprövning enligt etikprövnings- lagen utgör en sådan fastställd lämplig och särskild åtgärd som krävs vid personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförord- ningen. Etikprövning enligt etikprövningslagen utgör också en sådan fastställd lämplig skyddsåtgärd som krävs för personupp- giftsbehandling av personuppgifter om lagöverträdelser m.m. enligt artikel 10 i dataskyddsförordningen.

Syftet med etikprövningslagen är att skydda den enskilda männi- skan och respekten för människovärdet vid forskning. Skydds- objektet är alltså inte helt identiskt med vad som ska skyddas enligt personuppgiftslagen (mot att människors personliga integritet kränks

332

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

genom behandling av personuppgifter) eller dataskyddsförordningen (fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter).

Vid etikprövningen ska dock, som ovan redogjorts för, en av- vägning göras mellan det förväntade värdet av den kunskap forsk- ningen sannolikt kan ge och riskerna för den enskildes skada och obehag. Riskerna får inte stå i bristande proportion till forskning- ens potentiella allmängiltiga värde. Oavsett värdet av forskningen måste den genomföras med respekt för människovärdet.

Vid etikprövningen ska beaktas bl.a. forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, omstän- digheter vid ett eventuellt samtycke, om information lämnats till de berörda och i vilken utsträckning den som begärde detta hade rätt att bli struken samt risken för identifiering av enskilda personer. Avvägningen har, som utredningen visat, sitt ursprung i person- uppgiftslagen som i sin tur baseras på dataskyddsdirektivet. Den risk- bedömning som etikprövningsnämnderna gör av personuppgifts- behandling för forskningsändamål har därmed sedan tidigare be- dömts förenlig med kraven i dataskyddsdirektivet.

Dataskyddsförordningen preciserar inte närmare hur de natio- nella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda, men viss vägledning till vilka faktorer som bör beaktas vid bedömningen av lämpligt skydd vid personuppgiftsbehandling finns i artikel 32 i dataskyddsförordningen. Av artikel 32 framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med be- aktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt risk- erna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas. Risken bör, enligt skäl 76, utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

Det är inte möjligt att inom vårt uppdrag till fullo utreda hur etikprövningen går till i praktiken. Utredningen har därför att utgå ifrån att etikprövningslagens bestämmelser, och de vägledningar för tillämpningen som finns i förarbetena, följs av etikprövningsnämnd- erna och att etikprövningen därmed utförs enligt den avvägnings- norm och riskbedömning som är avsedd. I enlighet med vad utred-

333

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

ningen redogjort för i detta avsnitt är det därmed vår bedömning att etikprövningen som helhet uppfyller dataskyddsförordningens krav. Meddelade villkor kan enligt utredningens bedömning utgöra skyddsåtgärder enligt dataskyddsförordningen och komplettera etik- prövningen i de fall det krävs för ett fullgott skydd. Att prövningen görs av etikprövningsnämnderna uppfyller, enligt utredningens upp- fattning, dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den regi- strerades grundläggande rättigheter och friheter.

Mot bakgrund av detta är det utredningens sammanvägda be- dömning att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskydds- förordningen kräver vid behandling av känsliga personuppgifter för forskningsändamål, samt utgör en sådan fastställd lämplig skydds- åtgärd som artikel 10 i dataskyddsförordningen kräver för behand- ling av personuppgifter om lagöverträdelser m.m.

Närmare föreskrifter om etikprövningen

Eftersom dataskyddsförordningen blir direkt tillämplig som lag från och med den 25 maj 2018 är det viktigt att den faktiska be- dömning av avsedd behandling av personuppgifter som utförs i samband med etikprövningen efter detta datum vid behov anpassas till förordningens krav. Till skillnad från personuppgiftslagen är dataskyddsförordningen inte subsidiär till etikprövningslagen. Data- skyddsförordningens ställning som direkt tillämplig reglering med- ger inte att bestämmelser som redan framgår av förordningen fast- ställs i nationell rätt, men i begränsad utsträckning tillåts preciser- ingar eller upplysningar i syfte att förtydliga förordningens krav. I särskilda fall kräver förordningen nationell reglering.

Det är utredningens uppfattning att etikprövningslagens ut- gångspunkter för etikprövningen är förenliga med dataskyddsför- ordningens krav på skydd. Dessa utgångspunkter för etikprövningen anger dock inte i detalj hur själva bedömningen ska gå till. Det är vidare utredningens uppfattning att en sådan detaljreglering heller inte bör ske i lag.

Tillämpningen av dataskyddsförordningen innebär troligen att utbildningsinsatser behöver genomföras för att höja etikprövnings-

334

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

nämndernas kompetens avseende det nya regelverket för skydd av den personliga integriteten. Det är vidare möjligt att föreskrifter som närmare tydliggör vilka krav i dataskyddsförordningen som etikprövningsnämnderna särskilt bör beakta vid sin bedömning måste utformas. En sådan översyn görs lämpligen av etikprövningsnämnd- erna själva. Mot bakgrund av det föreliggande förslaget om en ny etikprövningsmyndighet19 är det utredningens uppfattning att en sådan översyn och anpassning av själva bedömningskriterierna bör avvakta genomförandet av denna organisatoriska förändring.

14.4Tillämpningsområdet för kravet på etikprövning

14.4.1Inledning

Mot bakgrund av dataskyddsförordningens krav på lämpliga skydds- åtgärder vid personuppgiftsbehandling för forskningsändamål har utredningen i uppdrag att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forsk- ningsändamål:

Det finns anledning att i detta sammanhang överväga om etikprövning av forskning liksom i dag enbart ska tillämpas på forskning som inne- fattar behandling av sådana personuppgifter som omfattas av ett sär- skilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av personuppgifter för forsk- ningsändamål.20

Etikprövningslagens tillämpningsområde avseende vilken slags per- sonuppgiftsbehandling som ska omfattas av kravet på etikprövning har på uppdrag av regeringen utretts tidigare vid ett par tillfällen. Vid införandet av etikprövningslagen år 2004 omfattade kravet på etikprövning behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag enbart om forskningspersonen inte hade lämnat

19I Ds 2016:46 föreslås att de regionala etikprövningsnämnderna organiseras i en myndighet framöver för att bland annat centralisera den administrativa handläggningen av ärendena. Det framgår också av förslaget att ett nytt gemensamt elektroniskt system för ansökan till etikprövningsnämnderna kommer att tas i bruk inom kort. Förslaget till ny organisation för etikprövning av forskning är under beredning, varför utredningen har hänvisat till den befintliga strukturen i samband med våra överväganden och förslag.

20Dir. 2016:65.

335

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

sitt uttryckliga samtycke till behandlingen. Regeringen framhöll då att frågan om etikprövning av annan forskning som i vissa fall kan vara känslig från integritetssynpunkt borde utredas närmare innan ett ställningstagande avseende en eventuell utvidgning av lag- ens tillämpningsområde kunde göras.21

Denna fråga utreddes sedan närmare inför en lagändring år 2008 som innebar att etikprövningslagens tillämpningsområde utvidga- des så att all forskning som innefattar behandling av sådana person- uppgifter som anges i 13 och 21 §§ personuppgiftslagen ska etik- prövas, oavsett om forskningspersonen har lämnat sitt uttryckliga samtycke till behandlingen eller inte.22 Lagens tillämpningsområde avseende personuppgiftsbehandling har dock alltjämt enbart om- fattat sådana slags personuppgifter som anges i 13 och 21 §§ person- uppgiftslagen. Det kan därför vara av intresse, i samband med utred- ningens övervägande av en eventuell utvidgning av kravet på etik- prövning till att omfatta all personuppgiftsbehandling för forsk- ningsändamål, att se något närmare på tidigare resonemang kring avgränsningarna av lagens tillämpningsområde.

14.4.2Etikprövningslagens ursprungliga tillämpningsområde

Ett övergripande syfte med etikprövningslagen angavs redan från början vara att skydda forskningspersonerna från risker att skadas fysiskt, psykiskt eller integritetsmässigt. De delar av lagens tillämp- ningsområde som omfattar personuppgiftsbehandling tar sikte på risken för integritetsmässig skada. Lagen omfattar i andra delar krav som avser att skydda forskningspersonerna från risker att skadas fysiskt eller psykiskt. Den utredning som föregick införandet av etikprövningslagen föreslog att lagen skulle tillämpas på forskning med personuppgifter som direkt eller indirekt kunde hänföras till en viss forskningsperson och som skulle utföras utan dennes sam- tycke, dock bara om forskningen innefattade behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen som föregick införandet av etikprövningslagen fram- höll särskilt vikten av den enskildes skydd för forskningens anse-

21Prop. 2002/03:50 s. 102.

22Prop. 2007/08:44 s. 21.

336

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

ende, dvs. allmänhetens förtroende för att forskningen utfördes etiskt korrekt. Utredningens bedömning var därför att de olika skydds- aspekterna skulle beaktas på ett ändamålsenligt sätt genom att etik- prövning skulle ske på förhand av forskning som kunde antas inne- bära särskilda risker. Beträffande vilken slags forskning som typiskt sett kunde innebära sådana särskilda risker för forskningsperson- erna resonerade utredningen utifrån utgångspunkten att ett förslag till vilken slags forskning som ska omfattas av etikprövning behöver innehålla överväganden om vid vilken sorts deltagande för forsk- ningspersonen som skyddsaspekter blir särskilt framträdande. Det ansågs inte avgörande inom vilket vetenskapligt område forskningen utförs, utan vilken metod som används och hur forskaren avser be- handla personuppgifterna.23

Utredningen ansåg att samtycke från forskningspersonen inne- bar att krav på etikprövning inte var motiverat. Detta ställnings- tagande gjordes mot bakgrund av bedömningen att forsknings- personen, om denne tillfrågas, själv kan välja att avstå från att delta om denne anser att uppgifterna är för integritetskänsliga. Bedöm- ningen av uppgiftens integritetskänslighet utförs då av forsknings- personen själv.

Forskning som hanterar integritetskänsliga uppgifter om en- skilda som inhämtats från annat håll ansågs däremot innebära en sådan integritetsrisk att det motiverade etikprövning, enligt utred- ningens bedömning. Som utgångspunkt framhölls känsliga person- uppgifter och personuppgifter om lagöverträdelser m.m. utifrån personuppgiftslagens definitioner som särskilt integritetskänsliga och utredningen ansåg därför att forskning som innehåller den typen av personuppgifter bör etikprövas. Bedömningen av dessa uppgifts- kategoriers integritetskänsliga karaktär baserades alltså i stor ut- sträckning på den bedömning som föregick regleringen i person- uppgiftslagen.

Som exempel på personuppgifter som inte borde omfattas av etikprövning uppgav utredningen att information som avser direkta faktauppgifter om en person (till exempel adress och ålder) inte är att anse som särskilt integritetskänsliga i sig, liksom uppgifter om en persons neutrala värderingsfrågor (som exempel angavs i utred- ningen vilken mat en person föredrar). Avgörande för vad som

23 Ds 2001:62 s. 109 f.

337

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

skulle etikprövas ansågs således vara informationens karaktär, oav- sett inom vilket vetenskapligt ämne eller område forskningen be- drevs. Fördelen med denna grund för etikprövning framhölls vara att olika sätt att forska inom skilda områden inte påverkar kravet på etikprövning i sig. All forskning som omfattade behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. utan inhämtat samtycke skulle enligt utredningens förslag omfattas av kravet på etikprövning.24

I samband med remissbehandlingen av utredningens förslag in- kom en del synpunkter på att lagens föreslagna tillämpningsområde var för snävt avgränsat. En allmän uppfattning var att också obser- vationsstudier, enkäter och intervjuer borde omfattas av etikpröv- ning. Några remissinstanser ansåg att etikprövning borde ske av all behandling av känsliga personuppgifter för forskningsändamål, dvs. även i det fallet forskningspersonen samtyckt. En annan synpunkt som framkom var att lagförslaget bedömdes minska omfattningen av den granskning som redan skedde, avseende sådan forskning som utfördes med samtycke inom det medicinska området, och att denna förändring var diskutabel ur trovärdighetssynpunkt för granskningsprocessen och forskningen.25

Regeringen fann dock att utredningens förslag till avgränsning av etikprövningslagens tillämpningsområde var rimlig och några materiella ändringar gjordes därför inte i regeringens proposition. Etikprövningslagen infördes att gälla från och med den 1 januari 2004 och omfattade då (bland annat) personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgif- ter om lagöverträdelser m.m. enligt definitionerna i 13 och 21 §§ personuppgiftslagen, om forskningspersonen inte lämnat sitt ut- tryckliga samtycke till behandlingen.

14.4.3Etikprövningslagens nuvarande tillämpningsområde

Hösten 2004 beslutade regeringen att tillsätta en utredning med uppdrag att se över etikprövningslagen, bland annat med avseende på frågan huruvida lagens tillämpningsområde skulle utvidgas.26

24A.a. s. 113 ff.

25Prop. 2002/03:50 s. 102 f.

26Dir. 2004:111.

338

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

I detta uppdrag skulle utredaren särskilt uppmärksamma forskning som inkräktar på människors integritet, eller på annat sätt aktualise- rar skyddsaspekter, samt lägga särskild vikt vid att avgränsa forsk- ningsområden och att utforma definitioner på ett sådant sätt att så- väl forskningsområdena som definitionerna uppfyllde vederbörliga krav på rättssäkerhet.

Definitionerna skulle vara lätta att förstå och tillämpa för alla berörda. Utredningen lämnade förslag på såväl en ny definition av forskning som ett utökat tillämpningsområde av etikprövnings- lagen. Definitionen av forskningsbegreppet är central för etikpröv- ningen. Enbart forskning som omfattas av lagens definition ska etik- prövas och all forskning som omfattas av lagen kräver godkännande för att få utföras. Legaldefinitionen av forskningsbegreppet i 2 § etik- prövningslagen är därför grundläggande för lagens tillämpnings- område.

Etikprövningsutredningen föreslog att etikprövningslagens till- lämpningsområde borde utvidgas på så sätt att all forskning som innefattar behandling av känsliga personuppgifter enligt 13 § person- uppgiftslagen eller personuppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen ska etikprövas, oavsett om forsknings- personen lämnat sitt samtycke eller inte. Utredningen föreslog också att det borde införas ett nytt stycke i 21 § personuppgiftslagen med innebörden att andra än myndigheter får behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål om en etikpröv- ningsnämnd lämnat sitt godkännande.

Den bedömning som låg till grund för utredningens förslag att utvidga etikprövningslagens tillämpningsområde baserades fram- för allt på synpunkter som Vetenskapsrådet fört fram i en rapport som överlämnats till regeringen hösten 2003. Vetenskapsrådet hade under våren 2003 fått i uppdrag av regeringen att, med beaktande av den då framlagda propositionen med förslag till etikprövnings- lag, kartlägga forskningsområden där Vetenskapsrådet bedömde att en etisk problemställning kunde uppkomma och som inte omfatta- des av den föreslagna regleringen i 3 och 4 §§ etikprövningslagen.27

I Vetenskapsrådets rapport framfördes att det fanns vissa princi- piellt viktiga skillnader mellan dåvarande praxis för etikbedömning

27 Regeringsbeslut 2003-03-06 Uppdrag till Vetenskapsrådet om etikprövning av viss forsk- ning, dnr U2003/993/F.

339

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

av forskning och den granskning som följde av den föreslagna etik- prövningslagen. Skillnaderna rörde dels tillämpningsområdet, dels granskningens omfattning. Vetenskapsrådets bedömning beträff- ande tillämpningsområdet var att etikprövningslagens krav på etik- granskning omfattade ett mycket begränsat forskningsområde i för- hållande till dåvarande granskningspraxis. Detta innebar att väsent- liga etiska problem i forskningen som tidigare behandlats i etik- kommittéer skulle komma att falla utanför etikprövningslagens krav. Vetenskapsrådet föreslog därför att etikprövningslagen skulle utvidgas till att omfatta all forskning som omfattar behandling av känsliga personuppgifter, all forskning som företas utan s.k. infor- merat samtycke28 och all forskning som innefattar en risk för att forskningspersoner eller andra direkt eller indirekt berörda kan komma att negativt påverkas fysiskt eller psykiskt.29

Liknande synpunkter som i Vetenskapsrådets rapport fördes fram från forskarhåll i samband med utredningen, framför allt rör- ande forskning med inhämtande av uppgifter från enkäter och intervjuer. Det rörde sig om forskning som uppfattades som etiskt problematisk av såväl forskare som allmänhet och som därför borde omfattas av etikprövning. Avgränsningsproblematiken låg huvud- sakligen i gränsdragningen mellan etiskt problematisk forskning med eller utan uttryckligt samtycke. Frågan om det är rätt att genomföra vilken integritetskänslig forskning som helst med samtycke som grund fördes fram, liksom frågan om samtyckets giltighet i olika situationer. Eftersom det inte krävdes etikprövning av forskning med samtycke skedde heller ingen prövning av det avgivna samtyckets giltighet, någon insyn från samhällets sida skulle då inte finnas av- seende de etiska aspekterna av forskningsprojekten.

Etikprövningsutredningen fann efter en samlad bedömning att det fanns ett behov av att förstärka samhällets insyn rörande forsk- ning av känsliga personuppgifter genom att överföra godkännandet av sådan forskning, oavsett informerat samtycke, från forskaren själv till etikprövningsnämnderna. Detta förslag innebar att inhämtande av personuppgifter för forskningsändamål genom till exempel enkä-

28Det kan noteras att beteckningen ”informerat samtycke” är vanligt förekommande inom framför allt medicinsk forskning. Ett giltigt samtycke enligt integritetsskyddslagstiftningen förutsätter dock även att det ska vara fråga om en viljeyttring baserad på frivillighet.

29Avrapportering av uppdrag till Vetenskapsrådet om etikprövning av viss forskning,

dnr U2003/4070/F.

340

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

ter, intervjuer och observationsstudier, som tidigare undgått kravet på etikprövning så länge uttryckligt samtycke lämnats, nu skulle omfattas av etikprövningslagens krav.30

Beträffande behandling av personuppgifter om lagöverträdelser m.m. anförde utredningen samma skäl som avseende känsliga person- uppgifter för en utvidgning av etikprövningslagen, dvs. att det fanns ett behov av att förstärka samhällets insyn rörande sådan forskning oavsett samtycke eller inte. Utredningen ansåg vidare att samma skyddsnivå för den enskildes integritet var motiverad vid behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål såväl hos en offentlig som hos en enskild forskningshuvudman. Utredningen föreslog därför att om en etikprövningsnämnd god- känt forskningen vid en enskild huvudman skulle det inte behövas något ytterligare beslut från regeringen eller Datainspektionen om undantag från förbudet i 21 § personuppgiftslagen för enskilda att behandla sådana personuppgifter, vilket var det förfarande som annars förelåg vid den här tiden.31

Betänkandet skickades ut på remiss och de flesta remissinstan- serna tillstyrkte utredningens förslag. Bland de positiva yttranden som inkom framhölls att förslaget medförde ett bättre skydd för forskningspersonerna, att det undanröjde vissa gränsdragnings- problem och att det skulle öka kvalitén i forskningen. Samtidigt fördes det fram negativa synpunkter som framhöll risken för onödig prövning av forskningsprojekt som var etiskt oproblematiska och att förslaget medförde begränsningar av forskares möjligheter att göra studier som kräver snabb datainsamling.

Vetenskapsrådet ansåg i sitt remissyttrande att förslaget inte var tillräckligt långtgående utan att man alltid borde kräva informerat samtycke även i samband med etikprövning, vilket var i enlighet med slutsatserna i den rapport Vetenskapsrådet tidigare avlämnat till regeringen. Exempel på andra synpunkter som fördes fram rörde risken för ökad arbetsbörda för etikprövningsnämnderna, med allt- för rutinbetonade arbetsuppgifter.

Regeringen ansåg vid denna tid att det mot bakgrund av Veten- skapsrådets rapport, Etikprövningsutredningens förslag samt remiss- instansernas synpunkter förelåg ett sådant underlag för ställnings-

30SOU 2005:78 s. 65 ff.

31A.a. s. 70 f.

341

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

tagande ifråga om en eventuell utvidgning av etikprövningslagens tillämpningsområde som man efterlyst i samband med införandet av lagen. Regeringen ställde sig i huvudsak bakom utredningens för- slag och lämnade, mot bakgrund av vad som framkommit i remiss- behandlingen, även förslag på att införa ett förtydligande i 2 § etik- prövningslagen avseende en definition av begreppet behandling av personuppgifter. Av definitionen framgår att begreppet i etikpröv- ningslagen avser sådan behandling som anges i den aktuella bestäm- melsen i personuppgiftslagen (3 § ).32

Regeringen anförde vidare att den föreslagna utvidgningen av etikprövningslagens tillämpningsområde skulle leda till att förut- sättningarna för att integritetsskyddet hålls på en hög nivå i alla de forskningsprojekt som innefattar behandling av känsliga person- uppgifter och personuppgifter om lagöverträdelser m.m. blev påtag- ligt bättre. Regeringens bedömning var att värdet av utökad trygghet för den enskilde och av förstärkt förtroende för forskningen i sam- hället vägde tyngre än en viss ökad arbetsinsats för den enskilda forskaren och ökad ärendemängd för etikprövningsnämnderna. Vidare ansåg regeringen att det skulle ankomma på etikprövnings- nämnderna att pröva förutsättningarna för behandlingen av person- uppgifterna utan samtycke. Om nämnden ansåg att samtycke borde inhämtas eller att informationen till forskningspersonerna var allt- för bristfällig hade nämnden möjlighet att avslå ansökan eller för- ena ett godkännande med särskilda villkor, t.ex. avseende krav på samtycke eller rätt för forskningspersonerna att få uppgifter strukna. På så vis ansåg regeringen att etikprövningsnämnderna kunde svara för att integritetsaspekterna tillvaratogs på ett tillfredsställande sätt.33

Nuvarande reglering av etikprövningslagens tillämpningsområde infördes att gälla från och med den 1 juni 2008.

14.4.4Ett utvidgat tillämpningsområde?

Utredningen kommer i det följande att behandla den uttryckliga uppgiften enligt utredningsdirektiven att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personupp- gifter för forskningsändamål.

32Prop. 2007/08:44 s. 21 ff.

33A.a. s. 25 f.

342

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Allmänt om etikprövning

En allmän bakgrund till utredningens överväganden avseende kravet på etikprövning är individens rätt till skydd av den personliga integriteten och till individuell autonomi. Denna rätt är vägledande för såväl de allmänna och specifika etiska principer som gäller för forskning som de uttryck detta tagit sig i lagstiftningen. Andra etiska principer bör emellertid också vägas in som härrör från det allmänna intresset av att tillgodose värden som inte enbart kommer den enskilda individen till godo, men som också vanligen har bety- delse för den registrerade själv. Här innefattas exempelvis den medi- cinska etikens princip om att göra gott, att inte skada och att i allmän- het bedriva en verksamhet som åtnjuter allmänhetens förtroende med respekt för människovärdet och individens integritet.

Den medicinska etiken innebär en moralisk skyldighet att ibland ingripa. Utöver de direkta ingripanden som sker i vården kan det vara fråga om förebyggande arbete. Det kan också handla om att använda de möjligheter som står till buds för att förbättra kunskap- erna om orsaker till sjukdom och om effektiva metoder för före- byggande och behandling. Skyldigheten för samhället att göra in- satser av detta slag har exempelvis stöd genom Förenta nationernas allmänna förklaring om de mänskliga rättigheterna, som i artikel 25 anger följande:

Var och en har rätt till en levnadsstandard tillräcklig för den egna och familjens hälsa och välbefinnande, inklusive mat, kläder, bostad, hälso- vård, och nödvändiga sociala tjänster samt rätt till trygghet i händelse av arbetslöshet, sjukdom, invaliditet, makas eller makes död, ålderdom eller annan förlust av försörjning under omständigheter utanför hans eller hennes kontroll.34

Som exempel på ovanstående resonemang kan nämnas senare års forskning inom den s.k. epigenetiken som har visat på långsiktiga effekter av individuell livsstil samt fysisk och social miljö på hälsa och sjukdomsrisker hos kommande generationer. Detta kan illu- streras med påvisande av att miljön i fosterlivet har långsiktiga effekter på barnets hälsa under hela dess återstående liv och även

34 FNs konventioner om mänskliga rättigheter. Justitiedepartementet och Utrikesdeparte- mentet 2006, s. 7. (Tillgänglig via nätet på manskligarattigheter.se)

343

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

kan påverka hälsan hos barnets egna avkommor35. Ökad kunskap om hur moderns levnadsmiljö påverkar de uttryck det genetiska arvet får hos barnet har vunnits genom möjligheten att följa grupper och individer under mycket långa tidsperioder. Forskningen inom detta fält är relativt ny och sökandet av ny kunskap kan leda till en bättre förståelse av de komplicerade samband som gäller i detta avse- ende. Detta för i sin tur med sig etiska frågeställningar av följande slag:

Bör gravida kvinnor åläggas ett större ansvar för sina levnads- vanor under den känsliga fosterutvecklingen? Vilken roll har sam- hället för att underlätta detta?

Vilken vetenskaplig grund är tillräcklig för att ge förebyggande rekommendationer? När bör man avstå från sådana?

Vilket ansvar har samhället för miljön om miljöfaktorer inte bara kan påverka människors hälsa direkt, utan även kommande generationers hälsa? Bör denna kunskap utvecklas vidare genom forskning?36

De etiska principer som exemplifieras här kan ibland komma i mot- sättning till intresset av att skydda den personliga integriteten, exempelvis vad gäller rätten att kontrollera huruvida känsliga person- uppgifter får användas för att generera ny kunskap. Resonemanget ovan mynnar ut i vikten av att vad som bör gälla för skyddet av personuppgifter behöver utvärderas i ett bredare etiskt perspektiv än det som enbart betraktar den registrerades integritetsskydd som vägledande.

Frågan om ett utvidgat tillämpningsområde

Etikprövningslagens övergripande syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Detta innebär såväl ett skydd för den enskilde mot att skadas fysiskt,

35För en populärvetenskaplig redogörelse, se exempelvis Norman, Mikael. ”Hjärtinfarkt, diabetes och övervikt – hur dina odds bestäms som foster och nyfödd.” Barnläkaren 2012, nr 1, s. 16–17.

36För vidare diskussion och fler exempel se Statens Medicinsk-etiska Råds hemsida http://www.smer.se/

344

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

psykiskt eller integritetsmässigt som ett skydd av grundläggande principer för forskning som avser människor. Ett sådant skydd är också avgörande för forskningens anseende och allmänhetens för- troende. Att bedöma etikprövningens tillämpningsområde handlar ytterst om att hitta en balans mellan etiska principer och andra vär- den som bör vägas in, där integritetsskyddet utgör en viktig men inte allenarådande utgångspunkt. Beträffande personuppgiftsbehand- ling för forskning innebär detta ett behov av att hitta en lämplig avgränsning av personuppgifter som är särskilt integritetskänsliga och som därigenom behöver åtnjuta ett större skydd, med beaktande av vilka konsekvenser obligatorisk etikprövning av dessa uppgifter skulle få. Utredningen kommer i det följande att analysera vad som framstår som en lämplig sådan avgränsning.

Redan i det utredningsarbete som föregick införande av etikpröv- ningslagen framhölls att det är viktigt ur rättssäkerhetssynpunkt att forskaren har tydliga ramar för sitt eget initiala ställningstagande till om en etikprövning behöver göras. En tydlig avgränsning av etik- prövningens tillämpningsområde skapar tydlighet för forskare bl.a. vid planering av forskningsprojekt.37 Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är förstås minst lika viktig för allmänhet- ens förtroende för systemet.

Kravet på etikprövning kan anses vara en begränsning av forsk- ningens frihet, forskarens möjlighet att fritt använda sig av person- uppgifter i forskningen, vilket kräver proportionalitet i avgräns- ningen av tillämpningsområdet.

Det är utredningens uppfattning att ramarna för etikprövning- ens omfattning bör utformas så att de kan fungera även på längre sikt. Detta är av stor vikt för att regleringen inte snabbt ska bli för- åldrad jämfört med forskningsmetodernas utveckling och därmed blir lätt att kringgå. En alltför detaljerad avgränsning av tillämp- ningsområdet medför en sådan risk. Ett omotiverat brett tillämp- ningsområde riskerar samtidigt att urholka själva syftet med etik- prövningen och resultera i ett sämre förtroende för etikprövning.

Ett argument för dagens reglering har sammantaget varit att en avgränsning ska vara så lätt att tillämpa som möjligt och samtidigt uppfylla grundläggande krav på rättssäkerhet, inbegripande förut- sebarhet. Metoden att räkna upp de situationer som ska etikprövas

37 Ds 2001:62 s. 120.

345

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

anses uppfylla detta mål. De situationer som inte räknas upp ska således inte etikprövas. Vid tveksamhet faller forskningen utanför lagens tillämpningsområde och forskningshuvudmannen hänvisas till förfarandet med rådgivande yttrande i de fall en etikprövning ändå är önskvärd.38

De synpunkter på omfattningen av etikprövningslagens krav som fördes fram i samband med stiftande av lagen togs i huvudsak om hand i samband med lagändringen år 2008 när lagens tillämp- ningsområde utökades. Av de kommentarer som lämnades i sam- band med förslaget att utöka tillämpningsområdet var det ingen remissinstans som anförde att all personuppgiftsbehandling för forskningsändamål bör etikprövas. Ett sådant önskemål har således inte framförts från något håll sedan etikprövningslagen infördes, enligt vad utredningen kunnat erfara.

14.4.5Överväganden och förslag

Utredningens förslag: Etikprövningslagen ska tillämpas på forsk- ning som innefattar behandling av:

1.sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgif- ter), eller

2.sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Utredningens bedömning: Det finns inte skäl att utvidga tillämpningsområdet för lagen om etikprövning av forskning som avser människor till att omfatta all personuppgiftsbehand- ling för forskningsändamål.

Etikprövning bör vara den lämpliga och särskilda skydds- åtgärden även för de kategorier av personuppgifter som till- kommit i uppräkningen av särskilda kategorier personuppgifter i artikel 9.1 i dataskyddsförordningen. Kravet på etikprövning bör även fortsättningsvis omfatta personuppgifter om lagöver-

38 Se vidare 4 a § förordning (2003:615) om etikprövning av forskning som avser människor.

346

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

trädelser som innefattar brott, domar i brottmål, straffprocessu- ella tvångsmedel eller administrativa frihetsberövanden och inte enbart sådana uppgifter som anges i artikel 10 i dataskyddsför- ordningen.

Dataskyddsförordningen nämner inte etikprövning över huvud taget. Något krav enligt förordningen på etikprövning för varken all eller viss personuppgiftsbehandling för forskningsändamål finns således inte. Förordningen kräver emellertid lämpliga skyddsåtgär- der för all behandling av personuppgifter för forskningsändamål (artikel 89.1) och lämpliga och särskilda åtgärder fastställda i unions- rätten eller medlemsstaternas nationella rätt för behandling av käns- liga personuppgifter för forskningsändamål (artikel 9.2 j). För be- handling av personuppgifter rörande lagöverträdelser m.m. av andra än myndigheter kräver förordningen lämpliga skyddsåtgärder fast- ställda i unionsrätten eller medlemsstaternas nationella rätt (arti- kel 10). Utredningen har tidigare konstaterat att etikprövning är att anse som en skyddsåtgärd i enlighet med förordningen, se avsnitt 14.3.4. Frågan är här om etikprövning är en lämplig skyddsåtgärd för all personuppgiftsbehandling för forskningsändamål och inte bara för vissa uppgiftskategorier.

Vad som skulle kunna tala för att utvidga etikprövningslagens tillämpningsområde till att omfatta all personuppgiftsbehandling för forskningsändamål är om det finns skäl att flytta bedömningen avseende vilken slags personuppgiftsbehandling som ska etikprövas från forskningshuvudmannen till etikprövningsnämnderna. Detta gäller framför allt de fall som skulle kunna vara svårbedömda ut- ifrån dagens avgränsning. Risken för att forskning som av integri- tetsskäl bör etikprövas inte blir bedömd av en etikprövningsnämnd skulle på så vis elimineras och samhällets insyn skulle öka än mer. Frågan är dock om det finns reella behov av en sådan utvidgning.

Dagens avgränsning i etikprövningslagen är väl inarbetad. Såväl känsliga personuppgifter som personuppgifter om lagöverträdelser m.m. är explicit definierade i personuppgiftslagen och det torde vara svårt att undandra forskning omfattande behandling av sådana personuppgifter en föregående etikprövning. I samband med ut- lämnande av denna typ av uppgifter för forskningsändamål krävs som huvudregel godkänd etikprövning. Behovet av att undanröja risken för att forskning som av integritetsskäl bör etikprövas inte

347

Etikprövning av personuppgiftsbehandling för forskningsändamål SOU 2017:50

blir bedömd av en etikprövningsnämnd verkar därför vara litet. I dagsläget finns dessutom ett förfarande med rådgivande yttrande för ärenden där det skulle kunna råda viss osäkerhet om huruvida forskningen omfattas av etikprövningslagen eller inte.

Frågan är vidare om det finns ett behov av att etikpröva sådan forskning som inte omfattar känsliga personuppgifter eller person- uppgifter om lagöverträdelser m.m. Sådana uppgifter har i tidigare utredningssammanhang inte bedömts vara av särskilt integritets- känslig karaktär. Det är dock viktigt att i sammanhanget påminna om att en sådan bedömning naturligtvis kan skilja från person till person, vad någon uppfattar som integritetskänsligt kan en annan uppfatta som helt oproblematiskt. Av den anledningen har tidigare utredningar företrädesvis haft personuppgiftslagens kategoriser- ingar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. som utgångspunkt för vad som generellt kan karaktärisera integritetskänsliga personuppgifter.

Om etikprövningslagen skulle omfatta all personuppgiftsbehand- ling för forskningsändamål skulle det innebära etisk prövning av behandling av alla slags personuppgifter. En personuppgift är, enligt definitionen i 3 § personuppgiftslagen, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Kravet på etikprövning skulle således omfatta varje slags behand- ling för forskningsändamål även av indirekta personuppgifter utan någon integritetsmässig risk, dvs. etiskt oproblematisk person- uppgiftsbehandling för forskningsändamål. En sådan utvidgning av etikprövningslagens tillämpningsområde ter sig enligt utredningen såväl onödig som orimlig.

Etikprövningens syfte är, bland annat, att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns ingen risk för sådan skada behöver inte heller någon etikprövning ske. Utredningens samlade bedömning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med lagen och dessutom riskera att urholka förtroendet för etikprövningssyste- met. För att uppnå ett adekvat skydd i enlighet med dataskydds- förordningens krav för personuppgiftsbehandling för forsknings- ändamål som inte omfattar känsliga personuppgifter eller person- uppgifter om lagöverträdelser m.m. bör således andra typer av

348

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

skyddsåtgärder komma ifråga. Utredningen lämnar överväganden och förslag på sådana skyddsåtgärder i kapitel 12.

Utredningens sammantagna bedömning är således att etikpröv- ningslagens tillämpningsområde inte bör utvidgas till att omfatta all personuppgiftsbehandling för forskningsändamål.

Definitionerna av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m.

Dataskyddsförordningens definitioner av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. innebär vissa skill- nader jämfört med nuvarande reglering. Detta medför att utred- ningens förslag att etikprövningslagen även fortsatt ska omfatta känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. kräver en närmare analys av vilka personuppgifter som avses. Dataskyddsförordningens definition av sådana slags personupp- gifter som det här är fråga om framgår av artikel 9.1 och artikel 10:

Artikel 9.1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, bio- metriska uppgifter för att entydigt identifiera en fysisk person, upp- gifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexu- ella läggning ska vara förbjuden.

Artikel 10. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhets- åtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättig- heter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Dataskyddsförordningens definition av känsliga personuppgifter är utökad jämfört med dataskyddsdirektivets och personuppgiftslag- ens. De kategorier av personuppgifter som tillkommit i definitionen är genetiska uppgifter, biometriska uppgifter för att entydigt identi- fiera en fysisk person samt uppgift om en fysisk persons sexuella läggning39.

39 Uppgift om en fysisk persons sexualliv är redan i dagsläget kategoriserad som en känslig personuppgift enligt 13 § personuppgiftslagen.

349

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Utredningens förslag att godkänd etikprövning ska vara ett krav för att få behandla känsliga personuppgifter för forskningsändamål innebär således visst utökat tillämpningsområde för etikprövnings- lagen till följd av den EU-rättsliga utvecklingen.

Personuppgiftsbehandling för forskningsändamål även av gene- tiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella lägg- ning bör således enligt utredningens mening etikprövas i samband med att dataskyddsförordningen och den anpassade regleringen i etikprövningslagen börjar tillämpas. Det är dock i dagsläget svårt för utredningen att bedöma i vilken mån denna utvidgade definition av känsliga personuppgifter kommer att generera en ökad arbets- mängd för etikprövningsnämnderna.

Det är i sammanhanget viktigt att förtydliga att kravet på etik- prövning som skyddsåtgärd vid behandling av känsliga personupp- gifter, i enlighet med definitionen i artikel 9.1 i dataskyddsförord- ningen, omfattar all behandling för forskningsändamål som avser dessa speciella kategorier av personuppgifter. Detta innebär att oavsett om behandlingen utförs med samtycke eller är nödvändig enligt någon av de andra rättsliga grunderna enligt artikel 6.1 krävs det etikgodkännande enligt etikprövningslagen om behandlingen utförs för forskningsändamål. Artikel 9.2 j i dataskyddsförordningen omfattar all personuppgiftsbehandling som är nödvändig för forsk- ningsändamål. Det lagstadgade kravet på etikprövning för all behand- ling av känsliga personuppgifter för forskningsändamål innebär vidare att samtycke inte ensamt kan upphäva förbudet mot behand- ling av känsliga personuppgifter enligt artikel 9.2 a, inom ramen för etikprövningslagens tillämpningsområde.

Beträffande definitionen av personuppgifter om lagöverträdelser m.m. är dataskyddsförordningens formulering något snävare än den nuvarande bestämmelsen i 21 § personuppgiftslagen, som stadgar:

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden.

Utredningen har i kapitel 8 analyserat skillnaderna mellan formuler- ingarna i 21 § personuppgiftslagen och artikel 10 i dataskyddsför- ordningen. Utredningen lämnar där ett förslag om att införa en be- stämmelse i forskningsdatalagen som ger andra än myndigheter rätt

350

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

att behandla personuppgifter om lagöverträdelser m.m. för forsk- ningsändamål. Detta förslag är förenligt med artikel 10 i dataskydds- förordningen.

Förordningens krav på fastställda lämpliga skyddsåtgärder gäller dock enbart för sådana personuppgifter om lagöverträdelser m.m. som framgår av artikel 10. Som tidigare framgått är det utredning- ens bedömning att etikprövningslagens nuvarande tillämpnings- område bör kvarstå. Detta innefattar den vidare definition av person- uppgifter om lagöverträdelser m.m. som gäller enligt 21 § person- uppgiftslagen. Utredningen finner inte skäl för att undanta sådana typer av personuppgifter som omfattas av etikprövningslagens nu- varande krav från samma skydd framöver.

Utredningen kan inte heller finna att det skulle stå i strid med dataskyddsförordningen att även fortsättningsvis låta kravet på etikprövning enligt etikprövningslagen omfatta sådana personupp- gifter om lagöverträdelser m.m. som anges i 21 § personuppgifts- lagen. Utredningen föreslår således att etikprövningslagen även fortsättningsvis ska tillämpas på forskning som innefattar behand- ling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden.

Sammanfattning

Det är utredningens bedömning att etikprövningslagens krav även fortsättningsvis bör omfatta personuppgiftsbehandling för forsk- ningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Detta innebär i praktiken att tillämpnings- området avseende känsliga personuppgifter utökas i förhållande till i dag, i syfte att vara förenligt med dataskyddsförordningens defini- tion i artikel 9.1. Det innebär vidare att definitionen av person- uppgifter om lagöverträdelser m.m. enligt etikprövningslagen kvar- står enligt den avgränsning som återfinns i 21 § personuppgifts- lagen, vilket i sin tur innebär en vidare definition än artikel 10 i dataskyddsförordningen.

Utredningen vill i detta sammanhang avslutningsvis framhålla att det är vårt uppdrag att överväga om etikprövningslagens krav bör utvidgas till att gälla all personuppgiftsbehandling för forsk- ningsändamål, eller om dagens avgränsning till behandling av käns- liga personuppgifter och personuppgifter om lagöverträdelser m.m.

351

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

ska kvarstå. Uppdraget omfattar således inte en analys av en utvidg- ning av tillämpningsområdet till att omfatta viss annan personupp- giftsbehandling för forskningsändamål.

Vilka slags personuppgifter som upplevs som integritetskänsliga är många gånger en subjektiv bedömning. Vad som är integritets- kränkande för någon kan vara relativt okomplicerat för en annan person. En uppgift om medlemskap i fackförening kan te sig mindre integritetskänsligt än till exempel en uppgift om någons privat- ekonomi, vilket inte omfattas av förordningens definition av käns- liga personuppgifter. Detsamma gäller för omfattande sammanställ- ningar av personuppgifter som var för sig inte är så känsliga men som tillsammans med en stor mängd andra personuppgifter kan ut- göra ett integritetskänsligt material.

I Vetenskapsrådets rapport från år 2003, med anledning av regeringens uppdrag att kartlägga forskningsområden där en etisk problemställning skulle kunna uppkomma och som inte täcks av etikprövningslagen, var ett av förslagen att all personuppgiftsbehand- ling för forskningsändamål utan informerat samtycke skulle om- fattas av kravet på etikgodkännande.40 Detta förslag återgavs men behandlades inte närmare av den utredning som sedan föregick införandet av etikprövningslagens nuvarande tillämpningsområde.41 Slutsatsen i den utredningen var dock att en lämplig avgränsning av lagens tillämpningsområde var att all personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter, oavsett inhämtat informerat samtycke eller ej, skulle etikprövas. Det ligger inte inom vårt uppdrag att utreda Vetenskapsrådets förslag till utvidgat tillämp- ningsområde vidare.

Vi är medvetna om de behov av ytterligare nyansering som förs fram i olika forskningssammanhang och att det kan vara motiverat att se över vilken slags personuppgiftsbehandling för forsknings- ändamål, även i andra fall än som direkt framgår av vårt uppdrag, som borde etikprövas. Mot bakgrund av det tydliga utredningsupp- draget och den högst begränsade utredningstiden är det dock vår bedömning att en sådan översyn av etikprövningslagens tillämp- ningsområde inte låter sig göras inom ramen för detta utrednings- uppdrag.

40Dnr U2003/4070/F.

41SOU 2005:78.

352

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

14.5Behov av fortsatt översyn

14.5.1Inledning

Utredningen har, som redan framkommit, i uppdrag att överväga om kravet på etikprövning bör utvidgas till att gälla all personupp- giftsbehandling för forskningsändamål. Om utredningen kommer fram till att kravet på etikprövning ska utvidgas till att gälla all person- uppgiftsbehandling för forskningsändamål ska utredningen enligt sitt uppdrag analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden. För det fallet utredningen skulle förorda en utvidgning av kravet på etikprövning skulle vi överväga behovet av att införa ett enklare förfarande vid etikprövning när det är fråga om en behand- ling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet.

Så som utredningen redan har redogjort för är vårt ställnings- tagande emellertid att etikprövningslagen även fortsatt bör omfatta behandling för forskningsändamål begränsat till känsliga person- uppgifter och personuppgifter om lagöverträdelser m.m. Enligt utredningens bedömning bör etikprövningslagen således inte utvid- gas till att gälla all personuppgiftsbehandling för forskningsända- mål. Någon anpassning av de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden aktualiseras därför inte med hänvisning till ett utvidgat tillämpningsområde. Inte heller behöver en analys göras av ett eventuellt behov av förenklingar i etikprövningsförfarandet vid personuppgiftsbehandlingar som inne- bär en liten risk för intrång i den enskildes integritet, mot bakgrund just av att utredningen inte föreslår ett utökat tillämpningsområde.

Samtidigt har utredningen under arbetets gång på olika sätt blivit varse om behovet av att inom ramen för dagens tillämpnings- område se över etikprövningsförfarandet i samband med behand- ling av personuppgifter. Under utredningstiden har vi närmare be- stämt fått ta del av konkreta exempel och vad som framstår som välgrundade synpunkter avseende behovet av vissa förändringar av etikprövningsförfarandet.

Sammantaget är det utredningens uppfattning att det är av stor vikt att dessa aspekter på etikprövning riktad mot personuppgifts- behandling utreds vidare. Mot bakgrund av att utredningen i detta skede har sitt huvudsakliga fokus på anpassningar till dataskydds-

353

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

förordningen, är det dock vår bedömning att en sådan översyn bör ske i ett annat sammanhang. Utredningen kommer därför i det följande att återge exempel på behov av vidare analys över ett för- ändrat, och vad som kan betecknas som differentierat, etikprövnings- förfarande som har identifierats under utredningstiden.

14.5.2Etikprövning vid lägre risk för intrång i den enskildes integritet

Etikprövning ska enligt utredningens förslag utgöra den huvudsak- liga skyddsåtgärden för all behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. för forsknings- ändamål. Sådan behandling av personuppgifter förekommer inom många forskningsområden med användning av olika metoder. Risken för intrång i den enskildes integritet kan därför variera högst avse- värt även inom sådan slags personuppgiftsbehandling som kräver etikgodkännande. Etikprövning är en omfattande skyddsåtgärd som i dagsläget är utformad på i princip samma sätt för all etikprövning av personuppgiftsbehandling.

Basen utgörs av begreppet personuppgift som ges en långtgå- ende definition i dataskyddsförordningen. Enligt artikel 4.1 avses med personuppgifter:

Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hän- visning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Denna definition gäller för alla slags personuppgifter. Detta inne- bär att det även avseende känsliga personuppgifter och personupp- gifter om lagöverträdelser m.m. finns såväl direkta som indirekta personuppgifter.

Utredningen har både för egen del och av andra aktörer upp- märksammats på ett antal varianter av personuppgiftsbehandling för forskningsändamål vilka omfattas av etikprövningslagen krav, men som kan antas innebära en lägre risk för intrång i den enskildes integritet.

354

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Behandling av kodade personuppgifter från myndighetsregister

Registerforskningsutredningen (U 2013:01) lade fram ett förslag i sitt betänkande SOU 2014:45 Unik kunskap genom registerforsk- ning som avsåg ett förenklat förfarande för behandling av person- uppgifter som hämtats från myndighetsregister med uppgifter som primärt samlats in för andra ändamål än forskning och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde.

Förslaget baserades på att Centrala etikprövningsnämnden, enligt uppgift från Registerforskningsutredningen, har utvecklat en praxis enligt vilken forskningsprojekt som endast innefattar sådan person- uppgiftsbehandling i regel anses medföra mycket små risker för den personliga integriteten. Någon egentlig värdering av forsknings- projektets nytta anses därför inte behövas i samband med etikpröv- ningen.

Registerforskningsutredningens förslag till förenklat förfarande innebär att sådana ärenden skulle få avgöras av nämndens ordförande ensam, genom en ändring av den befintliga 27 § etikprövningslagen. I 27 § anges redan i dag under vilka förutsättningar ordföranden, eller annan ledamot, i en regional etikprövningsnämnd får fatta beslut ensam. En sådan situation är när ett ärende är av den typen att tidigare vägledande avgöranden kan tillämpas, dvs. när det finns en väl etablerad praxis på området.42 I våra direktiv anges som alter- nativt förslag att sådana ärenden skulle kunna avgöras av ordföran- den i samråd med en vetenskaplig ledamot.

Enligt Registerforskningsutredningen anses behandling av kod- ade personuppgifter som hämtats ur ett myndighetsregister utgöra liten eller obefintlig risk för skada eller obehag för forsknings- personerna. Någon bedömning av forskningens vetenskapliga bär- kraft behöver därför inte göras, eftersom risksidan aldrig kommer att väga tyngre än värdesidan. Utredningen bedömde att ordföran- den ensam är lämpad att utföra riskbedömningen och besluta i ärendet, eftersom det inte krävs en avvägning mellan riskerna för skada för den enskilde och det förväntade värdet av forskningen. Prövningen i sig skulle enligt förslaget alltjämt utföras enligt de principer som gäller enligt etikprövningslagen och i de fall ordfö-

42 SOU 2014:45 s. 375 f.

355

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

randen anser ärendet vara av sådan karaktär att det bör behandlas i nämnden skulle ärendet hänvisas dit. Enligt Registerforsknings- utredningens förslag skulle detta förenklade förfarande enbart gälla de regionala etikprövningsnämnderna eftersom ärenden som över- klagas till centrala nämnden ansågs vara av mer komplicerad karaktär och något förenklat förfarande inte bedömdes motiverat.43

I samband med remissbehandlingen av Registerforskningsutred- ningens förslag inkom synpunkter på förslaget om förenklat etik- prövningsförfarande till regeringen. Ett flertal remissinstanser ställde sig positiva till förslaget i sin helhet,44 medan ett par i övrigt positiva svar föreslog att förslaget kompletterades med att sådana ärenden i samråd med en vetenskaplig ledamot ska avgöras av ordföranden (som enligt etikprövningslagen ska vara eller ha varit ordinarie dom- are).45 Bland övriga inkomna synpunkter märktes förslaget att helt slopa kravet på etikprövning för forskning baserad på avidentifierade registeruppgifter (dvs. indirekta personuppgifter), för att i stället införa ett system där utlämning av sådana personuppgifter kan ske till auktoriserade institutioner utan särskild prövning i varje enskilt fall.46

I andra änden av skalan ansåg en remissinstans att ett förenklat förfarande inte borde tillämpas mot bakgrund av utredningens argu- ment, eftersom en vägning av risk mot nytta alltid behöver göras för att värna registrens legitimitet och allmänhetens tillit till forsk- ning.47 Andra synpunkter rörde bland annat att det inte förelåg övertygande argument för förslaget samt att grundregeln borde vara att ärenden som avser registerforskning granskas av nämnden i sin helhet.48 Flera risker belystes i ytterligare ett remissvar. Detta gällde såväl att en befarad ökad arbetsbelastning för ordförandena riskerar att motverka effektivitetsargumentet i förslaget som att personuppgiftsbehandling enligt förslaget får en stämpel av att inte vara så integritetskänsligt med risk för mindre ansvarsfull hantering.49

43A.a. s. 377.

44Bland annat Nationellt biobanksråd, Försäkringskassan, Uppsala universitet, Linné- universitetet, Inspektionen för socialförsäkringen, Folkhälsomyndigheten, Karolinska institutet, Umeå universitet och Kammarrätten i Stockholm.

45Till exempel Stockholms universitet, Vetenskapsrådet och Forte.

46Lunds universitet, Ekonomihögskolan.

47Lunds universitet, Medicinska fakulteten.

48Statens Medicinsk-etiska råd.

49Myndigheten för vårdanalys.

356

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Centrala etikprövningsnämnden anförde i sitt remissyttrande att nämnden inte gärna ser att man inför bestämmelser som medför särbehandling av visst slag av forskning. Dessutom finns redan en möjlighet enligt 27 § etikprövningslagen att överlämna ärenden till ordföranden eller annan ledamot att avgöra under vissa förutsätt- ningar. Mot den bakgrunden avstyrkte Centrala etikprövnings- nämnden förslaget om förenklad etikprövning.

Vi har under utredningstiden också tagit del av uppfattningen från flera håll att behandling av kodade personuppgifter ur myndig- hetsregister inte självklart medför lägre risk för intrång i den regi- strerades integritet utan snarare tvärt om.

Behandling av personuppgifter ur offentligt material

Kravet på etikprövning enligt 3 § etikprövningslagen omfattar all forskning, enligt lagens definition, innefattande behandling av de angivna kategorierna av personuppgifter. Några andra kriterier uppställs inte. Detta innebär att kravet på etikprövning omfattar uppgifter som inhämtats från myndigheter, andra organisationer, privata företag eller enskilda forskningspersoner m.fl. Aktuella forskningsdata kan avse både uppgifter som är offentliga och upp- gifter som skyddas av sekretess. Eftersom definitionen av person- uppgift omfattar såväl direkta som indirekta uppgifter om en en- skild levande fysisk person är kravet på etikprövning långtgående. Frågan om etikprövning av personuppgiftsbehandling av uppgifter ur offentligt och eventuellt redan (digitalt) tillgängliggjort material har behandlats såväl i rättsvetenskapliga artiklar som av etikpröv- ningsnämnderna.

Kärnan i problematiken kring etikprövning av personuppgifts- behandling av uppgifter ur offentligt material rör framför allt rela- tionen mellan den grundlagsfästa rätten att ta del av allmänna hand- lingar också innehållande personuppgifter (2 kap. tryckfrihets- förordningen) och etikprövningslagens krav på etikprövning av viss personuppgiftsbehandling. En övergripande uppfattning som förs fram i sammanhanget från forskarhåll är att etikprövningslagen inte kan begränsa en rättighet som fastställts i grundlag.

Var och en kan med stöd av offentlighetsprincipen samla in och bearbeta uppgifter ur offentliga allmänna handlingar. Med offent-

357

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

liga allmänna handlingar menas sådana allmänna handlingar där det inte föreligger någon sekretess.

När sådan insamling och bearbetning av vissa kategorier av per- sonuppgifter görs för forskningsändamål blir kravet på etikprövning aktuellt. Etikgodkännande ska närmare bestämt föreligga redan innan uppgifter samlas in i samband med forskning, vilket i prakti- ken innebär ett krav på förhandsgodkännande av inhämtande av personuppgifter också ur offentliga allmänna handlingar. Detta krav har ansetts inskränka forskarnas grundlagsskyddade rätt att ta del av sådana offentliga uppgifter.

Inom forskning kan det många gånger också vara svårt att fast- ställa den tidpunkt när insamling och läsning av till exempel rätts- praxis övergår från att vara fortbildning eller undervisningsförbere- delser till att utgöra inledningen på forskning.50 Regleringen i etik- prövningslagen är i dagsläget så långtgående att till exempel behand- ling för forskningsändamål av känsliga personuppgifter eller person- uppgifter om lagöverträdelser m.m. ur en tryckt och förlagsutgiven rättsfallssamling kräver etikgodkännande innan läsning av bokinne- hållet får påbörjas för detta ändamål.

Att en forskare tar del av personuppgifter som återfinns i material som en domstol eller förvaltningsmyndighet exempelvis offentlig- gjort via sin webbplats får vidare anses medföra en låg risk för kränk- ning av den enskildes integritet. Behandling av uppgifter ur sådant material, som offentliggjorts med syfte att ge allmänheten insyn i domstolars och andra allmänna organs verksamheter, har dessutom ansetts kunna generera samhällsnyttiga forskningsresultat av stor vikt.51

Centrala etikprövningsnämndens praxis

I ett överklagat ärende bedömde Centrala etikprövningsnämnden frågan om rättsvetenskaplig analys av domskäl i brottmålsdomar ska omfattas av etikprövningslagen. Klagandens motivering till ifråga- sättandet av lagens tillämplighet var att etikprövningslagens regler-

50Se vidare Elisabeth Rynning: Privatlivet och forskningen – en dyster lägesbeskrivning, SvJT 2009 s. 566–584, s. 578 f.

51Se vidare Vilhelm Persson, Grundlagsstridigt krav på etikprövning?, Förvaltningsrättslig tidskrift 4/2015.

358

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

ing står i strid med den grundlagsfästa rätten att ta del av allmänna handlingar. Nämnden menade att man måste skilja mellan rätten att ta del av allmänna handlingar och rätten att använda uppgifter ur allmänna handlingar inom forskningsverksamhet. I det aktuella forskningsprojektet skulle citat ur domar föras över till forsknings- texten tillsammans med uppgift om målnummer, vilket nämnden ansåg gjorde det möjligt att hänföra varje citat till tilltalade och måls- ägande i målet. Detta innebar sammantaget enligt nämndens be- dömning att forskningen innefattade behandling av personuppgif- ter som omfattades av etikprövningslagens krav på etikprövning. Det rörde sig alltså om forskning enligt etikprövningslagens defini- tion och underlaget bestod av redan existerande och tillkommande känsliga personuppgifter samt även personuppgifter om lagöverträ- delser m.m. På vilket sätt uppgifterna gjorts tillgängliga för allmän- heten ansåg Centrala etikprövningsnämnden sakna betydelse. Ansö- kan godkändes med villkor att nämndens allmänna anvisningar för datasäkerhet skulle följas i tillämpliga delar.52 Centrala etikpröv- ningsnämnden bedömde i det aktuella fallet risken för intrång i forskningspersonernas personliga integritet som så pass liten att den regionala nämndens beslutade villkor om s.k. opt out-förfarande53 inte bedömdes nödvändigt.54

Centrala etikprövningsnämnden avgjorde senare ett liknande ärende där en analys av domar och andra myndighetsbeslut, enbart offentligt material, skulle genomföras inom ett forskningsprojekt. Klaganden ansåg att den distinktion som nämnden gjort i sin praxis mellan rätten att ta del av offentliga allmänna handlingar och de etiska förutsättningarna för att använda information ur sådana handlingar inom forskning med hänvisning till doktrin55 inte är oproblematisk. Centrala etikprövningsnämnden ansåg dock allt- jämt att den planerade analysen var tillståndspliktig i sin helhet.

52Etikprövningsnämndernas allmänna anvisningar för datasäkerhet: Allt forskningsmaterial som innehåller känsliga personuppgifter ska förvaras i låsta skåp. Känsligt elektroniskt material ska lagras på separat krypterad hårddisk eller liknande, som förvaras i säkerhetsskåp och som endast personer direkt utsedda av den ansvarige forskaren har tillgång till. Kodnyckel och annat direkt identifierbart material, som ljudinspelningar och samtyckesblanketter, ska för- varas åtskilt från det kodade materialet. All bearbetning och förvaring av data ska äga rum på dator eller annat medium utan anslutning till Internet.

53Den registrerades möjlighet att motsätta sig behandling av personuppgifter.

54Centrala etikprövningsnämnden beslut Ö 14-2015.

55Vilhelm Persson, Grundlagsstridigt krav på etikprövning?, Förvaltningsrättslig

tidskrift 4/2015.

359

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Ansökan godkändes med villkoret att nämndens allmänna villkor för datasäkerhet skulle följas i de delar som inte avsåg analys som grundade sig på avgöranden som domstolarna publicerat på sina webbplatser. Centrala etikprövningsnämnden ansåg således att vill- koret om datasäkerhet fick anses obehövligt till den del analysen grundade sig på avgöranden som domstolarna publicerat på sina webbplatser.56

Den principiella frågan om det bör göras någon distinktion av- seende den integritetsrisk som är förknippad med behandling av uppgifter ur offentligt redan publicerat material och offentligt material i övrigt har behandlats av Centrala etikprövningsnämnden vid ytterligare ett par tillfällen. Ett av de aktuella ärendena avsåg en studie med syfte att närmare analysera viss rättstillämpning med användande av bland annat domar från förvaltningsrätt och kam- marrätt. Materialet bestod av offentliga allmänna handlingar som dock innehöll känsliga personuppgifter. I redovisningen av forsk- ningsresultaten skulle information om individer eller direktidenti- fierande uppgifter inte anges, men man avsåg att ge hänvisning till målnummer i syfte att ge läsaren möjlighet att kontrollera forsk- ningens kvalitet. Ansökan beviljades av den regionala etikpröv- ningsnämnden med villkor att vad avsåg opublicerade domar, dvs. sådana som inte återgivits i referatsamlingar, målnummer inte skulle få anges i resultatredovisningen. I stället skulle en kodlista kunna sparas för att möjliggöra identifikation av de aktuella domarna i efterhand.

Sökanden överklagade beslutet avseende detta villkor med hän- visning bland annat till att det i rättsvetenskaplig forskning är en vedertagen princip att målnummer anges i resultatredovisningar mot bakgrund av att man behandlar offentligt material. Centrala etikprövningsnämnden bedömde lämpligheten i ett sådant krav bland annat med beaktande av doktrin,57 där det framhålls att offentligheten gällande domar och beslut bland annat syftar till att göra det möjligt att kritiskt granska rättstillämpningen och att det generellt står varje medborgare fritt att inhämta och behandla så- dana uppgifter, även i forskningssammanhang.

56Centrala etikprövningsnämnden beslut Ö 30-2015.

57Elisabeth Rynning: Privatlivet och forskningen – en dyster lägesbeskrivning, SvJT 2009 s. 566–584.

360

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Centrala etikprövningsnämnden konstaterade dock att offent- liga referatsamlingar visserligen anonymiserar namn i samband med publicering, men alltid innehåller en hänvisning till målnummer, datum för domar och beslut osv. vilka utgör indirekta personupp- gifter. En sådan hänvisning är, enligt nämndens bedömning, god- tagbar enligt fast praxis. Även hänvisningar i rättsvetenskapliga fram- ställningar till opublicerade avgöranden innehåller som regel sådana indirekta personuppgifter, vilket är i enlighet med vedertagen forsk- ningssed. Centrala etikprövningsnämnden fann sammantaget att skyddet för den enskildes integritet inte skulle öka nämnvärt genom det av regionala nämnden uppställda villkoret och att ett sådant villkor stred mot vedertagna principer och upphävde beslutet i den delen.58

Av Centrala etikprövningsnämndens bedömning avseende huru- vida det bör göras någon distinktion ifråga om integritetsrisken vid behandling av uppgifter ur offentligt redan publicerat material och offentligt material i övrigt kan slutsatsen dras att en begränsning av möjligheten att på vedertaget sätt hänvisa till målnummer och lik- nande uppgifter i rättsvetenskapligt arbete inte är motiverad, oav- sett om det offentliga materialet är publicerat eller ej.

Sammanfattningsvis kan utredningen konstatera att det i dags- läget råder olika uppfattningar i frågan om etikprövning vid använd- ning av offentligt material, såväl publicerat som opublicerat.

14.5.3Överväganden

Utredningens bedömning: Ett mer ändamålsenligt etikpröv- ningsförfarande för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång bör utredas vidare.

Mot bakgrund av ovan förda resonemang och praktiska exempel bedömer utredningen att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etik- prövning av personuppgiftsbehandling för forskningsändamål.

58 Centrala etikprövningsnämnden beslut Ö 11-2012 och Ö 16-2012.

361

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Dataskyddsförordningen definierar inte närmare vad som avses med lämpliga och särskilda skyddsåtgärder. Det är upp till med- lemsstaterna att bedöma detta, särskilt i samband med fastställande i nationell lag. Eventuell granskning sker i efterhand av EU-dom- stolen, där en nationell skyddsåtgärd kan komma att bedömas som oförenlig med förordningens krav.

Det är i sammanhanget viktigt att påminna om att all behandling av personuppgifter för forskningsändamål måste uppfylla de all- männa principerna i dataskyddsförordningens artikel 5 samt utgå från en rättslig grund enligt artikel 6.1 och omfattas av lämpliga skyddsåtgärder enligt artikel 89.1. Vid behandling för forsknings- ändamål av känsliga personuppgifter eller personuppgifter om lag- överträdelser m.m. krävs dessutom att kraven enligt artikel 9.2 eller artikel 10 är uppfyllda, vilket enligt utredningens förslag genomförs i och med den nationella reglering avseende skyddsåtgärd som krä- ver etikgodkännande för att behandlingen ska få utföras.

Den fullständiga etikprövningen bör enligt vår mening begrän- sas till de personuppgiftsbehandlingar som formellt sett kräver ett dylikt omfattande skydd. Dagens krav på etikprövning omfattar, som framkommit ovan, även sådan personuppgiftsbehandling som generellt kan betraktas som mindre riskfylld för den enskilde, men som ändå är i behov av lämplig skyddsåtgärd. Att tillämpa samma etikprövningsförfarande på all slags personuppgiftsbehandling som etikprövningslagen omfattar är mot denna bakgrund inte rimligt och proportionerligt. Det riskerar dessutom att urholka förtroendet för etikprövning som skyddsåtgärd om förfarandet inte åtminstone i viss mån anpassas utifrån skyddsbehovet.

Det är etikprövningsnämndernas uppgift att bedöma varje ansö- kan för sig och ställa de krav på skydd för den registrerades integri- tet som är motiverad i det enskilda fallet. Varje enskild bedömning kan mynna ut i ett villkorat godkännande där en kombination av skyddsåtgärder är möjlig. Etikprövningen omfattar även kontroll av informationen till forskningspersonerna, vilket också utgör ett starkt skydd mot integritetsrisker.

Efter det att etikprövningslagen infördes har det vuxit fram praxis för etikprövningsförfarandet vid olika slags personuppgiftsbehand- lingar. Särskilt sådana situationer som bedömts innebära en lägre integritetsrisk bedöms utifrån tidigare vägledande avgöranden genom ett mer rutinartat förfarande. För ett mer lättillgängligt och trans-

362

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

parent regelverk krävs dock tydligare gränsdragningar inom ramen för lagens tillämpningsområde liksom en reglerad beskrivning av i vilka situationer ett mer ändamålsenligt förfarande kan komma ifråga.

Effektivitetsaspekten är en tungt vägande faktor i samman- hanget. Ett mer ändamålsenligt förfarande torde leda till vinster för etikprövningsnämnderna avseende effektivitet och resursanvänd- ning. All etikprövning bör således ske på ett ändamålsenligt sätt enligt en förutsebar och tydlig reglering, med möjlighet till insyn för den enskilde, samt omfattas av kontroll och tillsyn.

Mot bakgrund av föregående resonemang är det utredningens bedömning att ett mer ändamålsenligt etikprövningsförfarande för sådan personuppgiftsbehandling som typiskt sett kan anses inne- bära en lägre risk för integritetsintrång bör utredas vidare.

14.6Anpassningar av etikprövningslagen till dataskyddsförordningen

14.6.1Inledning

Utredningen har i uppdrag att se över vilka anpassningar av etik- prövningslagen som behövs med anledning av dataskyddsförord- ningen och den generella reglering Dataskyddsutredningen föreslår och lämna behövliga författningsförslag. I detta avsnitt presenteras därför de anpassningar av etikprövningslagen som behövs utöver de förslag som utredningen redan har presenterat. Det kan för tydlig- hetens skull i sammanhanget framhållas att det är utredningens be- dömning att övriga bestämmelser i etikprövningslagen inte berörs av dataskyddsförordningen och därför inte behandlas närmare.

Dataskyddsutredningen och Forskningsdatautredningen har efter samråd kommit överens om att överföra den del av Dataskydds- utredningens uppdrag som rör personuppgiftsbehandling för forsk- ningsändamål till Forskningsdatautredningen. Eftersom etikpröv- ningslagen tillämpas på forskning som avser människor innebär detta beslut om överförande av uppdrag att Dataskyddsutredningen inte lämnar några förslag avseende etikprövningslagen. Några andra för- slag till generell reglering från Dataskyddsutredningen som påverkar etikprövningslagen har vi inte tagit del av. Utredningen har således i denna del främst att utgå ifrån vilka anpassningar av etikprövnings- lagen som behövs med anledning av dataskyddsförordningen.

363

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

14.6.2Överväganden och förslag

När dataskyddsförordningen börjar tillämpas den 25 maj 2018 upp- hävs personuppgiftslagen. Som en direkt följd av detta måste alla författningar som relaterar till personuppgiftslagen ses över och an- passas. I etikprövningslagen återfinns ett flertal hänvisningar till personuppgiftslagen som behöver justeras i förhållande till data- skyddsförordningen.

Utöver anpassningar i etikprövningslagen medför införandet av dataskyddsförordningen i detta sammanhang att de delar av person- uppgiftslagen som hanterar personuppgiftsbehandling för forsk- ningsändamål och som hänvisar till etikprövningslagen måste tas om hand eftersom personuppgiftslagen upphävs. Detta avser 19 § första stycket (undantag från förbudet att behandla känsliga person- uppgifter för forskningsändamål efter etikgodkännande) och 21 § andra stycket (undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål efter etikgodkännande). Utredningens övriga överväganden och förslag avseende dessa delar framgår av kapitel 7 och 8.

Definitionen av behandling av personuppgifter (2 §)

Utredningens förslag: 2 § i lagen om etikprövning av forskning som avser människor anpassas så att det framgår att i lagen avses med behandling av personuppgifter sådan behandling som anges i artikel 4.2 i dataskyddsförordningen.

I 2 § etikprövningslagen definieras behandling av personuppgifter som sådan behandling som anges i 3 § personuppgiftslagen. Denna definition bör omformuleras med en hänvisning till dataskyddsför- ordningens definition enligt artikel 4.2.

364

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

Forskning som omfattas av lagen (3 §)

Utredningens förslag: 3 § i lagen om etikprövning av forskning som avser människor ändras så att det framgår att lagen ska tillämpas på forskning som innefattar behandling av

1.sådana särskilda kategorier av personuppgifter som framgår av artikel 9.1 dataskyddsförordningen (känsliga personupp- gifter), eller

2.sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Utredningens överväganden och förslag avseende tillämpnings- området framgår av avsnitt 14.4.5, där utredningen gör bedöm- ningen att etikprövningslagens krav även fortsättningsvis bör om- fatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Avseende etikprövningslagens tillämpningsområde hänvisas i 3 § till 13 och 21 §§ personuppgiftslagen. Dessa hänvisningar måste därför omformuleras.

Utlämnande av personuppgifter (12 §)

Utredningens förslag: 12 § i lagen om etikprövning av forsk- ning som avser människor överförs till forskningsdatalagen och omformuleras så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan person- uppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförord- ningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.

365

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Beträffande 12 § etikprövningslagen relaterar den till personupp- giftslagen betydligt mer än vad själva bestämmelsen ger uttryck för. Bestämmelsen har följande lydelse:

Personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt.

Enligt förarbetena till etikprövningslagen ska 12 § läsas mot bak- grund av 24 § första och andra styckena personuppgiftslagen59 som har följande lydelse:

Om personuppgifter har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de regi- streras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första tycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgif- terna i en lag eller någon annan författning.

Andra stycket baseras på artikel 11.2 i dataskyddsdirektivet. Arti- kel 11 har följande lydelse:

Information när uppgifterna inte har samlats in från den registrerade

1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrä- dare vid tiden för registreringen av personuppgifter eller, om utläm- nande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till in- formationen:

a)Den registeransvariges och dennes eventuella företrädares identitet.

b)Ändamålen med behandlingen.

c)All ytterligare information, exempelvis

de kategorier av uppgifter som behandlingen gäller,

mottagarna eller de kategorier som mottar uppgifterna,

förekomsten av rättigheter att få tillgång till och att erhålla rätt- else av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständig- heter under vilka uppgifterna samlas in – är nödvändig för att till- försäkra den registrerade en korrekt behandling.

59 Prop. 2002/03:50 s. 175 f.

366

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

2. Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskap- liga forskningsändamål – visar sig omöjligt eller innebära en opropor- tionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.

Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt genom 24 § personuppgiftslagen. För att undgå kravet på infor- mation till den registrerade enligt 24 § första stycket krävdes att registrering eller utlämnande av personuppgifter uttryckligen fast- ställdes i författning. Den ursprungliga bestämmelsen i 19 § per- sonuppgiftslagen reglerade undantag från förbudet att behandla känsliga personuppgifter för både forsknings- och statistikändamål under samma förutsättningar. Den ursprungliga formuleringen i 19 § tredje stycket personuppgiftslagen syftade till att uppfylla kra- vet i 24 § andra stycket för både forsknings- och statistikändamål. Formuleringen i 19 § tredje stycket löd:

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.

I samband med att etikprövningslagen infördes justerades formu- leringen i 19 § tredje stycket personuppgiftslagen till att omfatta enbart behandling för statistiska ändamål i det som kom att bli fjärde stycket, samtidigt som en likalydande bestämmelse infördes i 12 § etikprövningslagen vilken omfattade behandling för forsknings- ändamål. Lagstiftaren valde således att placera bestämmelsen avse- ende forskning i etikprövningslagen och behålla bestämmelsen av- seende statistik i personuppgiftslagen.

För att forskare ska kunna undgå informationsskyldigheten en- ligt 24 § personuppgiftslagen, och artikel 11.2 dataskyddsdirektivet, krävs alltså att utlämnande föreskrivs uttryckligen i författning vilket i dagsläget uppfylls genom 12 § etikprövningslagen. Frågan är så- ledes vilka krav som i sammanhanget uppställs enligt dataskydds- förordningen, och som skulle kunna ge upphov till behov av anpass- ningar av etikprövningslagen.

I dataskyddsförordningens artikel 14 regleras information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Artikel 14 i förordningen är betydligt mer omfattande än artikel 11 i direktivet och har följande lydelse:

367

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Information som ska tillhandahållas om personuppgifterna inte har er- hållits från den registrerade

1.Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande infor- mation:

a)Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)De kategorier av personuppgifter som behandlingen gäller.

e)Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f)I tillämpliga fall att den personuppgiftsansvarige avser att över- föra personuppgifter till en mottagare i ett tredjeland eller en inter- nationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.Utöver den information som avses i punkt 1 ska den personuppgifts- ansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:

a)Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fast- ställa denna period.

b)Om behandlingen grundar sig på artikel 6.1 f, den personupp- giftsansvariges eller en tredje parts berättigade intressen.

c)Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller be- gränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet.

d)Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta på- verkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

e)Rätten att inge klagomål till en tillsynsmyndighet.

f)Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.

368

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

g)Förekomsten av automatiserat beslutsfattande, inbegripet pro- filering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a)inom en rimlig period efter det att personuppgifterna har er- hållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,

b)om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunika- tionen med den registrerade, eller

c)om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.Om den personuppgiftsansvarige avser att ytterligare behandla per- sonuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a)den registrerade redan förfogar över informationen,

b)tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för be- handling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller av- sevärt försvårar uppfyllandet av målen med den behandlingen; i så- dana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och be- rättigade intressen, inbegripet göra uppgifterna tillgängliga för all- mänheten,

c)erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åt- gärder för att skydda den registrerades berättigade intressen, eller

d)personuppgifterna måste förbli konfidentiella till följd av tyst- nadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

369

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

Motsvarande krav på fastställande i författning av erhållande eller utlämnande av uppgifter för att forskare ska kunna undgå infor- mationsskyldigheten återfinns alltså i artikel 14.5 c i dataskydds- förordningen. Artikel 14.5 c uppställer som krav att erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Dataskyddsförordningens krav är således något annorlunda formulerade än direktivets, som angav att registrering eller utlämnande uttryckligen skulle föreskrivas i författning och i sådana fall skulle medlemsstaterna föreskriva lämp- liga skyddsåtgärder. Men kravet på att erhållande eller utlämnande av uppgifter måste föreskrivas uttryckligen i nationell rätt kvarstår, liksom kravet på fastställda lämpliga skyddsåtgärder.

Dataskyddsförordningens skäl 62 anger följande:

Det är dock inte nödvändigt att införa någon skyldighet att tillhanda- hålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informatio- nen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

För att helt undgå förordningens krav enligt artikel 14.1–4 krävs således att erhållandet eller utlämnandet av personuppgifter ut- tryckligen föreskrivs i lag.

Med tanke på att artikel 14 i dataskyddsförordningen ersätter 24 § personuppgiftslagen, som baserades på motsvarande artikel 11 i direktivet, ska således 12 § etikprövningslagen framöver läsas mot bakgrund av artikel 14 i förordningen. Eftersom 12 § etikpröv- ningslagen inte innehåller någon direkt hänvisning till lagrum i personuppgiftslagen är någon anpassning av bestämmelsen inte nödvändig enbart av den anledningen. Det kan dock av andra skäl vara motiverat med en anpassning av bestämmelsen med anledning av dataskyddsförordningen.

Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över regeringens lagförslag. Beträffande den bestämmelse som sedan blev 12 § etikprövningslagen hade Lagrådet en del synpunkter på

370

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

formuleringen och tydligheten i densamma. Lagrådets uppfattning var att det var svårt att se att bestämmelsen hade den innebörden att forskaren som i enlighet med bestämmelsen hämtar in person- uppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut personuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering som enligt 24 § andra stycket personuppgiftslagen medför att information enligt 24 § första stycket personuppgiftslagen inte behöver lämnas ut, borde bestämmelsen utformas så att detta klart framgår. Lagrådets förslag var att en sådan bestämmelse placerades som inledande para- graf under rubriken ”Information och samtycke” enligt följande lydelse:

Vid forskning som avses i 3 § behöver 24 § personuppgiftslagen (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade.

Regeringen valde att inte följa Lagrådets synpunkter och förslag mot bakgrund av bedömningen att Lagrådets föreslagna alternativa skrivning inte kunde anses vara förenlig med EG-direktivet. Detta eftersom något utlämnande inte skulle föreskrivas i författning utan bara utgöra ett undantag från informationsskyldigheten. Regeringen ansåg vidare att risken för missförstånd avseende be- stämmelsens lydelse var liten och förordade därför en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning om inte något annat följer av regler om sekretess och tystnadsplikt, som därigenom tydligt uttryckte att ett utlämnande av personuppgifter får ske, i enlighet med dataskyddsdirektivets krav.60

Den bedömning som ursprungligen låg till grund för bestäm- melsens formulering återfinns i förarbetena till personuppgifts- lagen, eftersom 12 § etikprövningslagen är en överföring av mot- svarande bestämmelse i 19 § personuppgiftslagen avseende behand- ling för forskningsändamål. I förarbetena till personuppgiftslagen

60 Prop. 2002/03:50 s. 175 f.

371

Etikprövning av personuppgiftsbehandling för forskningsändamål

SOU 2017:50

framgår att den ursprungliga formuleringen i 19 § tredje stycket utgår från direktivets krav på att det uttryckligen måste föreskrivas i nationell rätt att ett utlämnande får ske och bedömningen att sekretess och tystnadsplikt är en sådan lämplig skyddsåtgärd som direktivet kräver i sammanhanget.61

Det är utredningens bedömning att det inte är tillräckligt tydligt att, om man tolkar 12 § etikprövningslagen isolerat, utläsa att be- stämmelsen reglerar vilken information som behöver lämnas till den registrerade. Eftersom 12 § ska läsas mot bakgrund av 24 § per- sonuppgiftslagen, som kommer att ersättas av dataskyddsförord- ningen, kan det vara motiverat av rättssäkerhetsskäl att tydliggöra denna nya koppling för en framtida korrekt tillämpning av bestäm- melsen. Utredningens bedömning är därför att innebörden av 12 § etikprövningslagen bör förtydligas på så vis att det framgår av be- stämmelsen att den ska läsas mot bakgrund av artikel 14 i data- skyddsförordningen. Det är vidare utredningens bedömning att bestämmelsen snarare hör hemma i den av utredningen föreslagna forskningsdatalagen, eftersom den inte har något direkt samband med etikprövningsförfarandet.

Ikraftträdande- och övergångsbestämmelser

Utredningens förslag: Ändringarna i lagen ska träda i kraft den 25 maj 2018. Inga övergångsbestämmelser ska införas.

Av artikel 99 i dataskyddsförordningen framgår att förordningen trädde i kraft den 24 maj 2016 och att den ska tillämpas från och med den 25 maj 2018. De föreslagna ändringarna i etikprövnings- lagen bör träda i kraft samma dag som dataskyddsförordningen börjar tillämpas.

Dataskyddsförordningen innehåller inga övergångsbestämmel- ser som är relevanta för etikprövningslagen. Det är utredningens bedömning att det inte ska införas övergångsbestämmelser avse- ende de föreslagna ändringarna.

61 Prop. 1997/98:44 s. 73.

372

SOU 2017:50

Etikprövning av personuppgiftsbehandling för forskningsändamål

14.7Sammanfattning

I detta kapitel har utredningen analyserat vilka anpassningar av etik- prövningslagen som behöver göras med anledning av att dataskydds- förordningen börjar tillämpas. Utredningen har inledningsvis be- handlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen har därpå analyserat om etikprövningslagens tillämp- ningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de uppgifter som i dagsläget framgår av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikpröv- ningslagens tillämpningsområde.

Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet inom det befintliga tillämpningsområdet. Ett differentierat etik- prövningsförfarande framstår som mer ändamålsenligt inom fram- för allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att person- uppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efterföljande behandlingen innebär endast en mindre integritetsrisk. Mot bakgrund av begräns- ningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.

Slutligen har utredningen analyserat vilka ändringar av etikpröv- ningslagen som i övrigt behöver göras med anledning av att data- skyddsförordningen börjar tillämpas och lämnar behövliga författ- ningsförslag i dessa delar.

373

15Anpassningar

av vissa registerförfattningar

15.1Vårt uppdrag i denna del

Av våra direktiv framgår att det är regeringens uppfattning att det behövs bättre förutsättningar för registerbaserad forskning. Som ett led i detta arbete fick en särskild utredare i januari 2013 i upp- drag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudi- nella studier som håller sig inom ramen för sådana ändamål. Utred- ningen tog sig namnet Registerforskningsutredningen (U 2013:01) och lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45).

I betänkandet konstaterade utredningen att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra s.k. forsk- ningsdatabaser. Två sådana lagar är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister. I betän- kandet lämnar utredaren förslag till lag om forskningsdatabaser. Med forskningsdatabas avses i detta sammanhang en infrastruktur som ska kunna användas av olika forskare, från olika lärosäten och inom olika forskningsområden i framtida forskningsprojekt. Den före- slagna lagen om forskningsdatabaser föreslås ge lagligt stöd åt univer- sitet och högskolor som omfattas av högskolelagen (1992:1434) samt andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Register- forskningsutredningens förslag har remitterats.

Forskningsdatautredningen har nu i uppdrag att bereda Register- forskningsutredningens förslag vidare. Det är kort tid tills data-

375

Anpassningar av vissa registerförfattningar

SOU 2017:50

skyddsförordningen (EU 2016/679) ska börja tillämpas den 25 maj 2018 och någon generell reglering av forskningsdatabaser kommer inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen (Ju 2016:04) föreslår, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen om rättspsykiatriskt forskningsregister tills dess att dataskyddsförord- ningen ska börja tillämpas.

Utredningen ska i ett senare skede föreslå långsiktiga regleringar av forskningsdatabaser samt analysera om det på sikt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör ut- formas. Utredningen ska lämna behövliga författningsförslag i alla delar.

15.2Rättsliga förutsättningar

Personuppgiftslagen (1998:204) reglerar behandling av personuppgif- ter enligt nu gällande rätt och baseras på det nuvarande dataskydds- direktivet (95/46/EG). Personuppgifter får samlas in om det finns en laglig grund och enbart för särskilda, uttryckligt angivna och be- rättigade ändamål (9 §). Behandlingen är laglig om det föreligger samtycke från den enskilde eller om den är nödvändig för t.ex. ut- förande av en arbetsuppgift av allmänt intresse (10 §). Forskning anses vara en sådan verksamhet. Myndigheters behandling av person- uppgifter regleras ofta i särskilda s.k. registerförfattningar, där bland annat ändamålet och vilka personuppgifter som får behandlas anges. Personuppgifter får inte behandlas för något ändamål som anses oförenligt med det ursprungliga, om den nya behandlingen inte är tillåten enligt någon annan bestämmelse i personuppgiftslagen. Forskningsändamål ska dock inte anses som oförenligt med det ur- sprungliga ändamålet (9 § andra stycket).

Det är förbjudet att behandla känsliga personuppgifter (13 §). Från detta förbud finns undantag angivna i lagen. Det är till exempel tillåtet att behandla känsliga personuppgifter med den registrerades samtycke (15 §) eller om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och regeringen eller den myndighet

376

SOU 2017:50

Anpassningar av vissa registerförfattningar

regeringen bestämmer föreskriver om undantaget (20 §). För att behandla känsliga personuppgifter för forskningsändamål krävs etikgodkännande enligt lagen (2003:460) om etikprövning av forsk- ning som avser människor (19 §). I offentlighets- och sekretess- lagen (2009:400) finns bestämmelser som reglerar under vilka för- utsättningar vissa personuppgifter omfattas av sekretess och vad som krävs för att dessa ska kunna lämnas ut för ytterligare behand- ling.

Regering och riksdag har som tidigare konstaterats i vissa fall stiftat särskilda lagar för att möjliggöra registerbaserad forskning genom upprättande av forskningsdatabaser. Två sådana författ- ningar är lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Dessa författningar har av lagstiftaren bedömts vara förenliga med det nuvarande dataskydds- direktivet och har företräde framför personuppgiftslagen.

Dataskyddsförordningen börjar tillämpas den 25 maj 2018. I för- ordningen återfinns de krav och villkor som ska gälla i stället för det nuvarande dataskyddsdirektivet och personuppgiftslagen. Data- skyddsförordningen är direkt tillämplig i medlemsstaterna, vilket innebär att nationell rätt måste vara förenlig med förordningen och enbart tillåts komplettera förordningen där så är möjligt och tillåtet.

Liksom personuppgiftslagen kräver dataskyddsförordningen att personuppgifter enbart får samlas in för särskilda, uttryckligt an- givna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för forskningsändamål ska inte anses som oförenligt med det ursprung- liga ändamålet (artikel 5.1 b). Enligt dataskyddsförordningen är be- handling av personuppgifter laglig om någon av de rättsliga grun- derna i artikel 6.1 är uppfyllda, till exempel samtycke eller utförande av en uppgift av allmänt intresse. Av artikel 6.3 framgår att unions- rätten eller medlemsstaternas nationella rätt ska fastställa, bland annat, den rättsliga grunden uppgift av allmänt intresse. I samband med detta fastställande i nationell lag kan samma lag även innehålla särskilda bestämmelser avseende bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behand-

377

Anpassningar av vissa registerförfattningar

SOU 2017:50

ling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling m.m. Sådana särskilda bestämmelser återfinns i dagsläget ofta i nationella registerförfatt- ningar. Artikel 6.2 tillåter att medlemsstaterna behåller eller inför sådana nationella mer specifika bestämmelser för att anpassa tillämp- ningen av förordningen avseende bland annat den rättsliga grunden uppgift av allmänt intresse. Dataskyddsförordningen ställer vidare upp krav för behandling av känsliga personuppgifter (artikel 9) och personuppgifter om lagöverträdelser m.m. (artikel 10) samt krav på skyddsåtgärder vid all personuppgiftsbehandling för forsknings- ändamål (artikel 89.1).

I det följande kommer en analys göras av vilka anpassningar som behövs av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister med anledning av att dataskyddsförordningen börjar tillämpas.

15.3Lag (2013:794) om vissa register

för forskning om vad arv och miljö betyder för människors hälsa

15.3.1Inledning

Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (registerlagen) trädde i kraft den 1 december 2013.1 Registerlagens syfte är att ge ett tydligt lag- stöd för register som förs med de registrerades samtycke i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjuk- domar och människors hälsa i övrigt. Känsliga personuppgifter samlas in med uttryckligt samtycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forsknings- projekt som har godkänts vid en etikprövning. Regeringen beslutar vilka som ska få föra register i enlighet med registerlagen. Före- skrifter om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

1 Lagen har i allmänhet kommit att kallas LifeGene-lagen, men är tillämplig för all sådan verksamhet som faller inom lagens tillämpningsområde.

378

SOU 2017:50

Anpassningar av vissa registerförfattningar

Registerlagen infördes primärt för att tydliggöra rättsläget i sam- band med insamling av personuppgifter till ett projekt, LifeGene, som syftar till att skapa underlag för att kunna studera hur våra gener, vår omgivning och vårt sätt att leva påverkar vår hälsa.2 Projektet är ett samarbete mellan Karolinska institutet och universiteten i Göteborg, Linköping, Lund, Umeå och Uppsala.

Insamlingen av personuppgifter sker med samtycke och inom ramen för det redan befintliga projektet behandlas en stor mängd känsliga personuppgifter. Datainspektionen beslutade i december 2011 att förelägga Karolinska institutet att upphöra med insam- lingen och övrig behandling av personuppgifter i projektet.3 Data- inspektionen ansåg att ändamålet framtida forskning var alltför opreciserat för att uppfylla kraven i 9 § personuppgiftslagen. Vidare fann Datainspektionen att det inte kunde föreligga giltigt samtycke enligt 3 och 10 §§ personuppgiftslagen, mot bakgrund av det alltför opreciserade ändamålet. Dessutom framhöll Datainspektionen att avsaknaden av särreglering för registret utgjorde ytterligare ett hin- der. Datainspektionens beslut föranledde således regeringens åtgärd att låta utreda och föreslå en lagreglering av sådan personuppgifts- behandling som LifeGene-projektet består av. Riksdagen beslutade sedan att anta förslaget.

Registerlagen är tidsbegränsad och har förlängts vid ett tillfälle till att gälla till och med den 31 december 2017. Ett förslag om ytterligare förlängning bereds för närvarande vid regeringskansliet. Bakgrunden till den tidsbegränsade registerlagen är det utrednings- arbete som påbörjades år 2013 när regeringen gav en särskild utre- dare i uppdrag att utreda förutsättningarna för registerbaserad forskning.4 Utredningen resulterade i betänkandet SOU 2014:45 Unik kunskap genom registerforskning. Förslagen i det betänkan- det bereds, som redan nämnts, inom regeringskansliet. Forsknings- datautredningen har i uppdrag att i ett andra skede utreda i vilken mån dessa förslag är förenliga med dataskyddsförordningen och kan ligga till grund för en långsiktig reglering av forskningsdatabaser. Under perioden från att dataskyddsförordningen börjar tillämpas och tills dess en långsiktig reglering är på plats måste dock register-

2Se vidare projektets hemsida http://www.lifegene.se

3Datainspektionens beslut 2011-12-16 dnr 766-2011.

4Registerforskningsutredningen (U 2013:01).

379

Anpassningar av vissa registerförfattningar SOU 2017:50

lagen vara förenlig med dataskyddsförordningen för att fortsatt kunna tillämpas.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser kommer denna första del av uppdraget i denna del att fokusera uteslutande på lagtekniska anpassningar av registerlagen i relation till data- skyddsförordningens bestämmelser. Detta innebär att utredningen i detta skede kommer att utgå ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförord- ningen. Syftet med uppdraget i denna del är sammantaget att register- lagen ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018 och att de befintliga förutsätt- ningarna för att behandla personuppgifter i enlighet med register- lagen i vart fall inte ska försämras.

15.3.2Dataskyddsförordningens utrymme för nationell lagstiftning – övergripande överväganden

Utredningens bedömning: Lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa utgör tillåten nationell kompletterande reglering till dataskyddsförord- ningen.

Dataskyddsförordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter (artikel 1). Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Vidare ska förordningen, enligt skäl 10, säkerställa en enhetlig och hög skyddsnivå och undanröja hinder för flödet av personuppgifter inom EU.

Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig

380

SOU 2017:50

Anpassningar av vissa registerförfattningar

förpliktelse, utförande av uppgift av allmänt intresse eller myndig- hetsutövning, vilka anges i artikel 6.1 c och e. Som tidigare nämnts är det tillåtet att i sådan nationell reglering ha bestämmelser om bland annat de allmänna villkor som ska gälla för den personuppgifts- ansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgif- terna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behand- ling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis be- handling m.m. Den nationella regleringen ska vidare uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, enligt artikel 6.3.

Som utredningen tidigare aviserat kommer vi att i detta skede utgå ifrån redan tidigare gjorda bedömningar, i den mån dessa inte står i strid med dataskyddsförordningen. De bedömningar som före- gick införandet av registerlagen baseras på dataskyddsdirektivet, som införlivats i svensk rätt genom personuppgiftslagen.

Behandling av personuppgifter ska enligt 2 § registerlagen ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ända- mål. Av motiven till registerlagen framgår vidare explicit att det är regeringens bedömning att ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till specifika forskningsprojekt som har god- känts vid etikprövning är ett sådant viktigt allmänt intresse som av- ses i artikel 8.4 i dataskyddsdirektivet.5 Artikel 8.4 ger medlems- staterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med registerlagen utgör ett viktigt all- mänt intresse i enlighet med dataskyddsdirektivet. I avsnitt 5.2.2 redovisar utredningen slutsatsen att det inte torde föreligga någon skillnad i sak avseende innebörden i begreppet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen.

Enligt artikel 6.1 i dataskyddsförordningen är behandling laglig om och i den mån åtminstone ett av de uppräknade villkoren är

5 Prop. 2012/13:163 s. 41.

381

Anpassningar av vissa registerförfattningar

SOU 2017:50

uppfyllt. Denna formulering öppnar för att flera villkor kan vara tillämpliga för en och samma behandling. Artikel 6.1 a anger sam- tycke som ett villkor samtidigt som artikel 6.1 e anger nödvändig behandling för att utföra en uppgift av allmänt intresse som ett annat villkor. Som tidigare konstaterats är samtycke ett villkor för behandling av personuppgifter enligt registerlagen. Behandling av personuppgifter för de ändamål som anges i registerlagen har också bedömts vara av viktigt allmänt intresse. Detta innebär att behand- ling enligt registerlagen kan vara laglig enligt såväl artikel 6.1 a som artikel 6.1 e i dataskyddsförordningen. Det ska dock noteras att regeringen hela tiden utgått från en samtyckesbaserad reglering.

Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av person- uppgifter för forskningsändamål. I sammanhanget är även skäl 43 i dataskyddsförordningen av vikt att analysera. Av skäl 43 framgår att det i fråga om myndigheters verksamhet kan anses som mindre lämpligt att grunda behandling av personuppgifter på samtycke när det är fråga om förhållandet mellan en myndighet och en enskild, särskilt där det råder betydande ojämlikhet mellan parterna, efter- som förordningens krav på frivillighet i dessa fall kan ifrågasättas. Det är dock utredningens bedömning att det inte kan anses före- ligga betydande ojämlikhet mellan den enskilde och den person- uppgiftsansvarige i de fall registerlagen omfattar.

Det är utredningens övergripande bedömning att personupp- giftsbehandlingen enligt registerlagen är laglig enligt artikel 6.1 a, mot bakgrund av det uttryckliga samtycke som krävs för all behand- ling. Det är vidare utredningens bedömning att personuppgifts- behandlingen enligt registerlagen är att anse som nödvändig och proportionerlig för att uppfylla ändamålet, dvs. uppgiften som är av allmänt intresse, och därför laglig även enligt artikel 6.1 e dataskydds- förordningen. Detta innebär att registerlagen utgör en sådan tillåten nationell reglering för att mer specifikt fastställa hur förordningens bestämmelse ska tillämpas när det gäller utförande av uppgift av all- mänt intresse (artikel 6.1 e) enligt artikel 6.2 och 6.3.

Den personuppgiftsbehandling som registerlagen omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande kommer utredningen att gå igenom register- lagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

382

SOU 2017:50

Anpassningar av vissa registerförfattningar

15.3.3Överväganden och förslag

Lagens syfte

Utredningens bedömning: Bestämmelsen om lagens syfte i 1 § påverkas inte av dataskyddsförordningen och kan och bör behållas.

I registerlagens 1 § anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forsknings- projekt om vad arv och miljö betyder för uppkomsten och utveck- lingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagen syftar också till att skydda den enskildes personliga integri- tet i sådan verksamhet.

Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan utgör en slags förklaring till vad som är målet med lagregleringen. Dataskyddsförordningen innehåller inte några be- stämmelser som behandlar vilket syfte som anges för nationell kompletterande lagstiftning. Eftersom bestämmelsen om syfte inte har någon materiell betydelse finns det inte något hinder mot att den kvarstår oförändrad.

Lagens tillämpningsområde

Utredningens förslag: Bestämmelsen i 2 § andra stycket om att lagen bara gäller om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier ska tas bort.

Registerlagen gäller enligt 2 § första stycket behandling av person- uppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434). Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får be- handla personuppgifter enligt lagen, och vilka register enligt lagen som får föras enligt 2 § tredje stycket. Det är utredningens uppfatt- ning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka

383

Anpassningar av vissa registerförfattningar

SOU 2017:50

personuppgifter lagen ska tillämpas inte i sig påverkas av dataskydds- förordningen.

För behandling av personuppgifter i enlighet med lagens syfte krävs den enskildes uttryckliga samtycke, enligt 2 § första stycket. Vidare är lagen enligt 2 § andra stycket tillämplig bara om behand- lingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgif- ter som är tillgänglig för sökning eller sammanställning enligt sär- skilda kriterier. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig.

Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på auto- matisk väg samt på annan behandling än automatisk av personupp- gifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktio- nella eller geografiska förhållanden.

Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmel- ser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed i viss mån utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Utifrån detta föreligger således inte något juridiskt hinder mot att låta formuleringen kvarstå i lagen. Det är dock utredningens be- dömning att ett införlivande av bestämmelsen varken är nödvändigt för samstämmigheten eller för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade. Sammanfattningsvis bör därför 2 § andra stycket tas bort i syfte att undvika dubbel- reglering. Dataskyddsförordningen föranleder inte i övrigt någon ändring av bestämmelsen om lagens tillämpningsområde.

384

SOU 2017:50

Anpassningar av vissa registerförfattningar

Förhållandet till personuppgiftslagen

Utredningens förslag: Hänvisningarna till personuppgiftslagen ska tas bort.

I 3 § anges att personuppgiftslagen gäller vid all behandling av per- sonuppgifter, om inte annat följer av denna lag. Med anledning av att personuppgiftslagen upphävs ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till personupp- giftslagen i 3 § ska tas bort.

Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i personuppgiftslagen. Detta gäller hänvis- ningen till 28 § personuppgiftslagen i fråga om rättelse (13 § denna lag), 26 § personuppgiftslagen om information efter ansökan (14 § andra stycket p. 7 denna lag) och 48 § personuppgiftslagen om skade- stånd (17 § denna lag).

Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive den nya nationella dataskydds- lagen, se respektive avsnitt nedan.

Förhållandet till dataskyddsförordningen och dataskyddslagen

Utredningens förslag: I registerlagen införs en upplysande be- stämmelse som tydliggör att lagen kompletterar dataskyddsför- ordningen. I registerlagen införs även en upplysande bestämmelse som tydliggör att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behand- ling av personuppgifter enligt registerlagen om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller dataskyddslagen.

I syfte att förtydliga registerlagens förhållande till dataskyddsför- ordningen föreslås att det i registerlagen införs en upplysande be- stämmelse som tydliggör att registerlagen innehåller komplette- rande bestämmelser till dataskyddsförordningen. På så vis framgår normhierarkin direkt i lagen, och det blir tydligt att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar således

385

Anpassningar av vissa registerförfattningar

SOU 2017:50

till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar registerlagen och de registrerade.

Samma syfte har en upplysande bestämmelse om registerlagens förhållande till den nationella kompletterande dataskyddslagen som Dataskyddsutredningen föreslår. Utöver de direkt tillämpliga bestäm- melserna i dataskyddsförordningen kommer det att i dataskyddslagen finnas generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen. Dataskyddslagen är subsidiär och dess bestämmelser kommer därmed att gälla i den mån inte registerlagen, eller annan författning, föreskriver annat. Det krävs således inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att register- lagen inte utgör en uttömmande nationell reglering under data- skyddsförordningen underlättar dock för den som ska tillämpa regel- verket och för andra att hitta relevanta lagrum. Därför föreslås att det också införs en upplysande bestämmelse som anger att dataskydds- lagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats med stöd av registerlagen eller dataskyddslagen.

Personuppgiftsansvar

Utredningens bedömning: Bestämmelsen om personuppgifts- ansvar i 4 § kan och bör behållas.

I artikel 4.7 i dataskyddsförordningen definieras personuppgifts- ansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska om- ständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i förord- ningen att ange vem som är personuppgiftsansvarig i den nationella rätten.

I registerlagens 4 § anges att det är de universitet och högskolor som utför behandlingen av personuppgifter som är personuppgifts-

386

SOU 2017:50

Anpassningar av vissa registerförfattningar

ansvariga. Genom lagens tillämpningsområde och ändamålsbestäm- melserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i register- lagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ända- mål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig.

Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfatt- ningsvis är det utredningens bedömning att bestämmelsen både kan och bör kvarstå.

Ändamål

Utredningens bedömning: Ändamålsbestämmelserna i lagens 5–8 §§ kan och bör behållas.

Ändamålen med personuppgiftsbehandlingen hör samman med registerlagens syfte, tillämpningsområde och den rättsliga grunden för behandlingen av personuppgifter. Genom ändamålsbestämmel- ser fastställs ramarna för att personuppgifterna behandlas i enlighet med de allmänna principer för all personuppgiftsbehandling som framgår av 9 § personuppgiftslagen och artikel 5 i dataskyddsför- ordningen. Detta innefattar bland annat principerna att personupp- gifter ska behandlas på ett korrekt, lagligt och öppet sätt i förhåll- ande till de registrerade (artikel 5.1 a) och att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ända- mål (artikel 5.1 b).

387

Anpassningar av vissa registerförfattningar

SOU 2017:50

Primära ändamål

Ändamålsbestämmelser delas ofta upp med utgångspunkt i primära och sekundära ändamål. Primära ändamålsbestämmelser syftar till att tillgodose de behov som finns av att behandla personuppgifter i myndighetens egen verksamhet.

Registerlagens primära ändamål är enligt 5 § att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för upp- komsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndig- het och att forskningen och personuppgiftsbehandlingen är god- kända enligt lagen (2003:460) om etikprövning av forskning som avser människor. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men får vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopp- las till den registrerades personnummer eller motsvarande identitets- beteckning. Enligt 7 § andra stycket får dock den personuppgifts- ansvarige under vissa förutsättningar lämna ut såväl beteckningen som den registrerades personnummer eller motsvarande identitets- beteckning.

I propositionen som föregick införandet av registerlagen på- pekades att regering och riksdag redan tidigare gjort bedömningen i ett flertal författningsärenden att ”forskning” är ett tillräckligt preci- serat ändamål enligt dataskyddsdirektivet. Regeringen ansåg vidare att de i registerlagen föreslagna ändamålen var än mer preciserade, eftersom de avsåg att skapa underlag för och lämna ut uppgifter till viss närmare angiven typ av forskning. Det var således regeringens bedömning att ändamålen var tillräckligt preciserade enligt kraven i dataskyddsdirektivet.6 Det är utredningens bedömning att kraven på tillräckligt preciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet. Regeringens redan gjorda bedömning är därför fortsatt giltig och förenlig med data- skyddsförordningen. Det är vidare utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens

6 Prop. 2012/13:163 s. 36.

388

SOU 2017:50

Anpassningar av vissa registerförfattningar

krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör där- för behållas.

Sekundära ändamål och finalitetsprincipen

Sekundära ändamål avser myndighetens utlämnande av person- uppgifter för att tillgodose andras behov. Ett sekundärt ändamål är i 7 § första stycket registerlagen utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Person- uppgifter som registrerats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är utredningens bedömning att bestämmelsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad.

För att undvika konflikter med eventuell annan lagstiftning som innebär en uppgiftsskyldighet får, enligt 8 § första tycket, person- uppgifter som behandlas enligt 5 §, utöver vad som anges i 6 och 7 §§, lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse är av upplysande karaktär, för att det inte ska råda något tvivel om förhållandet mellan registerlagens ändamåls- bestämmelser, offentlighets- och sekretesslagen och andra författ- ningar som tillåter utlämnande av uppgifter.7 Bestämmelsen inne- håller inga materiella regler som påverkas av dataskyddsförordningen och kan därför kvarstå oförändrad.

De uppräknade ändamålen och tillåtna behandlingarna i lagen är uttömmande, enligt 8 § andra stycket. Detta innebär en begränsning av den finalitetsprincip som framgår av 9 § första stycket d samt 9 § andra stycket personuppgiftslagen, vilka baseras på artikel 6.1 b i dataskyddsdirektivet. Finalitetsprincipen anger att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, dvs. så länge ett nytt ändamål är för- enligt med det ursprungliga så kan vidarebehandling vara tillåten. En behandling av personuppgifter för historiska, statistiska eller

7 A.a. s. 37.

389

Anpassningar av vissa registerförfattningar

SOU 2017:50

vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in, enligt 9 § andra stycket person- uppgiftslagen. I dessa fall föreligger således som huvudregel ett för- enligt ändamål.

I dataskyddsförordningen finns motsvarande formulering i arti- kel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behand- las på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenliga med de ursprungliga ändamålen. I artikel 6.4 beskrivs vidare vad den personuppgifts- ansvarige bör beakta för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.

Bakgrunden till begränsningen av ytterligare behandling i register- lagen, dvs. att de uppräknade ändamålen och tillåtna behandling- arna i lagen är uttömmande enligt 8 § andra stycket, är regeringens bedömning att med hänsyn till att registerlagen avser behandling av särskilt känsliga uppgifter och då det endast är fråga om en tillfällig lag bör personuppgifter inte få behandlas för några andra ändamål än som uttryckligen anges i lagen.8

Mot bakgrund av att ändamålen med behandlingen i register- lagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla sär- skilda bestämmelser som till exempel specificerar ändamålsbegräns- ningar. Det är utredningens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas.

8 A.a. s. 38.

390

SOU 2017:50

Anpassningar av vissa registerförfattningar

Personuppgifterna i registret

Utredningens bedömning: Bestämmelsen i 9 § om vilka person- uppgifter som får finnas i registret kan och bör behållas.

I 9 § listas vilka slags uppgifter som får finnas i ett register som förs med stöd av registerlagen. Uppräkningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräkning råder det enligt utred- ningens uppfattning inget tvivel om att uppgifterna som samlas in med stöd av registerlagen utgörs av huvudsakligen känsliga person- uppgifter, enligt definitionen i 13 § personuppgiftslagen där bland annat personuppgifter om hälsa ingår. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet reger- ingen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Genetiska uppgifter, biometriska uppgifter och uppgifter om sexu- ell läggning är nya kategorier, jämfört med dataskyddsdirektivet och personuppgiftslagen, som har lagts till i dataskyddsförordningen.

I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryck- liga undantag från förbudet i artikel 9.1, till exempel om den regi- strerade har lämnat sitt samtycke (artikel 9.2 a) eller om behand- lingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i artikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestäm- melser, även för behandlingen av särskilda kategorier av person- uppgifter, och att förordningen inte utesluter att det i medlems-

391

Anpassningar av vissa registerförfattningar

SOU 2017:50

staternas nationella rätt fastställs närmare omständigheter för speci- fika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skydds- åtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmän- intresset motiverar det.

Motsvarande förbud mot behandling av känsliga personuppgifter finns i dataskyddsdirektivets artikel 8.1, vilken införlivats i svensk rätt genom 13 § personuppgiftslagen. Undantag från förbudet är bland annat möjligt om den registrerade lämnat sitt uttryckliga sam- tycke (artikel 8.2 a i dataskyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skydds- åtgärder (artikel 8.4 i dataskyddsdirektivet).

I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerlagen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet. De bestämmelser som finns i registerlagen bland annat ifråga om information, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skydds- åtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas enligt registerlagen.

Eftersom motsvarande möjligheter till undantag finns i data- skyddsförordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredning- ens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter en- ligt registerlagen finns således i artikel 9.2 a i dataskyddsförord- ningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskydds- förordningen.

392

SOU 2017:50

Anpassningar av vissa registerförfattningar

Intern elektronisk åtkomst

Utredningens bedömning: Bestämmelsen om begränsning av intern elektronisk åtkomst i 10 § kan och bör behållas.

I 10 § anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till person- uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.

Begränsning av åtkomst till personuppgifter av det här slaget utgör en skyddsåtgärd, enligt dataskyddsförordningens termino- logi. Av artiklarna 24.1 och 32 i dataskyddsförordningen framgår generella krav på skyddsåtgärder vid personuppgiftsbehandling. Det är dock upp till den personuppgiftsansvarige att säkerställa lämpliga skyddsåtgärder för att efterleva förordningens krav i alla delar. I vissa fall, till exempel vid behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter enligt personuppgifts- lagens benämning) enligt något av undantagen i artikel 9.2 i data- skyddsförordningen, krävs dessutom att lämpliga och särskilda skyddsåtgärder är fastställda i nationell rätt.

Det är utredningens bedömning att bestämmelsen i sak är för- enlig med förordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförord- ningen är tillåtet att ha i nationell rätt för att närmare fastställa be- handling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Bestämmelsen behöver således inte ändras med anledning av dataskyddsförord- ningen.

Utlämnande genom direktåtkomst

Utredningens bedömning: Bestämmelsen om förbud mot ut- lämnande genom direktåtkomst i 11 § kan och bör behållas.

Utlämnande genom direktåtkomst till personuppgifter i registret får inte förekomma, enligt 11 §. Även denna bestämmelse utgör en skyddsåtgärd enligt dataskyddsförordningens terminologi. Det är utredningens bedömning att bestämmelsen i sak är förenlig med

393

Anpassningar av vissa registerförfattningar

SOU 2017:50

förordningen och utgör en sådan mer specifik eller särskild bestäm- melse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. Bestämmelsen behöver således inte ändras med anledning av dataskyddsförordningen.

Gallring

Utredningens förslag: Terminologin i bestämmelsen om gall- ring i 12 § anpassas till dataskyddsförordningen.

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett en- skilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, enligt 12 §.

Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte för- varas i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Mot- svarande bestämmelse återfinns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskydds- förordningen.

Det kan konstateras att huvudregeln i 12 § registerlagen, dvs. att personuppgifter ska gallras så snart de inte längre behövs, mot- svarar första ledet i artikel 5.1 e dataskyddsförordningen. Det är dock utredningens bedömning att bestämmelsen utgör en sådan nationell bestämmelse om lagringstid som är tillåten enligt artikel 6.3 i dataskyddsförordningen när behandlingen grundas på en uppgift

394

SOU 2017:50

Anpassningar av vissa registerförfattningar

av allmänt intresse. Tidigare bedömningar och avvägningar mellan

åena sidan intresset av skydd för den personliga integriteten och

åandra sidan intresset av offentlighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallrings- bestämmelsen i registerlagen, får även fortsatt anses gälla. Det är därför utredningens bedömning att bestämmelsen om gallring inte behöver ändras i sak.

Möjligheten för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om eller i ett enskilt fall be- sluta att uppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål är inte en bestämmelse med materiellt innehåll. Eftersom de materiella bestämmelserna i lagen har bedömts vara för- enliga med dataskyddsförordningen så kan bemyndigandebestäm- melsen lämnas oförändrad.

Formuleringen i artikel 5.1 e dataskyddsförordningen (om person- uppgifter som enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) skiljer sig i viss mån från den som återfinns i artikel 6.1 e dataskyddsdirektivet (historiska, statistiska eller vetenskapliga ända- mål). Någon skillnad i sak torde omformuleringen dock inte inne- bära. För tydlighets skull bör dock skrivningen i 12 § registerlagen anpassas till dataskyddsförordningen.

Rättelse

Utredningens förslag: Bestämmelsen om rättelse i 13 § ska upp- hävas.

I 13 § hänvisas till 28 § personuppgiftslagen och att dessa bestäm- melser ska tillämpas på motsvarande sätt vid behandling av person- uppgifter i strid med denna lag.

Bestämmelser som hänvisar till personuppgiftslagens reglering om rättelse kan inte vara kvar när personuppgiftslagen upphävs. Den registrerades rätt till rättelse behandlas i artikel 16 i dataskydds- förordningen. I den mån det kommer att finnas generella undantag från förordningens bestämmelser kommer dessa att regleras i data- skyddslagen. Någon specifik hänvisningsbestämmelse till dataskydds- lagen är inte nödvändig.

395

Anpassningar av vissa registerförfattningar

SOU 2017:50

Enligt utredningens bedömning är det varken behövligt eller lämpligt att införa en motsvarande specifik bestämmelse med hän- visning till dataskyddsförordningen i fråga om rättelse eftersom förordningens bestämmelser är direkt tillämpliga.

Samtycke och information

Utredningens förslag: Bestämmelsen i 14 § om samtycke och information anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Hän- visningen till 26 § personuppgiftslagen ska utgå och ersättas med en hänvisning till artikel 15 dataskyddsförordningen.

Av 14 § framgår vilken information som måste ha lämnats till en enskild för att ett uttryckligt samtycke ska kunna ges. Det tydlig- görs också att samtycke är en förutsättning för all behandling av personuppgifter enligt 9 § samma lag. Kravet på samtycke till be- handling i 14 § gäller, enligt 9 §, såväl personuppgifter som inhäm- tas från den registrerade som personuppgifter som inhämtas från annan än den registrerade. I uppräkningen av vilken information som ska lämnas till den enskilde finns en hänvisning till 26 § person- uppgiftslagen.

I artikel 13 i dataskyddsförordningen anges vilken information som den personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter samlas in från den registrerade. Dataskyddsförord- ningens bestämmelse om information är mer utförlig än den som finns i artikel 10 i dataskyddsdirektivet. Den registrerade har såle- des rätt att få mer information än vad som gäller enligt dataskydds- direktivet.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som finns i artikel 11 i data- skyddsdirektivet. Den registrerade har således rätt att få mer infor- mation än vad som gäller enligt dataskyddsdirektivet.

396

SOU 2017:50

Anpassningar av vissa registerförfattningar

Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas saknar helt motsvarighet i data- skyddsdirektivet, vilket innebär att den registrerades rättigheter har utökats. Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant har genomförts genom 23–25 §§ person- uppgiftslagen.

Uppräkningen av vilken information som ska lämnas enligt 14 § registerlagen skiljer sig i viss mån åt från den uppräkning som finns i artiklarna 13 och 14 i dataskyddsförordningen. Viss information som ska lämnas enligt 14 § registerlagen motsvaras av information enligt de direkt tillämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen medan vissa punkter i registerlagen inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt utredningens bedömning behållas med stöd av artikel 6.2 och 6.3 dataskyddsför- ordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförord- ningen. Enligt utredningens bedömning innebär detta att punkt- erna 2, 4, 5, 6 och 10 bör anpassas eller utgå.

Hänvisningen till 26 § personuppgiftslagen måste utgå. Motsva- rande bestämmelse återfinns i artikel 15 i dataskyddsförordningen. Detta bör tydliggöras genom en motsvarande hänvisning i 14 § registerlagen.

Information om utlämnande till forskning

Utredningens bedömning: Bestämmelsen i 15 § om informa- tion till den registrerade om till vilka forskningsprojekt uppgif- ter om denne har lämnats ut kan och bör behållas.

Den registrerade har enligt 15 § rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.

397

Anpassningar av vissa registerförfattningar

SOU 2017:50

Bestämmelsen är en specificering av den rättighet som återges i artikel 15.1 c dataskyddsförordningen, dvs. att den registrerade bland annat ska ha rätt till information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska läm- nas ut. Bakgrunden till bestämmelsen är bedömningen att den registrerade kan behöva få tillgång till information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter.

Bestämmelsen är, enligt utredningens bedömning, en sådan natio- nell specificering som är tillåten enligt skäl 8 samt artikel 6.2 och 6.3 i dataskyddsförordningen.

Utplåning av uppgifter

Utredningens förslag: Bestämmelsen om den registrerades rätt till utplåning av uppgifter i 16 § ändras på så sätt att första meningen i paragrafen ersätts med en inledande upplysning om att det i artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. I bestämmelsen ska även begreppet utplåna genomgående ersättas med begreppet radera, i enlighet med terminologin i dataskyddsförordningen.

Av 16 § framgår att den registrerade har rätt att när som helst be- gära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen lämnas vidare vissa ramar för ett sådant utplånande. I sammanhanget kan noteras att utplåning och gallring är två olika förfaranden, där gallring regleras i arkivsammanhang och utplåning eller radering av uppgifter sker av integritetsskyddsskäl.

Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i dataskyddsförordningen såtillvida att den registrerade enligt första meningen i paragrafen har en ovillkorlig rätt att få sina uppgifter ut- plånade. Den registrerades rätt enligt första meningen i 16 § i register- lagen avviker således från vad som anges i den direkt tillämpliga artikeln 17 i dataskyddsförordningen. Denna del av paragrafen är således enligt vår bedömning inte förenlig med dataskyddsförord- ningen. Den första meningen bör därför ersättas med en upplys- ning om att i artikel 17 i dataskyddsförordningen finns det bestäm-

398

SOU 2017:50

Anpassningar av vissa registerförfattningar

melser om rätt till radering. Resterande del av paragrafen innehåller bestämmelser som närmare reglerar förfarandet när en registrerad begär att uppgifter om honom eller henne i registret ska utplånas. Denna del är enligt vår bedömning en sådan specificering som enligt artikel 6.2 är tillåten i nationell rätt för att anpassa tillämpningen av bestämmelserna i förordningen och kan därför behållas.

I bestämmelsen bör även begreppet utplåna genomgående er- sättas med begreppet radera, i enlighet med terminologin i data- skyddsförordningen.

Skadestånd

Utredningens förslag: Bestämmelsen om skadestånd i 17 § ska upphävas.

I 17 § hänvisas till att bestämmelserna i 48 § personuppgiftslagen om skadestånd ska tillämpas på motsvarande sätt i fråga om behand- ling av personuppgifter som har skett i strid med denna lag.

Bestämmelser med hänvisningar till personuppgiftslagen kan inte vara kvar när personuppgiftslagen upphävs. Anledningen till att det i registerlagen finns en hänvisning till personuppgiftslagens bestämmelser om skadestånd är att bestämmelserna annars inte skulle vara tillämpliga. Enligt 48 § personuppgiftslagen är skade- ståndsskyldigheten kopplad till en behandling av personuppgifter i strid med denna lag, dvs. personuppgiftslagen. För att bestämmel- sen ska vara tillämplig även vid behandling i strid med registerlagen krävs att den anges gälla på motsvarande sätt i registerlagen. Till skillnad från vad som gäller enligt personuppgiftslagen är dataskydds- förordningen direkt tillämplig även på sådan behandling av person- uppgifter som omfattas av registerlagens tillämpningsområde och det behövs därför ingen hänvisning. I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att be- gränsa tillämpningen av artikel 82, så det är inte heller av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd.

Dataskyddsutredningen föreslår att en bestämmelse införs i data- skyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestäm-

399

Anpassningar av vissa registerförfattningar

SOU 2017:50

melser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.

Bestämmelsen i 17 § registerlagen, med hänvisning till 48 § person- uppgiftslagen, bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.

Förordning (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Utredningens bedömning: Bestämmelserna i förordningen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas.

I förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa finns bestämmelser som kompletterar registerlagen. I 2 § hänvisas till att det i bilagan till förordningen anges vilka statliga universitet eller högskolor som får behandla personuppgifter enligt registerlagen och vilka register enligt lagen som får föras. I 3 § föreskrivs att i ett register som förs enligt registerlagen får uppgifter avseende genetiska undersökningar registreras om de avser individuella variationer i arvsmassan.

Utredningen har i föregående avsnitt gjort bedömningen att de bestämmelser i registerlagen som föreskriftsrätten hänför sig till är förenliga med dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom dessa områden. Bestäm- melserna kan därmed behållas.

Ikraftträdande- och övergångsbestämmelser

Utredningens förslag: Ändringarna i lagen ska träda i kraft den 25 maj 2018. Inga övergångsbestämmelser ska införas.

Av artikel 99 i dataskyddsförordningen framgår att förordningen ska tillämpas från och med den 25 maj 2018. De föreslagna ändring- arna i registerlagen bör börja tillämpas samma dag som dataskydds- förordningen.

400

SOU 2017:50

Anpassningar av vissa registerförfattningar

Dataskyddsförordningen innehåller inga övergångsbestämmel- ser som är relevanta för registerlagen. Det är utredningens bedöm- ning att det saknas utrymme att införa övergångsbestämmelser av- seende de föreslagna ändringarna. Se kapitel 16.

15.4Lag (1999:353) om rättspsykiatriskt forskningsregister

15.4.1Inledning

Lagen (1999:353) om rättspsykiatriskt forskningsregister (register- lagen) trädde i kraft den 1 juli 2000. Registerlagens syfte är att ge Rättsmedicinalverket (RMV) lagligt stöd för att föra ett rättspsykia- triskt forskningsregister för de ändamål som anges i 3 § register- lagen, dvs. forskning inom rättspsykiatrin samt RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rätts- psykiatrin. RMV är personuppgiftsansvarigt för registret. Bak- grunden till registerlagen var ett behov av förbättrade möjligheter till forsknings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV hemställde till regeringen om under tidigt 1990- tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betän- kandet Rättspsykiatriskt forskningsregister (SOU 1996:72). Reger- ingen anpassade förslagen i utredningen till den, vid den här tiden, nya personuppgiftslagen, vilken baseras på det nuvarande data- skyddsdirektivet och trädde i kraft den 24 oktober 1998.9 Register- lagen är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet.

Med anledning av att dataskyddsförordningen blir direkt tillämp- lig i medlemsstaterna den 25 maj 2018 måste all nationell reglering också vara anpassad till dataskyddsförordningen och till den gene- rella reglering som Dataskyddsutredningen har i uppdrag att före- slå. Eftersom det är kort tid tills dess att dataskyddsförordningen ska börja tillämpas är det utredningens uppdrag att i ett första skede analysera vilka anpassningar som behöver göras av registerlagen tills dess att dataskyddsförordningen ska börja tillämpas.

Från RMV har framhållits att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt

9 Se vidare prop. 1998/99:72 s. 12 f.

401

Anpassningar av vissa registerförfattningar

SOU 2017:50

RMV bland annat att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade personuppgifter som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande omfattning.10 Utredningen har i ett andra skede i uppdrag att undersöka hur registerlagen används i dag samt analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så be- döms vara fallet, hur en sådan reglering bör utformas. Utredningen ska lämna behövliga författningsförslag i alla delar.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering kommer denna första del av uppdraget i denna del att fokusera uteslutande på lagtekniska an- passningar av registerlagen i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i detta skede kommer att utgå ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsför- ordningen. Analysen är således inriktad på den typ av ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagen ska kunna tillämpas även efter att dataskyddsförordningen börjar tilläm- pas den 25 maj 2018 och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagen i vart fall inte ska försämras.

15.4.2Dataskyddsförordningens utrymme för nationell lagstiftning – övergripande överväganden

Utredningens bedömning: Lagen om rättspsykiatriskt forsk- ningsregister utgör tillåten nationell kompletterande reglering till dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifik nationell reglering för att närmare fastställa hur för- ordningens bestämmelser ska tillämpas när det gäller behandling

10 Se vidare rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av person- uppgifter m.m. (Ju2013/08833/Å).

402

SOU 2017:50

Anpassningar av vissa registerförfattningar

som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndig- hetsutövning, vilka anges i artikel 6.1 c och e. Som tidigare nämnts är det tillåtet att i sådan nationell reglering ha bestämmelser om bland annat de allmänna villkor som ska gälla för den personupp- giftsansvariges behandling, vilken typ av uppgifter som ska behand- las, vilka registrerade som berörs, de enheter till vilka personuppgif- terna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behand- ling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis be- handling m.m.

Som utredningen tidigare aviserat kommer vi att i detta skede utgå ifrån redan tidigare gjorda bedömningar, i den mån dessa inte står i strid med dataskyddsförordningen. De bedömningar som föregick införandet av registerlagen baseras på dataskyddsdirektivet, som införlivats i svensk rätt genom personuppgiftslagen.

I den proposition som ligger till grund för registerlagen uttalade regeringen att behovet av forsknings- och utvecklingsarbete inom rättspsykiatrin är stort. Regeringen konstaterade vidare att det be- hövs ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är out- forskade och kräver grundläggande forskning. Sådan forskning kräver tillgång till stora databaser med insamlade och strukturerade personuppgifter av mycket integritetskänslig karaktär. Forsknings- behoven måste därför vägas mot respekten för den enskildes per- sonliga integritet. Endast sådana uppgifter som är nödvändiga bör få förekomma i registret och behovet av olika uppgifter bör prövas noggrant. De uppgifter som får förekomma i registret bör vidare, enligt regeringens bedömning, endast få användas i ett sammanhang med ett verkligt samhällsintresse.11 Det var regeringens bedömning vid införandet av registerlagen att den behandling av personuppgif- ter som lagen omfattade var nödvändig för att utföra en uppgift av viktigt allmänt intresse.

Artikel 8.4 i dataskyddsdirektivet ger medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skydds- åtgärder och med hänsyn till ett viktigt allmänt intresse. Det är

11 Prop. 1998/99:72 s. 26 f.

403

Anpassningar av vissa registerförfattningar

SOU 2017:50

således regeringens och riksdagens redan gjorda bedömning att ändamålen med registerlagen är ett viktigt allmänt intresse i enlig- het med dataskyddsdirektivet.12

Personuppgiftsbehandlingen enligt registerlagen är enligt utred- ningens bedömning att anse som nödvändig och proportionerlig för att uppfylla ändamålet, dvs. uppgiften som är av allmänt intresse, och därför laglig enligt artikel 6.1 e i dataskyddsförordningen. Detta innebär att utredningens övergripande bedömning är att register- lagen utgör en sådan tillåten specifik nationell reglering för att när- mare fastställa hur förordningens bestämmelse ska tillämpas när det gäller utförande av uppgift av allmänt intresse (artikel 6.1 e) enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Den personuppgifts- behandling som registerlagen omfattar måste vidare uppfylla data- skyddsförordningens övriga krav för att kunna behållas. I det följ- ande kommer utredningen att gå igenom registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

15.4.3Överväganden och förslag

Inledande bestämmelse

Utredningens bedömning: Den inledande bestämmelsen i 1 § om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas.

I 1 § registerlagen anges att Rättsmedicinalverket får för de ända- mål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. Vidare anges i andra stycket att Rättsmedicinalverket är personuppgiftsansvarigt för registret.

Den inledande bestämmelsens första stycke anger lagens tillämp- ningsområde. Det är utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksam- het, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.

Av 1 § framgår vidare att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehålls-

12 A.a. s. 38.

404

SOU 2017:50

Anpassningar av vissa registerförfattningar

mässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämp- lig. Av artikeln framgår att förordningen ska tillämpas på sådan be- handling av personuppgifter som helt eller delvis företas på automa- tisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i data- skyddsförordningen definieras register som en strukturerad sam- ling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel 2.1 i register- lagen. Det är utredningens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt.

I artikel 4.7 i dataskyddsförordningen definieras personuppgifts- ansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska om- ständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten.

I 1 § andra stycket registerlagen anges att det är RMV som är personuppgiftsansvarig för registret som lagen reglerar. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillå- ten. Därmed bestäms såväl ändamål som medel för behandlingen i

405

Anpassningar av vissa registerförfattningar

SOU 2017:50

registerlagen, vilket gör det tillåtet att ange vem som är personupp- giftsansvarig.

Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfatt- ningsvis är det utredningens bedömning att bestämmelsen både kan och bör kvarstå i sin helhet.

Förhållandet till personuppgiftslagen

Utredningens förslag: Hänvisningarna till personuppgiftslagen ska tas bort.

I 2 § anges att personuppgiftslagen gäller vid behandling av person- uppgifter för det rättspsykiatriska forskningsregistret, om inget annat följer av denna lag. Med anledning av att personuppgiftslagen upphävs ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till personuppgiftslagen i 2 § ska tas bort.

Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i personuppgiftslagen. Detta gäller hän- visningen till personuppgiftslagen avseende information som ska lämnas till den registrerade (12 § denna lag), i fråga om rättelse och skadestånd (15 § denna lag) samt hänvisningen till 26 och 28 §§ personuppgiftslagen i bestämmelsen om överklagande (16 § denna lag).

Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive den nya nationella dataskydds- lagen, se respektive avsnitt nedan.

406

SOU 2017:50

Anpassningar av vissa registerförfattningar

Förhållandet till dataskyddsförordningen och dataskyddslagen

Utredningens förslag: I registerlagen införs en upplysande be- stämmelse där det tydliggörs att lagen kompletterar dataskydds- förordningen. I registerlagen införs även en upplysande bestäm- melse som anger att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid be- handling av personuppgifter enligt denna lag om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller dataskyddslagen.

I syfte att förtydliga registerlagens förhållande till dataskyddsförord- ningen föreslår vi att det i registerlagen införs en upplysande be- stämmelse som tydliggör att registerlagen innehåller komplette- rande bestämmelser till dataskyddsförordningen. På så vis framgår normhierarkin direkt i lagen, och det blir tydligt att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar således till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar registerlagen och de registrerade.

Samma syfte har en upplysande bestämmelse om registerlagens förhållande till den nationella kompletterande dataskyddslag som Dataskyddsutredningen föreslår. Utöver de direkt tillämpliga be- stämmelserna i dataskyddsförordningen kommer det att i data- skyddslagen finnas generella bestämmelser som utgör tillåtna speci- ficeringar och undantag till dataskyddsförordningen. Dataskydds- lagen är subsidiär och dess bestämmelser kommer därmed att gälla i den mån inte registerlagen, eller annan författning, föreskriver annat. Det krävs således inte någon hänvisningsbestämmelse till data- skyddslagen. Att införa en upplysande bestämmelse som tydliggör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Därför föreslås att det också införs en upplysande bestämmelse i register- lagen som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats med stöd av den- samma eller dataskyddslagen.

407

Anpassningar av vissa registerförfattningar

SOU 2017:50

Ändamål

Utredningens bedömning: Ändamålsbestämmelsen i 3 § kan och bör behållas.

I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forsk- ningsregistret får enligt första punkten endast användas för behand- ling av personuppgifter för forskning inom rättspsykiatrin, om forsk- ningen och behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, eller enligt andra punkten för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete).

Ändamålen med personuppgiftsbehandlingen hör samman med registerlagens syfte, tillämpningsområde och den rättsliga grunden för behandlingen av personuppgifter. Genom ändamålsbestämmel- sen fastställs ramarna för att personuppgifterna behandlas i enlighet med de allmänna principer för all personuppgiftsbehandling som framgår av 9 § personuppgiftslagen och artikel 5 i dataskyddsförord- ningen. Detta innefattar bland annat principerna att personuppgif- ter ska behandlas på ett korrekt, lagligt och öppet sätt i förhållande till de registrerade (artikel 5.1 a) och att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b).

Avgränsningen av ändamål för vilken personuppgiftsbehand- lingen får ske är betydelsefull när det gäller skyddet för den person- liga integriteten. Regeringen anförde i samband med förslaget till registerlagen att ändamålen bör preciseras så noga som möjligt av flera skäl. Först och främst för att värna om skyddet för den person- liga integriteten. Den internationella utvecklingen uppgavs också gå mot höga krav på precisering av ändamålet, vilket innebär att endast personuppgifter som är direkt relevanta för ändamålet får samlas in eller på annat sätt behandlas.13 Mot bakgrund av detta for- mulerade regeringen ändamål som skulle uppfylla kraven enligt data- skyddsdirektivet och personuppgiftslagen.

Beträffande ändamålet forskning ansåg regeringen att det i sam- band med tidigare lagstiftningsarbete fanns viss vägledning för be-

13 Prop. 1998/99:72 s. 36 f.

408

SOU 2017:50

Anpassningar av vissa registerförfattningar

dömningen att forskning i sig kan utgöra ett godtagbart ändamål och att det vid bedömningen av vad som är ett tillräckligt specifi- cerat ändamål måste beaktas att den föreslagna avgränsningen om- fattade endast forskning inom rättspsykiatrin. Eftersom registret innehåller mycket känsliga personuppgifter underströk regeringen att det är av största vikt att det används bara för sådan forskning som är seriös. Detta innebär att vissa krav avseende vetenskapligt värde och vetenskaplig metod måste uppfyllas av forskningen för att den ska anses vara förenlig med ändamålet. Den bedömningen ansågs behöva göras av en instans med god kompetens för sådana prövningar. Vid den här tiden prövades i princip alla forsknings- projekt på området av en forskningsetikkommitté. Ett förfarande som utan att vara författningsreglerat vunnit acceptans. Det var där- för regeringens förslag att de forskningsprojekt som skulle använda uppgifterna i registret skulle ha godkänts i en sådan forskningsetisk prövning enligt det befintliga systemet.14

När etikprövningssystemet författningsreglerades genom lagen (2003:460) om etikprövning av forskning som avser människor infördes en hänvisning till den lagen i 3 § registerlagen. Kravet på etikgodkännande för all behandling av personuppgifter för forsk- ning med användning av det rättspsykiatriska forskningsregistret avsågs alltså utgöra en skyddsåtgärd och ett lagenligt undantag från förbudet mot behandling av känsliga personuppgifter, enligt 13 och 19 §§ personuppgiftslagen. När forskningen och personuppgifts- behandlingen godkänts vid en etisk prövning är det RMV:s ansvar att göra en prövning av behandlingens förenlighet med ändamålet.

Beträffande ändamålet utvecklingsarbete anförde regeringen i propositionen som ligger till grund för registerlagen att det är av stor vikt att RMV har ett bra underlag för sitt arbete med uppfölj- ning, utvärdering och kvalitetssäkring. Att RMV kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedömningar ansågs vara viktigt både för samhället och för de enskildas rättssäkerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt intresse att det motiverar ett undantag i enlighet med artikel 8.4 i dataskydds- direktivet från förbudet mot behandling av känsliga personuppgifter. Regeringen gjorde även bedömningen att behandlingen av person- uppgifter i enlighet med den föreslagna lagstiftningen i alla delar är

14 A.a. s. 37.

409

Anpassningar av vissa registerförfattningar

SOU 2017:50

förenlig med artikel 8 i Europakonventionen.15 Regeringens slutsats var således att det rättspsykiatriska forskningsregistret borde få an- vändas för RMV:s utvecklingsarbete inom rättspsykiatrin.16

Det är utredningens bedömning att kraven på tillräckligt preci- serade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet. Regeringens och riksdagens redan gjorda bedömningar är därför fortsatt giltiga och förenliga med dataskyddsförordningen. Det är vidare utredningens bedömning att ändamålsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett sådant sätt som stämmer överens med dataskyddsförordning- ens krav och utgör tillåten nationell lagstiftning i enlighet med arti- kel 6.2 och 6.3 i dataskyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas.

Finalitetsprincipen

Av propositionen till registerlagen framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de före- slagna två ändamålen.17 De uppräknade ändamålen och tillåtna be- handlingarna i lagen är således uttömmande. Detta innebär en be- gränsning av den finalitetsprincip som framgår av 9 § första stycket d samt 9 § andra stycket personuppgiftslagen, vilka baseras på arti- kel 6.1 b i dataskyddsdirektivet. Finalitetsprincipen anger att person- uppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Så länge ett nytt ända- mål är förenligt med det ursprungliga kan alltså vidarebehandling vara tillåten. En behandling av personuppgifter för historiska, statis- tiska eller vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in, enligt 9 § andra stycket personuppgiftslagen. I dessa fall föreligger således som huvudregel ett förenligt ändamål.

I dataskyddsförordningen finns motsvarande formulering i arti- kel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behand-

15Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, artikel 8 anger rätten till skydd för privat – och familjeliv.

16Prop. 1998/99:72 s. 38 f.

17A.a. s. 33 f.

410

SOU 2017:50

Anpassningar av vissa registerförfattningar

las på ett sätt som är oförenligt med dessa ändamål. Ytterligare be- handling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenliga med de ursprungliga ändamålen. I artikel 6.4 i dataskyddsförordningen beskrivs vidare vad den personuppgiftsansvarige bör beakta för att fastställa huru- vida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.

Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla sär- skilda bestämmelser som till exempel specificerar ändamålsbegräns- ningar. Det är utredningens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med dataskyddsförordningen och därmed inte motiverar någon ändring i den delen heller.

Innehåll

Utredningens bedömning: Bestämmelserna i 4–9 §§ om inne- håll kan och bör behållas.

I registerlagens 4 § anges att registret endast får innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen (1991:1137) om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I andra stycket anges att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget in- hämtats har vunnit laga kraft. Har åtalet helt ogillats får inga person- uppgifter från det brottmålet föras in i registret. I 5–9 §§ anges vilka uppgifter för varje person som får registreras i registret.

Majoriteten av de slags uppgifter som anges i 5–9 §§ registerlagen utgör sådana uppgifter som kategoriseras som känsliga person- uppgifter enligt 13 § personuppgiftslagen (artikel 8.1 i dataskydds- direktivet) eller personuppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen. Motsvarande bestämmelser finns för sär-

411

Anpassningar av vissa registerförfattningar

SOU 2017:50

skilda kategorier av personuppgifter (känsliga personuppgifter) i artikel 9.1 i dataskyddsförordningen och för personuppgifter om lagöverträdelser m.m. i artikel 10 i dataskyddsförordningen.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.

I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga undantag från förbudet i artikel 9.1, till exempel om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förord- ningen uppställer krav på fastställda lämpliga och särskilda skydds- åtgärder vid tillämpning av undantagen i artikel 9.2 g och 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterli- gare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestäm- melser, även för behandlingen av särskilda kategorier av person- uppgifter, och att förordningen inte utesluter att det i medlemsstat- ernas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 i dataskyddsförord- ningen anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och under- kastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undan- tag är att allmänintresset motiverar det.

Av artikel 10 i dataskyddsförordningen framgår att behandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får ut- föras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder fastställts.

Motsvarande förbud mot behandling av känsliga personuppgifter finns i dataskyddsdirektivets artikel 8.1, vilken införlivats i svensk

412

SOU 2017:50

Anpassningar av vissa registerförfattningar

rätt genom 13 § personuppgiftslagen. Undantag från förbudet är bland annat möjligt av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskydds- direktivet).

I enlighet med vad som återgivits avseende regeringens bedöm- ning i samband med fastställande av ändamålet med registerlagen är det regeringens redan gjorda bedömning att behandling av person- uppgifter för forskningsändamål ur det rättspsykiatriska forsknings- registret är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt intresse som bör vara tillåten efter etikgodkännande. Det är vidare regeringens redan gjorda bedömning att behandling av personuppgifter ur registret för utvecklingsarbete inom RMV utgör ett sådant viktigt allmänt intresse som möjliggör undantag från förbudet att behandla känsliga personuppgifter enligt data- skyddsdirektivet. Det väl avgränsade ändamålet med behandlingen samt den strikta bedömningen av vilka uppgifter som får registreras för varje person bedömdes av regeringen utgöra ett fullgott skydd för de registrerades personliga integritet. Regeringen och riksdagen fann således vid införandet av registerlagen att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas.

I 5 § registerlagen anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § personuppgiftslagen anges att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identi- fiering eller något annat beaktansvärt skäl. Bestämmelsen i 22 § personuppgiftslagen är införd med stöd av artikel 8.7 i dataskydds- direktivet som anger att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat veder- taget sätt för identifiering får behandlas. Bestämmelsen i 5 § register- lagen är således införd efter en bedömning utifrån kraven i person- uppgiftslagen.

Behandling av nationella identifikationsnummer regleras i arti- kel 87 i dataskyddsförordningen som anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor sådana identifikations- nummer får behandlas. Sådan behandling får endast ske med iakt- tagande av lämpliga skyddsåtgärder. Dataskyddsutredningen före- slår att det i den nya dataskyddslagen införs en bestämmelse som säger att uppgifter om personnummer eller samordningsnummer

413

Anpassningar av vissa registerförfattningar

SOU 2017:50

enbart ska få behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen eller, efter bemyndigande från regeringen, Datainspektionen ska få med- dela föreskrifter om behandling av uppgifter om personnummer och samordningsnummer.18

Personnummer och samordningsnummer utgör således inte käns- liga personuppgifter, men har ändå getts en särställning i såväl data- skyddsdirektivet och personuppgiftslagen som dataskyddsförord- ningen. Nationell kompletterande reglering är således tillåten enligt dataskyddsförordningen under förutsättning att kravet i artikel 87 i dataskyddsförordningen, avseende lämpliga skyddsåtgärder, anses uppfyllt. Enligt förslaget till dataskyddslag är det möjligt att behålla bestämmelsen i 5 § registerlagen under förutsättning att kraven i dataskyddslagen, dvs. att det är klart motiverat med hänsyn till ända- målet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl, anses uppfyllda.

Eftersom motsvarande möjligheter till undantag från förbudet mot behandling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer finns i dataskyddsförordningen är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare utredningens bedömning att dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i registerlagen genom kravet på etikprövning samt regleringarna avseende direkt- åtkomst, sekretess och restriktionerna vid utlämnande av uppgifter. Myndigheters befintliga möjligheter att behandla uppgifter om lagöverträdelser m.m. påverkas inte av dataskyddsförordningen. Bestämmelserna i 4–9 §§ registerlagen är därmed förenliga med dataskyddsförordningen, enligt utredningens bedömning, och kan och bör därför behållas som tillåten specificerande nationell regler- ing enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

18 SOU 2017:39 avsnitt 12.4.

414

SOU 2017:50

Anpassningar av vissa registerförfattningar

Uppgiftsskyldighet

Utredningens bedömning: Bestämmelsen om uppgiftsskyldig- het i 10 § kan och bör behållas.

Av 10 § registerlagen framgår att Socialstyrelsen, Kriminalvården re- spektive Statens institutionsstyrelse ska lämna uppgifter enligt 6 §

p.7, 8 §, 9 § och 9 a § till det rättspsykiatriska forskningsregistret. Ett skäl för att författningsreglera tillförande av uppgifter till

registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet fungerade i praktiken. En sådan reglering är dock också nödvändig i vissa fall med anledning av sekretessregler.19 Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400) (OSL) får en uppgift för vilken sekretess gäller enligt denna lag inte röjas för enskilda eller för andra myndigheter om inte annat anges i denna lag eller i lag eller förordning som denna lag hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten följer av lag eller förordning. Bestämmelsen i 10 § registerlagen är således en sådan sekretessbrytande författningsreglering som gör det möjligt för de aktuella myndigheterna att lämna även sekretessbelagda uppgifter till registret.

Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt utredningens uppfattning en sådan tillåten specifik nationell bestämmelse som möjliggörs genom artikel 6.2 och 6.3 i dataskydds- förordningen. Bestämmelsen kan därför behållas.

Direktåtkomst

Utredningens bedömning: Bestämmelsen om direktåtkomst i 11 § kan och bör behållas.

Endast RMV får enligt 11 § ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret.

Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, dataskyddsdirektivet eller i per-

19 Prop. 1998/99:72 s. 46 f.

415

Anpassningar av vissa registerförfattningar

SOU 2017:50

sonuppgiftslagen finns det särskilda bestämmelser som direkt rör denna form av behandling. Detta innebär att det, liksom för all behandling av personuppgifter, krävs att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6 i dataskyddsförordningen. Säker- hetsåtgärder enligt artiklarna 24.1 och 32 i dataskyddsförordningen ska vara vidtagna och om utlämnandet avser särskilda kategorier av personuppgifter eller personuppgifter om lagöverträdelser m.m. krävs i tillämpliga fall stöd enligt artiklarna 9 och 10 i dataskydds- förordningen. Motsvarande gäller enligt dataskyddsdirektivet.

Begränsningen i 11 § registerlagen att enbart RMV får ha direkt- åtkomst till uppgifter i registret kan sägas utgöra en lämplig och sär- skild skyddsåtgärd enligt dataskyddsförordningen. RMV:s behand- ling av uppgifter enligt ändamålen i registerlagen är lagligt grundad i artikel 6.1 e, samt artikel 6.2 och 6.3, i dataskyddsförordningen. Behandling genom direktåtkomst kan därmed ske. Bestämmelsen om direktåtkomst kan således, enligt utredningens bedömning, behållas.

Information

Utredningens förslag: Bestämmelsen i 12 § om vilken informa- tion som ska lämnas till den registrerade anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförord- ningen. Hänvisningen till personuppgiftslagen i punkt 6 ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Av 12 § registerlagen framgår vilken information om behandlingen som RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forsknings- registret.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som finns i artikel 11 i data- skyddsdirektivet. Den registrerade har således rätt att få mer infor-

416

SOU 2017:50

Anpassningar av vissa registerförfattningar

mation än vad som gäller enligt dataskyddsdirektivet. Bestämmel- sen i artikel 12.1 i dataskyddsförordningen om i vilken form infor- mationen ska lämnas saknar helt motsvarighet i dataskyddsdirek- tivet, vilket innebär att den registrerades rättigheter har utökats. Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant har genomförts genom 23–25 §§ personuppgifts- lagen.

Viss information som ska lämnas enligt 12 § registerlagen mot- svaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i register- lagen inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt utredningens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsför- ordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att und- vika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information ska lämnas ut- över vad som framgår av artikel 14 i dataskyddsförordningen. Enligt vår bedömning innebär detta att punkterna 1, 2, 3 och 4 bör utgå.

När det gäller 12 § p. 6 registerlagen återfinns motsvarande be- stämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskydds- förordningen. Dessa delar bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att bestäm- melserna finns i personuppgiftslagen måste slutligen ersättas med en hänvisning till bestämmelserna i dataskyddsförordningen och data- skyddslagen.

Registerlagens 12 § anger också att informationen alltid ska läm- nas och enligt uttalanden i propositionen ska kravet på information vara undantagslöst.20 Artikel 14.5 i dataskyddsförordningen inne- håller däremot undantag från kravet att lämna information. Genom att artikel 14 i dataskyddsförordningen blir direkt tillämplig då för- ordningen träder i kraft kommer även bestämmelserna om undan- tag då information inte behöver lämnas att bli tillämplig när förord- ningen träder i kraft.

20 Prop. 1998/99:72 s. 52.

417

Anpassningar av vissa registerförfattningar SOU 2017:50

Utlämnande av uppgifter

Utredningens bedömning: Bestämmelsen om utlämnande av uppgifter i 13 § kan och bör behållas.

Enligt 13 § registerlagen ska RMV till Socialstyrelsen, Kriminal- vården och Statens institutionsstyrelse, på medium för automatise- rad behandling, lämna de uppgifter som är nödvändiga för att dessa myndigheter ska kunna lämna uppgifter enligt 10 § till det rätts- psykiatriska forskningsregistret. Av 13 § andra stycket framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på medium för automatiserad behandling endast om upp- gifterna ska användas för det ändamål som anges i 3 § p. 1.

Regeringen anförde i propositionen som föregick införandet av registerlagen att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på medium för automatise- rad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikpröv- ning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om använd- ning i enlighet med registrets ändamål. Bestämmelsen i 13 § andra stycket registerlagen innebär därmed att sådant utlämnande ska få ske endast om mottagarens användning av uppgifterna är förenligt med registerlagens ändamål.21

Beträffande utlämnande för forskning i enlighet med registerlag- ens ändamål ansåg regeringen i stället att det inte fanns något behov av att inskränka möjligheten att lämna ut uppgifter på medium för automatiserad behandling, tvärtom var det regeringens bedömning att en sådan möjlighet borde finnas.

Den begränsning av möjligheterna att lämna ut uppgifter ur registret på medium för automatiserad behandling som finns i 13 § andra stycket registerlagen tar främst sikte på sådant utlämnande som sker efter en begäran om att få ta del av en allmän handling. En sådan begäran ska prövas enligt 2 kapitlet tryckfrihetsförordningen

21 A.a. s. 55.

418

SOU 2017:50

Anpassningar av vissa registerförfattningar

och OSL. Det finns i dag inget krav på att utlämnande ska ske på medium för automatiserad behandling enligt det regelverket.

Utlämnande av personuppgifter är en behandling enligt såväl dataskyddsförordningen som dataskyddsdirektivet och personupp- giftslagen, så de krav som gäller för all personuppgiftsbehandling måste vara uppfyllda även i den här situationen.

Den del av bestämmelsen som framgår av 13 § första stycket syftar till att fastställa att RMV ska underlätta för de berörda myndighet- erna att i sin tur lämna uppgifter till registret enligt 10 § register- lagen, genom att lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behand- ling. En sådan reglering påverkas inte av dataskyddsförordningen.

Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförord- ningen. En sådan skyddsåtgärd bör, enligt utredningens bedömning, rymmas inom den tillåtna specificeringen av nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Det är utredningens sammantagna bedömning att bestämmelsen om utlämnande av uppgifter kan och bör behållas.

Sekretess

Utredningens bedömning: Bestämmelsen om sekretess i 14 § kan och bör behållas.

I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rätts- psykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL. Sekretess är en skyddsåtgärd enligt dataskyddsförordningen och dataskyddsdirektivet. Bestämmelsen i 14 § registerlagen bör enligt utredningens bedömning utgöra en sådan tillåten specificering i nationell rätt som möjliggörs genom artikel 6.2 och 6.3 i dataskydds- förordningen. Bestämmelsen kan och bör därför behållas.

419

Anpassningar av vissa registerförfattningar

SOU 2017:50

Rättelse och skadestånd

Utredningens förslag: Bestämmelsen i 15 § som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas.

I 15 § registerlagen hänvisas till att bestämmelserna i personuppgifts- lagen om rättelse och skadestånd ska gälla vid behandling av person- uppgifter enligt registerlagen.

Bestämmelserna om rättelse och skadestånd i personuppgifts- lagen finns i 28 respektive 48 §§. Båda bestämmelserna gäller endast för behandling i strid med personuppgiftslagen om inte hänvisningar görs i annan lagstiftning. För att bestämmelserna skulle vara tillämp- liga även vid behandling i strid med registerlagen krävdes således att de angavs gälla på motsvarande sätt för registerlagen. Det är med anledning av detta som hänvisningen i 15 § registerlagen har in- förts.

Bestämmelser som hänvisar till personuppgiftslagens regleringar om rättelse och skadestånd kan inte vara kvar när personuppgifts- lagen upphävs. Till skillnad från vad som gäller enligt personupp- giftslagen är dataskyddsförordningen direkt tillämplig även på så- dan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det behövs därför ingen hänvisning av den anledningen.

Den registrerades rätt till rättelse behandlas i artikel 16 i data- skyddsförordningen. I den mån det kommer att finnas relevanta undantag från förordningens bestämmelser kommer dessa att regle- ras i dataskyddslagen och forskningsdatalagen. Någon specifik hän- visningsbestämmelse till dataskyddslagen och forskningsdatalagen är inte nödvändig i det här fallet.

I dataskyddsförordningen finns skadeståndsbestämmelsen i arti- kel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte heller av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd.

Dataskyddsutredningen föreslår att en bestämmelse införs i dataskyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kom- pletterar dataskyddsförordningen.

420

SOU 2017:50

Anpassningar av vissa registerförfattningar

Bestämmelsen i 15 § registerlagen, med hänvisning till person- uppgiftslagen, bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.

Överklagande

Utredningens förslag: Bestämmelsen om överklagande i 16 § ska upphävas.

Enligt 16 § registerlagen får beslut av RMV om information som ska lämnas efter ansökan enligt 26 § personuppgiftslagen och om rättelse enligt 28 § samma lag överklagas hos allmän förvaltnings- domstol. Prövningstillstånd krävs vid överklagande till kammar- rätten.

Av propositionen som föregick införandet av registerlagen fram- går att bestämmelsen om skadestånd ursprungligen infördes i registerlagen för att några bestämmelser om överklagande i de an- givna situationerna inte fanns i personuppgiftslagen vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt berörde den enskilde skulle kunna överklagas.22 Sedan bestämmelsen i registerlagen infördes har dock en bestämmelse med motsvarande innehåll införts i personuppgifts- lagen genom 52 §. Någon motsvarande reglering finns dock inte i dataskyddsdirektivet.

Enligt artikel 79.1 i dataskyddsförordningen ska varje registre- rad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel. I artikel 79.2 i dataskyddsförord- ningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas. Någon närmare beskriv- ning av innebörden av begreppet effektivt rättsmedel finns inte i dataskyddsförordningen. Hur dessa processuella möjligheter ska komma till uttryck i nationell rätt är en del av Dataskyddsutred- ningens uppdrag, eftersom frågan är av generell karaktär snarare än sektorsspecifik.

22 Prop. 1998/99:72 s. 61.

421

Anpassningar av vissa registerförfattningar

SOU 2017:50

I den dataskyddslag som Dataskyddsutredningen föreslår finns bestämmelser om överklagande som i sak motsvarar 52 och 53 §§ personuppgiftslagen. Eftersom dataskyddslagen ska gälla i den mån inte annat föreskrivs i registerlagen är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Det är därför utredningens bedömning att bestämmelsen om överklagande i 16 § registerlagen bör upphävas.

Ikraftträdande- och övergångsbestämmelser

Utredningens förslag: Ändringarna i lagen ska träda i kraft den 25 maj 2018. Inga övergångsbestämmelser ska införas.

Av artikel 99 i dataskyddsförordningen framgår att förordningen ska tillämpas från och med den 25 maj 2018. De föreslagna ändring- arna i registerlagen bör börja tillämpas samma dag som dataskydds- förordningen.

Dataskyddsförordningen innehåller inga övergångsbestämmel- ser som är relevanta för registerlagen. Det är utredningens bedöm- ning att det saknas utrymme att införa övergångsbestämmelser avseende de föreslagna ändringarna. Se kapitel 16.

422

16Ikraftträdande-

och övergångsbestämmelser

16.1Inledning

Dataskyddsförordningen (EU 2016/679) ska börja tillämpas från och med den 25 maj 2018. I kraft av EU-förordning blir dataskydds- förordningen direkt tillämplig i medlemsstaterna, vilket innebär att nationella författningar som inte är förenliga med förordningen antingen måste upphävas eller anpassas per detta datum. I detta kapitel kommer vi att analysera de artiklar som rör ikraftträdande- och övergångsbestämmelser i såväl dataskyddsförordningen som den dataskyddslag Dataskyddsutredningen föreslår som komplette- rande nationell lagstiftning på generell nivå. Avslutningsvis redo- visar vi våra egna överväganden och förslag avseende ikraftträdande- och övergångsbestämmelser för vår föreslagna forskningsdatalag och de anpassningar av andra författningar vi också föreslår med anledning av dataskyddsförordningen.

16.2Ikraftträdande- och övergångsbestämmelser i dataskyddsförordningen

I dataskyddsförordningen regleras ikraftträdande och tillämpning i förordningens avslutande artikel 99. Av artikel 99.1 följer att data- skyddsförordningen träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. Detta skedde den 4 maj 2016. Av artikel 99.2 följer att dataskydds- förordningen ska tillämpas från och med den 25 maj 2018. Avslut- ningsvis konstateras att dataskyddsförordningen är till alla delar bindande och direkt tillämplig i alla medlemsstater.

I artikel 94 anges att det nuvarande dataskyddsdirektivet (95/46/EG) ska upphöra att gälla med verkan från och med den

423

Ikraftträdande- och övergångsbestämmelser

SOU 2017:50

25 maj 2018. Hänvisningar till det upphävda direktivet ska anses som hänvisningar till dataskyddsförordningen.

Av skäl 171 i dataskyddsförordningen framgår att behandling som redan pågår den dag när dataskyddsförordningen börjar tillämpas bör bringas i överensstämmelse med förordningen inom en period av två år från det att förordningen träder i kraft. Om behandlingen grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att förordningen börjar tillämpas. En förutsättning för detta är dock att det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av dataskyddsdirektivet ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.

I artiklarna 95 och 96 finns vissa övergångsbestämmelser avse- ende förhållandet till direktiv 2002/58/EG om integritet och elektro- nisk kommunikation samt internationella avtal.

16.3Ikraftträdande- och övergångsbestämmelser i dataskyddslagen

Dataskyddsutredningen föreslår att dataskyddslagen ska träda i kraft den 25 maj 2018, samtidigt som personuppgiftslagen ska upphöra att gälla. Personuppgiftslagen föreslås dock fortsatt gälla i den utsträck- ning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den.

Dataskyddsutredningen föreslår vidare att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen och före- skrifter som har meddelats med stöd av dessa, ska fortsatt gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter föreslås också gälla för överklagande av beslut som har meddelats med stöd av dessa före- skrifter liksom för överträdelser som har ägt rum vid behandling som har skett före ikraftträdandet. Bestämmelserna om skadestånd i 48 § personuppgiftslagen föreslås gälla för skada som har orsakats före upphävandet.1

1 SOU 2017:39 avsnitt 20.3.

424

SOU 2017:50

Ikraftträdande- och övergångsbestämmelser

16.4Överväganden och förslag

Utredningens förslag: Forskningsdatalagen ska träda i kraft den 25 maj 2018.

De ändringar som utredningen föreslår med anledning av dataskyddsförordningen i lagen om etikprövning av forskning som avser människor, lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rätts- psykiatriskt forskningsregister ska träda i kraft den 25 maj 2018.

Utredningens bedömning: Dataskyddsförordningen ger inte utrymme för några övergångsbestämmelser.

16.4.1Ikraftträdande

Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgifts- lagen samtidigt ska upphöra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförord- ningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.

16.4.2Övergångsbestämmelser

Dataskyddsförordningen trädde i kraft den 24 maj 2016 och ska börja tillämpas i medlemsstaterna den 25 maj 2018. Av förordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i data- skyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tilläm- pas. Det är utredningens uppfattning att det därmed inte finns ut- rymme för några övergångsbestämmelser. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsända- mål tillämpa dataskyddsförordningen och, i de delar denna kom-

425

Ikraftträdande- och övergångsbestämmelser

SOU 2017:50

pletteras, forskningsdatalagen samt på generell nivå även dataskydds- lagen.

Det är vidare utredningens bedömning, mot bakgrund av denna slutsats, att det inte heller finns något utrymme för övergångs- bestämmelser avseende de anpassningar som utredningen föreslår med anledning av dataskyddsförordningen i lagen (2003:460) om etikprövning av forskning som avser människor, lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forsk- ningsregister. De ändringar som utredningen föreslår i respektive författning ska träda i kraft den 25 maj 2018.

426

17 Konsekvenser

17.1Inledning

I detta kapitel redovisar vi konsekvenserna av utredningens förslag i enlighet med 14–15 a §§ kommittéförordningen (1998:1474) och 6–7 §§ förordningen (2007:1244) om konsekvensutredning vid regel- givning. Enligt direktiven ska utredningen utöver detta även redo- visa förslagens konsekvenser för den personliga integriteten.

Det är i sammanhanget viktigt att tydliggöra att utredningens uppdrag är att analysera vilken reglering som är möjlig och kan be- hövas för personuppgiftsbehandling för forskningsändamål, utöver vad som redan framgår av dataskyddsförordningen (EU 2016/679) eller den generella kompletterande reglering som Dataskyddsutred- ningen (Ju 2016:04) föreslår. De konsekvenser som följer av för- ordningens direkt tillämpliga bestämmelser eller Dataskyddsutred- ningens förslag analyseras därför inte nedan.

Utöver analysen i förevarande kapitel har utredningens förslag analyserats med avseende på proportionalitetsaspekten i kapitel 13.

17.1.1Förändringar som följer av våra förslag

Utredningen föreslår i avsnitt 4.2 att en ny forskningsdatalag ska införas som möjliggör behandling av personuppgifter för forsk- ningsändamål på så lika villkor som möjligt för såväl offentliga som privata forskningsaktörer och där de närmare villkoren för behand- ling av personuppgifter för detta ändamål specificeras. De förslag till bestämmelser i forskningsdatalagen som utredningen sedan läm- nar i de olika delarna av betänkandet utgör de nödvändiga komplette- rande nationella bestämmelserna för att den samlade regleringen, enligt utredningens bedömning, ska möjliggöra en ändamålsenlig

427

Konsekvenser

SOU 2017:50

behandling samtidigt som den skyddar den enskildes fri och rättig- heter.

En allmän utgångspunkt för utredningen har varit att bibehålla de rättigheter och skyldigheter i samband med personuppgiftsbehand- ling för forskningsändamål som finns i dag, inom ramen för data- skyddsförordningens utrymme för nationell kompletterande regler- ing. I vart fall ska inte möjligheterna till sådan personuppgiftsbehand- ling, eller den enskildes integritetsskydd, försämras jämfört med dagens situation. De flesta bestämmelser som utredningen föreslår i forskningsdatalagen, och de ändringar vi föreslår i de övriga för- fattningarna, motsvarar därför i stort sett de nuvarande bestämmel- serna i personuppgiftslagen och de övriga aktuella författningarna. Vissa förslag till bestämmelser i forskningsdatalagen innebär dock förändringar i relation till nuvarande rättsläge som medför att en konsekvensanalys måste göras, nämligen att det direkt i lagen före- slås två nya lämpliga skyddsåtgärder utöver den hänvisning till etik- prövning som görs för känsliga personuppgifter och personuppgifter om lagöverträdelser m.m.

Den ena av dessa skyddsåtgärder, pseudonymisering eller skydd på likvärdigt sätt, föreslås även i förordningens artikel 89.1, men har i forskningsdatalagen fått en något förstärkt ställning. Den andra skyddsåtgärden, rätten att motsätta sig behandling, har införts som konsekvens av den begränsning av möjligheten att använda sam- tycke som föreligger i vissa situationer enligt skäl 43 i dataskydds- förordningen. Rätten att motsätta sig behandling är enligt utred- ningens bedömning ett alternativt sätt att säkerställa den registre- rades möjlighet till inflytande över personuppgiftsbehandlingen, och är därmed förenligt med förordningens mål att förstärka den registrerades rättigheter som uttrycks bland annat i skäl 11. Utred- ningen föreslår även att den skyddsåtgärd som framgår av 9 § fjärde stycket personuppgiftslagen, som innebär att uppgifter inte får användas för att vidta åtgärder i fråga om den registrerade såvida det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen, överförs till forskningsdatalagen.

Utöver dessa föreslagna skyddsåtgärder föreslår utredningen vissa begränsningar av de registrerades rättigheter som anges i arti- kel 16 (rättelse) och artikel 18 (begränsning av behandling). Det är fråga om rättigheter som är mer detaljerat reglerade i dataskydds- förordningen, men som ändå har en viss motsvarighet i det nuvar-

428

SOU 2017:50

Konsekvenser

ande dataskyddsdirektivet och personuppgiftslagen. Begränsning- arna av rättigheterna saknar däremot motsvarighet i nuvarande regler- ing. Förslaget medför i denna del vissa konsekvenser för de regi- strerades personliga integritet i syfte att möjliggöra ändamålsenlig behandling för forskning.

Utredningens förslag till ändringar i lagen (2003:460) om etik- prövning av forskning som avser människor (etikprövningslagen), lagen (2003:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rätts- psykiatriskt forskningsregister utgör sådana anpassningar som är nödvändiga för att bestämmelserna ska vara förenliga med data- skyddsförordningen. Någon ändring i sak är i dessa fall inte avsedd.

I det följande kommer utredningen sammanfattningsvis att analy- sera konsekvenserna av förslaget att genom forskningsdatalagen likställa olika forskningsaktörer med avseende på deras ställning i förhållande till allmänt intresse som rättslig grund för personupp- giftsbehandling, förslaget att i forskningsdatalagen införa två nya lagstadgade skyddsåtgärder, utöver den hänvisning till etikprövning som överförs till den nya lagen, samt förslaget att införa två nya be- gränsningar av registrerades rättigheter.

17.2Utredningens förslag

Av 6 § förordningen (2007:1244) om konsekvensutredning vid regel- givning följer att en sådan ska innehålla vissa beskrivningar, uppgif- ter och bedömningar. Dessa redovisas i nedanstående underavsnitt (med undantag för kostnadsmässiga konsekvenser, vilka behandlas i efterföljande avsnitt).

17.2.1Problem- och målbeskrivning

I april 2016 beslutade EU en förordning som utgör ny generell regler- ing för personuppgiftsbehandling inom unionen. Denna dataskydds- förordning ska börja tillämpas som lag i Sverige från och med den 25 maj 2018. I och med det upphävs nuvarande personuppgiftslag med tillhörande personuppgiftsförordning och övriga författningar som reglerar personuppgiftsbehandling inom sektorsvisa områden måste anpassas. Dataskyddsutredningen har i uppdrag att föreslå

429

Konsekvenser

SOU 2017:50

anpassningar och kompletterande författningsbestämmelser på gene- rell svensk nivå.

Personuppgiftsbehandling för forskningsändamål kommer i flera fall att behöva kompletterande reglering i nationell lagstiftning för att sådan behandling ska vara tillåten. Problemet som utredningen är satt att lösa är alltså hur forskning i Sverige ska kunna möjliggöras när dataskyddsförordningen börjar tillämpas. Forskningsdatautred- ningen har därför i uppdrag att föreslå en kompletterande nationell reglering av personuppgiftsbehandling för forskningsändamål, ut- över den reglering som Dataskyddsutredningen föreslår. Målet med utredningens arbete är således att möjliggöra en ändamålsenlig be- handling av personuppgifter för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

För de förslag utredningen lämnar, och som motiverar en konse- kvensanalys, innebär det mer konkret att olika forskningsaktörer likställs med avseende på deras ställning i förhållande till allmänt intresse som rättslig grund för personuppgiftsbehandling. Det inne- bär vidare att forskningsdatalagen kommer att reglera två nya skydds- åtgärder, utöver de krav på etikprövning som överförs från person- uppgiftslagen. Detta utgör en vägledning avseende vilka skyddsåtgär- der som bör övervägas och kan föreslås av etikprövningsnämnderna samt en vägledning om vilka hänsynstaganden som bör styra de personuppgiftsansvarigas agerande i hanteringen av personuppgifter för forskningsändamål.

17.2.2Alternativa lösningar

I dag regleras personuppgiftsbehandling för forskningsändamål framför allt i personuppgiftslagen. Särskilda registerförfattningar kompletterar denna lag för specifika områden. Det nuvarande regel- verket bygger på dataskyddsdirektivet från år 1995, vilket upphör att gälla i och med dataskyddsförordningen. Den redan beslutade dataskyddsförordningen ska börja tillämpas från och med 25 maj 2018 och är genom sin status som EU-förordning direkt tillämplig i medlemsstaterna. Detta innebär att personuppgiftslagen kommer att upphöra att gälla per detta datum och att alla författningar som kompletterar, eller har företräde framför, personuppgiftslagen måste anpassas till dataskyddsförordningen.

430

SOU 2017:50

Konsekvenser

Dataskyddsförordningen lämnar vissa möjligheter till nationella kompletterande och specificerande bestämmelser. Om nationella anpassningar till dataskyddsförordningen inte utförs kommer möjlig- heterna att behandla personuppgifter generellt att försämras p.g.a. vad som kan beskrivas som luckor i regelverket. Beträffande person- uppgiftsbehandling för just forskningsändamål ger dataskydds- förordningen i flera fall utrymme för kompletterande nationell lag- stiftning. Om dessa möjligheter inte tas om hand kommer dagens möjligheter att behandla personuppgifter för forskningsändamål att kraftigt försämras. Eftersom utredningens övergripande mål är att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål, samtidigt som den skyddar den enskildes fri- och rättigheter, är det inte ett rimligt alternativ att någon reglering inte kommer till stånd. Utredningens överväganden i de olika del- arna visar vilka alternativa lösningar som kan finnas.

17.2.3Vem berörs av våra förslag?

Forskning bedrivs av såväl offentliga som privata aktörer och inom många samhällssektorer. Dataskyddsförordningen får genomgrip- ande konsekvenser för alla forskningsaktörer som använder sig av personuppgifter. Kompletteringslagstiftningen riktar sig till samma aktörer. Indirekt berörs också de registrerade genom att erbjudas möjligheten att motsätta sig behandling av personuppgifter för forsk- ningsändamål.

17.2.4Förslagens förenlighet med EU-rätten

Utredningens förslag är föranledda av den förändring i EU-rätten som dataskyddsförordningens ikraftträdande medför. Dataskydds- förordningen är direkt tillämplig, men lämnar visst utrymme för nationell lagstiftning att bl.a. fastställa rättslig grund för person- uppgiftsbehandling, reglera skyddsåtgärder, begränsa registrerades rättigheter m.m.

Utredningens förslag syftar till att utgöra en kompletterande nationell reglering för personuppgiftsbehandling för forsknings- ändamål som är förenlig med dataskyddsförordningen. Vi bedömer därmed att förslaget är förenligt med EU-rätten.

431

Konsekvenser

SOU 2017:50

17.2.5Tidpunkt och information inför ikraftträdande

Dataskyddsförordningen ska börja tillämpas från och med den 25 maj 2018 som direkt tillämplig lag i Sverige, vilket innebär att nationella kompletterande författningar måste träda i kraft samma datum.

Införandet av Dataskyddsförordningen kräver redan i dag om- fattade informationsinsatser eftersom reformen berör så många aktörer. Det är utredningens bedömning att förslaget att införa en forskningsdatalag kommer att medföra ett behov av information och utbildning hos dem som är berörda, men att detta bör kunna utföras inom ramen för respektive verksamhet.

17.3Ekonomiska konsekvenser

I 14 § kommittéförordningen anges att om förslagen i ett betän- kande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär sam- hällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kom- muner och landsting ska kommittén föreslå en finansiering.

Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i be- tänkandet, enligt 15 a § kommittéförordningen.

17.3.1Vår bedömning av förslagen

Utredningen bedömer att vare sig införandet av forskningsdata- lagens bestämmelse om att forskning av allmänt intresse får utföras av forskningsaktörer oavsett civilrättslig ställning, eller införandet av två nya skyddsåtgärder i den nya lagen, medför några kostnads- förändringar för de aktörer som omnämns i kommittéförordningen. Förslagen har snarare konsekvensen att behålla kostnaderna på de nivåer som för närvarande gäller, och har inte heller i övrigt några samhällsekonomiska konsekvenser. Förslagen kan därför betraktas som kostnadsneutrala i förhållande till dagens situation. Konse- kvensen av att avstå från regleringen kunde ha blivit en kostnads-

432

SOU 2017:50

Konsekvenser

ökning, särskilt för företag och enskilda forskningsaktörer som inte längre skulle kunnat utnyttja möjligheten att hänvisa till all- mänt intresse som rättslig grund för forskningen utan hade varit hänvisade till samtycke eller intresseavvägning som laglig grund för personuppgiftsbehandlingen i varje enskilt fall.

Vad gäller de föreslagna begränsningarna av de registrerades rättigheter medför de främst att forskningsaktörer i vissa avgränsade situationer inte behöver beakta en del rättigheter som tillkommer de registrerade. Begränsningarna bör därför inte medföra ökade ekonomiska kostnader för de uppräknade parterna.

I denna bedömning har vi särskilt beaktat villkoren för de före- tag som utför forskning.

17.3.2Ekonomiska konsekvenser av alternativa lösningar

Det alternativ som kan och har övervägts är att avstå från nationell reglering utöver vad som föreslås av Dataskyddsutredningen. Vi finner att en sådan strategi är svår att bedöma kostnadsmässigt. I allmänhet skulle det innebära att delar av nuvarande forsknings- verksamhet, som använder personuppgifter, skulle stå utan den reglering som efterfrågas eller föreskrivs i dataskyddsförordningens artiklar 6 och 9. Forskningen skulle därmed tvingas upphöra.

Konsekvensen av att avstå från att introducera ytterligare skydds- åtgärder i forskningsdatalagen skulle kunna vara att den svenska regleringen av forskning med känsliga personuppgifter skulle komma att stå i strid med dataskyddsförordningens artikel 1.3 som anger att det fria flödet av personuppgifter inte får begränsas eller förbju- das av skäl som rör skyddet av personuppgifter.

17.4Andra konsekvenser enligt kommittéförordningen

Av 15 § kommittéförordningen framgår att om förslagen i ett be- tänkande har betydelse för den kommunala självstyrelsen ska kon- sekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsföre- byggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrens- förmåga eller villkor i övrigt i förhållande till större företags, för

433

Konsekvenser

SOU 2017:50

jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

Utredningen bedömer att de förslag som lämnas inte får några konsekvenser i dessa avseenden.

17.5Konsekvenser för den personliga integriteten

Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i betänkandet. Av våra direktiv framgår att utredningen, utöver vad som följer av 14–15 a §§ kommittéförordningen, ska redovisa för- slagens konsekvenser för den personliga integriteten.

Utredningens bedömning är att de föreslagna ändringarna inne- bär en förstärkning av den personliga integriteten i och med in- förandet av nya skyddsåtgärder som ökar integritetsskyddet och en förstärkt ställning för skyddsåtgärden pseudonymisering, som enligt förslaget ska användas om det är möjligt att genomföra forskningen med pseudonymiserade uppgifter.

De föreslagna begränsningarna i de registrerades rättigheter medför, sett isolerat, en viss försämring av skyddet för den person- liga integriteten. Begränsningarna har dock utformats så att det vi bedömer vara nödvändiga inskränkningar endast föreslås i fråga om sådant där den ökande möjligheten för reproducerbar forskning av hög kvalitet uppväger intrånget i den enskildes integritet. Det är vår bedömning att begränsningarna är väl motiverade även ur integritets- synvinkel.

17.6Sammanfattning

Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgifts- lagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat konsekvensanalysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån mål- sättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyse-

434

SOU 2017:50

Konsekvenser

rar därför inte de konsekvenser som följer av att dataskyddsförord- ningen börjar tillämpas.

Utredningen bedömer att förslagen inte medför några kostnads- förändringar för de aktörer som omnämns i kommittéförordningen. Utredningens bedömning är vidare att förslagen överlag innebär en förstärkning av den personliga integriteten.

435

18 Författningskommentar

18.1Förslaget till forskningsdatalag

1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

Paragrafen utgör en s.k. portalparagraf som anger syftet med lagen. Syftet med lagen har behandlats i avsnitt 4.2.

2 § Denna lag kompletterar Europaparlamentet och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

I paragrafen anges att lagen innehåller bestämmelser som komplette- rar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller som undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen har behandlats i avsnitt 4.3.

437

Författningskommentar

SOU 2017:50

3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (data- skyddslagen).

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag, ska de bestämmelserna gälla.

Paragrafen anger i första stycket lagens relation till den generella dataskyddslag som Dataskyddsutredningen föreslår i sitt betänkande SOU 2017:39. Dataskyddslagen avser att komplettera dataskydds- förordningen på nationell generell nivå. Forskningsdatalagen har företräde framför dataskyddslagen. Om inte annat följer av denna lag gäller således dataskyddslagen.

Det andra stycket utgör en subsidiaritetsbestämmelse med av- gränsningen att lagen är subsidiär gentemot andra lagar och förord- ningar som reglerar personuppgiftsbehandling för forskningsändamål.

Bestämmelsen har behandlats i avsnitt 4.3.

Lagens tillämpningsområde

4 § Denna lag tillämpas vid behandling av personuppgifter för forsk- ningsändamål.

Paragrafen anger lagens materiella tillämpningsområde och tydlig- gör vilken behandling som omfattas av lagen.

Det materiella tillämpningsområdet har behandlats i avsnitt 4.2.

Behandling av personuppgifter för forskningsändamål

Rättslig grund

5 § Av dataskyddsförordningen framgår att personuppgifter får be- handlas endast om minst ett av de villkor som anges i artikel 6.1 i för- ordningen är uppfyllt.

Paragrafen upplyser om att villkoren för laglig personuppgifts- behandling finns i artikel 6.1 i dataskyddsförordningen.

Uppräkningen av vad som kan utgöra rättslig grund för behand- ling av personuppgifter i artikel 6.1 är uttömmande. Behandling av

438

SOU 2017:50

Författningskommentar

personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för forsk- ningsändamål kan i teorin grundas på vilken som helst av punkterna i artikel 6.1, men framför allt torde punkterna a och e bli tillämpliga. Punkt f är, som framgår av artikel 6.1 andra stycket, inte möjlig att åberopa för myndigheter när de fullgör sina uppgifter. Utöver att behandlingen är rättsligt grundad enligt artikel 6.1 krävs att övriga krav enligt förordningen är uppfyllda.

Forskningsdatalagen är tillämplig på personuppgiftsbehandling för forskningsändamål oavsett rättslig grund för behandlingen en- ligt artikel 6.1.

Bestämmelsen har behandlats i avsnitt 5.5.3.

6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförord- ningen behandlas för forskningsändamål om behandlingen är nödvän- dig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda närings- idkare.

Paragrafen har införts för att uppfylla dataskyddsförordningens krav på att rättslig grund för behandling som är nödvändig för att utföra en uppgift av allmänt intresse ska fastställas i unionsrätt eller nationell rätt, i enlighet med artikel 6.2 och 6.3.

Bestämmelsen möjliggör tillämpning av artikel 6.1 e som rättslig grund för behandling av personuppgifter för forskningsändamål omfattande samtliga angivna forskningsaktörer, oavsett om de är offentliga eller privata, genom att fastställa dels att personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen får behandlas för forskningsändamål om behandlingen är nödvändig och propor- tionerlig för att utföra forskning av allmänt intresse, dels att forsk- ning av allmänt intresse får utföras av statliga myndigheter, kommu- ner och landsting, andra juridiska personer och enskilda närings- idkare.

Termen nödvändig behandling har behandlats i avsnitt 5.2.2 och proportionalitet behandlas i kapitel 13.

Bestämmelsen har behandlats i avsnitt 5.5.2.

439

Författningskommentar

SOU 2017:50

Generella skyddsåtgärder

7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller be- stämmelserna i 8–10 §§ denna lag.

Paragrafen upplyser om att all personuppgiftsbehandling för forsk- ningsändamål ska omfattas av de generella skyddsåtgärder som fram- går av denna lag.

I enlighet med artikel 89.1 i dataskyddsförordningen ska be- handling för forskningsändamål omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. De generella skydds- åtgärder som anges i 8–10 §§ denna lag utgör grundläggande krav vid all personuppgiftsbehandling för forskningsändamål. Det är den personuppgiftsansvariges ansvar att uppfylla dataskyddsförord- ningens krav på lämpliga skyddsåtgärder för varje enskild person- uppgiftsbehandling.

Bestämmelsen har behandlats i avsnitt 12.2.

8 § Vid personuppgiftsbehandling för forskningsändamål ska person- uppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset.

Paragrafen anger pseudonymisering, eller skydd på likvärdigt sätt, som en skyddsåtgärd vilken den personuppgiftsansvarige alltid ska tillämpa om det är praktiskt möjligt, i syfte att uppfylla dataskydds- förordningens krav på lämpliga skyddsåtgärder i artikel 89.1.

Bestämmelsen har behandlats i avsnitt 12.4.2.

9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.

Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas får dock personuppgiftsbehandling ändå utföras.

440

SOU 2017:50

Författningskommentar

Paragrafen anger en skyddsåtgärd som huvudsakligen fyller samma funktion som artikel 21 i dataskyddsförordningen, rätt att göra in- vändningar, men utan samma undantagsmöjligheter. Den ger därför ett starkare skydd för den enskildes viljeyttring, när den är tillämplig.

Bestämmelsen har behandlats i avsnitt 12.4.2.

10 § Personuppgifter som behandlas för forskningsändamål får an- vändas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personupp- gifter i allmänna handlingar.

Paragrafen motsvarar den skyddsåtgärd som i dag återfinns i 9 § fjärde stycket personuppgiftslagen (1998:204) vad gäller forsknings- ändamål. Dataskyddsutredningen har föreslagit motsvarande bestäm- melser för arkivändamål och statistiska ändamål i 4 kap. 1–2 §§ dataskyddslagen.1

Bestämmelsen har behandlats i avsnitt 12.4.2.

Känsliga personuppgifter

11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etik- prövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av be- handling av känsliga personuppgifter för forskningsändamål.

Paragrafens första stycke utgör nödvändig nationell reglering enligt artikel 9.2 j i dataskyddsförordningen för att behandling av känsliga personuppgifter ska vara tillåten för forskningsändamål. Huvud- regeln i artikel 9.1 i dataskyddsförordningen är annars att behand- ling av sådana särskilda kategorier av personuppgifter som anges i artikeln (känsliga personuppgifter) ska vara förbjuden. Etikpröv- ning enligt etikprövningslagen är den skyddsåtgärd som enligt ut-

1 SOU 2017:39 avsnitt 22.1.

441

Författningskommentar

SOU 2017:50

redningens bedömning uppfyller kraven på lämplig och särskild skyddsåtgärd enligt artikel 9.2 j i dataskyddsförordningen. Bestäm- melsen har behandlats i avsnitt 7.4.1. Etikprövning som skydds- åtgärd har behandlats i avsnitt 14.3.

Andra stycket upplyser om att det finns andra krav på etikpröv- ning av behandling av känsliga personuppgifter för forskningsända- mål i etikprövningslagen. Genom utredningens förslag till ändring av 3 § etikprövningslagen framgår att etikprövningslagen ska tilläm- pas på all forskning som innefattar behandling av sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskydds- förordningen (känsliga personuppgifter). Detta innebär att all be- handling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund, ska etikprövas enligt etikprövningslagen. Etikpröv- ningslagens tillämpningsområde har behandlats i avsnitt 14.4.

Personuppgifter om lagöverträdelser m.m.

12 § Personuppgifter som rör fällande domar i brottmål, lagöverträ- delser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forsknings- ändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etik- prövning av forskning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av be- handling av personuppgifter om lagöverträdelser m.m. för forsknings- ändamål.

Paragrafens första stycke utgör nödvändig nationell reglering enligt artikel 10 i dataskyddsförordningen för att andra än myndigheter ska få behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål. Etikprövning är den skyddsåtgärd som enligt utredningens bedömning uppfyller kravet på lämplig skyddsåtgärd enligt artikel 10 i dataskyddsförordningen. Bestämmelsen har be- handlats i avsnitt 8.4. Etikprövning som skyddsåtgärd har behand- lats i avsnitt 14.3.

Andra stycket upplyser om att det finns flera krav på etikpröv- ning av personuppgiftsbehandling avseende lagöverträdelser m.m. för forskningsändamål i etikprövningslagen. Genom utredningens

442

SOU 2017:50

Författningskommentar

förslag till ändring av 3 § etikprövningslagen framgår att etikpröv- ningslagen ska tillämpas på sådana personuppgifter om lagöverträ- delser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta innebär att etikprövningslagens tillämpningsområde omfattar även sådana personuppgifter om lagöverträdelser som enligt nuvarande lagstift- ning ska etikprövas enligt etikprövningslagen, men som inte om- fattas av artikel 10 i dataskyddsförordningen. Enligt 3 § etikpröv- ningslagen ska också myndigheters behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål omfattas av etik- prövningslagens tillämpningsområde. Etikprövningslagens tillämp- ningsområde har behandlats i avsnitt 14.4.

Undantag från registrerades rättigheter

13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskydds- förordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

Paragrafen utgör en begränsning, med stöd av artikel 89.2 i data- skyddsförordningen, av den registrerades rätt till rättelse enligt artikel 16 i dataskyddsförordningen.

Utredningen har identifierat ett behov av en begränsning av rätten till rättelse vad gäller sådana personuppgifter som bevaras under längre perioder än vad som är nödvändigt för de primära forskningsändamål för vilka personuppgifterna behandlats, när detta bevarande sker i syfte att dokumentera den utförda forskningen, för att exempelvis verifiering av forskningsresultat ska vara möjlig.

Denna begränsning ska enbart vara tillämplig när forskningen i någon mening är utförd så att den nått den nivå av färdigställande att det skulle strida mot god forskningssed att ändra forsknings- materialet. Det kan exempelvis vara fråga om resultat som lämnats för publicering i en vetenskaplig tidskrift. Bevarandet får då anses ske för forskningsändamål, oavsett om personuppgifterna anses vara arkiverade eller ej.

Bestämmelsen har behandlats i avsnitt 10.3.2.

443

Författningskommentar

SOU 2017:50

14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behandlas för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Paragrafen utgör en begränsning, med stöd av artikel 89.2 i data- skyddsförordningen, av den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d.

Rättigheten att begränsa behandling av personuppgifter under tiden den personuppgiftsansvarige kontrollerar om det i det konkreta fallet föreligger en rätt till rättelse eller till invändning (artikel 18.1 a) medför i praktiken att uppgifterna är undantagna från vidare be- handling under denna utredningsperiod. Samma sak gäller under väntan på kontroll av huruvida den personuppgiftsansvariges be- rättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).

Effekten av att enskilda personers uppgifter är undantagna från behandling i forskningen under en period kan medföra skevhet (bias) i materialet som forskningen utförs med användning av under samma period, eller, om forskningen inriktas på att undersöka material som kan hänföras till en eller ett fåtal enskilda personer, att forskningen omöjliggörs. Beroende på vilket stadium som forsk- ningen befinner sig i kan detta i undantagsfall göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, särskilt om det tar lång tid att utreda personuppgifternas korrekthet.

Bestämmelsen innebär ett begränsat undantag från denna rättig- het, som dock endast är tillämplig om en sådan blockering skulle medföra att ett pågående forskningsprojekt inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Det är den personupp- giftsansvarige som har att visa att sådana förutsättningar föreligger.

Bestämmelsen har behandlats i avsnitt 10.3.3.

444

SOU 2017:50

Författningskommentar

Utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut för att behandlas för forsknings- ändamål, om inte något annat följer av regler om sekretess och tyst- nadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registre- rade.

Paragrafen motsvarar i huvudsak nuvarande 12 § etikprövnings- lagen. Bakgrunden till bestämmelsen och motiveringen till att flytta den till forskningsdatalagen, samt införa ett förtydligande avseende 6 § etikprövningslagen, har behandlats i avsnitt 14.6.2.

18.2Förslaget till lag om ändring av lagen (2003:460) om etikprövning av forskning som avser människor

2 §

I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i arti- kel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad dataskyddsförordningen.

445

Författningskommentar

SOU 2017:50

Paragrafen anger vad som i denna lag ska avses med behandling av personuppgifter. Hänvisningen till personuppgiftslagens definition av behandling av personuppgifter ersätts med en hänvisning till definitionen i artikel 4.2 i dataskyddsförordningen.

Bestämmelsen har behandlats i avsnitt 14.6.2.

3 §

Denna lag ska tillämpas på forskning som innefattar behandling av

1.sådana särskilda kategorier av personuppgifter som avses i artikel 9.1

idataskyddsförordningen (känsliga personuppgifter), eller

2.sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Paragrafen anger tillämpningsområdet för lagen avseende person- uppgiftsbehandling för forskningsändamål.

Punkten 1, som i dag hänvisar till känsliga personuppgifter en- ligt 13 § personuppgiftslagen, ändras till en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i data- skyddsförordningen (känsliga personuppgifter). Detta innebär att all behandling för forskningsändamål av sådana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskydds- förordningen.

Punkten 2, som i dag hänvisar till personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § person- uppgiftslagen, ändras genom att det specifika lagrummet i person- uppgiftslagen tas bort. Detta innebär att kravet på etikprövning enligt denna lag omfattar all personuppgiftsbehandling för forsk- ningsändamål av de angivna kategorierna av personuppgifter. Till- lämpningsområdet är således i detta fall mer omfattande än vad som framgår av de angivna kategorierna av personuppgifter om lag- överträdelser m.m. i artikel 10 i dataskyddsförordningen och om- fattar även personuppgiftsbehandling som utförs av myndigheter.

Bestämmelsen har behandlats i avsnitt 14.4.5.

446

SOU 2017:50

Författningskommentar

18.3Förslaget till lag om ändring av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

2 §

Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.

Paragrafen anger lagens tillämpningsområde.

Andra stycket i paragrafen, som innehållsmässigt motsvarar artikel 2.1 i dataskyddsförordningen, har strukits för att undvika dubbelreglering.

Bestämmelsen har behandlats i avsnitt 15.3.3.

Förhållandet till annan dataskyddsreglering

3 §

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (all- män dataskyddsförordning), nedan kallad dataskyddsförordningen.

I paragrafen anges att lagen innehåller bestämmelser som kom- pletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behand- ling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av den föreslagna dataskyddslagen kompletterande be- stämmelser för behandling av personuppgifter i vissa register för forskning om vad arv och miljö betyder för människors hälsa.

447

Författningskommentar

SOU 2017:50

Rubriken före denna paragraf ändras även så att hänvisningen till personuppgiftslagen byts ut mot den bredare beteckningen ”annan dataskyddsreglering”.

Bestämmelsen har behandlats i avsnitt 15.3.3.

3 a §

Lagen (2018:XX) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen) gäller vid behandling av person- uppgifter enligt denna lag, om inte annat följer av denna lag eller före- skrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

Paragrafen, som är ny, anger lagens förhållande till dataskydds- lagen. Dataskyddslagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan. Bestäm- melsen innebär att om denna lag innehåller bestämmelser som av- viker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

Bestämmelsen har behandlats i avsnitt 15.3.3.

12 §

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål.

Paragrafen innehåller bestämmelser om gallring. Terminologin har anpassats till dataskyddsförordningen genom att ”historiska, statis- tiska eller vetenskapliga ändamål” bytts ut mot ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.

Bestämmelsen har behandlats i avsnitt 15.3.3.

448

SOU 2017:50

Författningskommentar

14 §

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter be- handlas enligt denna lag.

Utöver vad som framgår av artiklarna 13 och 14 i dataskydds- förordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informerats om

1.att det är frivilligt att lämna uppgifter, medverka till upptag- ningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2.vilka uppgifter som får registreras enligt 9 §,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4.rätten till information enligt 15 § denna lag och artikel 15 i data- skyddsförordningen,

5.vilken myndighet som har tillsyn över att denna lag följs, och

6.rätten till skadestånd.

Bestämmelsen om samtycke och information har anpassats så att de punkter som har sin motsvarighet i dataskyddsförordningen tagits bort och det i bestämmelsen enbart anges vilken information vad som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Hänvisningen till 26 § personuppgifts- lagen har ersatts med en hänvisning till artikel 15 i dataskyddsför- ordningen.

Bestämmelsen har behandlats i avsnitt 15.3.3.

Radering av uppgifter

16 §

I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. En begäran om radering ska göras skriftligen hos den person- uppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar radering av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.

449

Författningskommentar

SOU 2017:50

Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes radera uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd radering även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem raderade.

Bestämmelsen om utplåning av uppgifter har anpassats till data- skyddsförordningen på så sätt att första meningen i paragrafen er- satts med en inledande upplysning om att det i artikel 17 i dataskydds- förordningen finns bestämmelser om rätt till radering. En språklig anpassning har också skett genom att begreppet utplåna genom- gående ersatts med begreppet radera. I övrigt har bestämmelsen innehållsmässigt behållits. Rubriken före denna paragraf ändras även så att begreppet utplåning ersätts med radering.

Bestämmelsen har behandlats i avsnitt 15.3.3.

18.4Förslaget till lag om ändring av lagen (1999:353) om rättspsykiatriskt forskningsregister

Förhållandet till annan dataskyddsreglering

2 §

Vid behandling av personuppgifter för det rättspsykiatriska forsk- ningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

I paragrafen anges att lagen innehåller bestämmelser som kom- pletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behand-

450

SOU 2017:50

Författningskommentar

ling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av den föreslagna dataskyddslagen kompletterande be- stämmelser för behandling av personuppgifter för det rättspsykia- triska forskningsregistret.

Bestämmelsen har behandlats i avsnitt 15.4.3.

2 a §

Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen) gäller vid behandling av person- uppgifter för det rättspsykiatriska forskningsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s data- skyddsförordning.

Paragrafen, som är ny, anger lagens förhållande till dataskydds- lagen. Dataskyddslagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan. Be- stämmelsen innebär att om denna lag innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

Bestämmelsen har behandlats i avsnitt 15.4.3

12 §

När personuppgifter i ett mål första gången registreras i det rätts- psykiatriska forskningsregistret ska Rättsmedicinalverket lämna den registrerade information om behandlingen.

Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om

1.de sekretess- och säkerhetsbestämmelser som gäller för behand- lingen,

2.bestämmelserna i dataskyddsförordningen och dataskyddslagen om den registrerades rätt till skadestånd, samt

3.de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

451

Författningskommentar

SOU 2017:50

Bestämmelsen som reglerar vilken information som ska lämnas till den registrerade har anpassats till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen har tagits bort och det i bestämmelsen enbart anges vilken informa- tion som ska lämnas utöver vad som framgår av artikel 14 i data- skyddsförordningen, som blir direkt tillämplig när dataskydds- förordningen träder i kraft. Hänvisningen till personuppgiftslagen har ersatts med en hänvisning till dataskyddsförordningen och data- skyddslagen.

Bestämmelsen har behandlats i avsnitt 15.4.3.

452

Bilaga 1

Kommittédirektiv 2016:65

Personuppgiftsbehandling för forskningsändamål

Beslut vid regeringssammanträde den 7 juli 2016

Sammanfattning

Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå an- passningar och kompletterande författningsbestämmelser på gene- rell svensk nivå. En särskild utredare får nu i uppdrag att föreslå en kompletterande reglering av behandling av personuppgifter för forsk- ningsändamål. Syftet är att regleringen ska möjliggöra en ändamåls- enlig behandling av personuppgifter för forskningsändamål sam- tidigt som den skyddar den enskildes fri- och rättigheter.

Utredaren ska bl.a.

analysera vilken reglering av personuppgiftsbehandling för forsk- ningsändamål som är möjlig och kan behövas utöver den gene- rella reglering som Dataskyddsutredningen kommer att föreslå,

analysera vilka anpassningar av lagen (2003:460) om etikpröv- ning av forskning som avser människor som behöver göras,

i ett första skede analysera vilka anpassningar som behöver göras av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister inför att dataskyddsför- ordningen ska börja tillämpas och i ett andra skede föreslå lång- siktiga regleringar av forskningsdatabaser, och

lämna de författningsförslag som behövs.

453

Bilaga 1

SOU 2017:50

Uppdragen i de två första punkterna och uppdraget att analysera vilka anpassningar som behöver göras av de i tredje punkten nämnda lagarna inför att dataskyddsförordningen ska börja tilläm- pas och förslag till behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Uppdraget i övrigt ska slut- redovisas senast den 8 december 2017.

Nuvarande regleringar av betydelse för behandling av personuppgifter för forskningsändamål

EU:s dataskyddsdirektiv och personuppgiftslagen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestäm- melserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

PUL följer i princip dataskyddsdirektivets struktur och inne- håller i likhet med direktivet bestämmelser om bl.a. personupp- giftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Ett av de grundläggande kraven för behandling av personuppgifter är enligt 10 § d PUL att personuppgifter inte får behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in. En viktig princip som framgår av andra stycket i denna paragraf är emellertid att behandling av personuppgifter för historiska, statis- tiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in.

PUL är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska

454

SOU 2017:50

Bilaga 1

tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning.

Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling

Enligt regeringsformen (RF) är var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.

Etikprövningslagen och dess förhållande till personuppgiftslagen

För forskning som utförs i Sverige och som avser människor krävs normalt etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen inne- håller bestämmelser om etikprövning av forskning som avser män- niskor och biologiskt material från människor och om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda män- niskan och respekten för människovärdet vid forskning (1 §). Etik- prövningslagen ska tillämpas på forskning som innefattar behand- ling av känsliga personuppgifter enligt 13 § PUL och personupp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan- den enligt 21 § PUL (3 §). Lagen ska därutöver tillämpas bl.a. på forskning som avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa och forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medi- cinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Den forskning som lagen omfattar får utföras bara om den har godkänts vid en etikprövning. Forskning får godkännas bara om de risker som den kan medföra för försökspersonernas hälsa, säkerhet och personliga integritet uppvägs av dess vetenskap- liga värde (9 §). Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

455

Bilaga 1

SOU 2017:50

I samband med att etikprövningslagen trädde i kraft 1 januari 2004 anpassades regleringen av behandling av känsliga personupp- gifter för forskningsändamål i PUL till regleringen i etikprövnings- lagen. Enligt 19 § PUL får känsliga personuppgifter, t.ex. uppgifter som rör hälsa, behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. Detsamma gäller enligt 21 § upp- gifter om lagöverträdelser och liknande uppgifter. En behandling av personuppgifter som inte omfattas av nämnda bestämmelser kräver således inte något godkännande enligt etikprövningslagen, men be- stämmelserna i PUL gäller för behandlingen.

EU:s dataskyddsförordning

Europaparlamentet och rådet har under våren 2016 antagit en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (all- män dataskyddsförordning). Förordningen, nedan kallad data- skyddsförordningen, ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare har- monisera och effektivisera skyddet för personuppgifter för att för- bättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämp- lig i medlemsstaterna. Den både förutsätter och möjliggör kom- pletterande nationella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.

Dataskyddsförordningen kommer att utgöra grunden för gene- rell personuppgiftsbehandling inom EU. Genom förordningen upphävs det nu gällande dataskyddsdirektivet med verkan från den 25 maj 2018, vilket innebär bl.a. att PUL måste upphävas.

En särskild utredare fick den 25 februari 2016 regeringens (Justitie- departementets) uppdrag att bl.a. föreslå de anpassningar och kom- pletterande författningsbestämmelser på generell svensk nivå som

456

SOU 2017:50

Bilaga 1

dataskyddsförordningen ger anledning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella person- uppgiftsregleringen (dir. 2016:15). Utredningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs be- handling av personuppgifter och överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utredningens uppdrag att analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen samt analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektors- specifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.

Uppdraget att undersöka vilken nationell kompletterande reglering av behandling av personuppgifter

för forskningsändamål som kan behövas

Vissa bestämmelser i dataskyddsförordningen berör särskilt förut- sättningarna för att behandla personuppgifter för bl.a. vetenskap- liga eller historiska forskningsändamål. Artikel 5 med principer för behandling av personuppgifter, artikel 6 om när behandling av per- sonuppgifter är laglig, artikel 9 med reglering av behandling av särskilda kategorier av personuppgifter, artikel 12–20 om den regi- strerades rättigheter och artikel 89 med särskilda bestämmelser för behandling av personuppgifter för bl.a. vetenskapliga eller histo- riska forskningsändamål är särskilt viktiga.

Med behandling av personuppgifter för forskningsändamål avses nedan behandling av personuppgifter för vetenskapliga eller histo- riska forskningsändamål, vilka är de begrepp som används i data- skyddsförordningen.

457

Bilaga 1

SOU 2017:50

Vilken särskild rättslig reglering behövs för personuppgiftsbehandling för forskningsändamål?

När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter för forskningsändamål huvud- sakligen att vara antingen att den registrerade har lämnat sitt sam- tycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål enligt artikel 6.1(a) eller att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1(e).

När det gäller samtycke kan det behöva analyseras vilka slutsatser som bör dras av det som anges i beaktandesats 43 i dataskydds- förordningen. Där anges att för att säkerställa att ett samtycke lämnas frivilligt bör det inte utgöra giltig rättslig grund för behand- ling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansva- rige, särskilt om den personuppgiftsansvarige är en offentlig myndig- het och det därför är osannolikt att samtycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Artikel 6.2 ger medlemsländerna rätt att i nationell rätt behålla eller införa specifika bestämmelser för att anpassa tillämpningen av bestämmelserna för att efterleva bl.a. artikel 6.1(e), dvs. den bestäm- melse som anger att personuppgifter får behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Medlemsländerna får närmare fastställa specifika krav för uppgifts- behandlingen och andra åtgärder för att säkerställa en laglig och rätt- vis behandling, bl.a. för behandling av personuppgifter för forsk- ningsändamål.

Enligt artikel 6.3 ska grunden för den behandling av personupp- gifter som avses i bl.a. artikel 6.1 (e) fastställas i unionsrätten eller en medlemsstats nationella rätt. Denna rättsliga grund kan inne- hålla särskilda bestämmelser för att anpassa tillämpningen av be- stämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling av uppgifter, vilken typ av uppgifter som ska behandlas, berörda registrerade, till vilka uppgifterna får lämnas ut och för vilka ända- mål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillför- säkra en laglig och rättvis behandling, däribland för behandling i

458

SOU 2017:50

Bilaga 1

andra särskilda situationer vid behandling enligt kapitel IX (bl.a. forskningsändamål). Den nationella lagstiftningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I dag sker behandling av personuppgifter för forskningsändamål med stöd av bestämmelser i PUL. När personuppgifter behandlas för forskningsändamål sker det normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d i PUL. Denna paragraf i PUL motsvaras av artikel 6.1(e) i dataskyddsförordningen. Artikel 6.3 anger att grun- den för behandling av personuppgifter enligt bl.a. 6.1(e) ska fast- ställs i unionsrätten eller en medlemsstats nationella rätt. Data- skyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och lämna behövliga och lämpliga författningsförslag. När det gäller behandling av person- uppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samti- digt som den registrerades fri- och rättigheter skyddas.

Utredaren ska därför

undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att före- slå, och

lämna de författningsförslag som behövs.

Vilket behov av skyddsåtgärder finns vid personbehandling för forskningsändamål?

I och med att dataskyddsförordningen träder i kraft kommer ett krav på att behandling av personuppgifter för bl.a. forsknings- ändamål ska omfattas av lämpliga skyddsåtgärder för den registre- rades fri- och rättigheter att gälla enligt artikel 89.1. Skyddsåtgär-

459

Bilaga 1

SOU 2017:50

derna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, dvs. be- handling av personuppgifter på ett sätt som innebär att personupp- gifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ända- målen med behandlingen kan uppfyllas på det sättet. När dessa ända- mål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Det krävs därför en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgif- ter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan exempelvis vara etik- prövning eller organisatoriska eller tekniska åtgärder såsom pseudo- nymisering eller användning av kodnycklar.

Det finns anledning att i detta sammanhang överväga om etik- prövning av forskning liksom i dag enbart ska tillämpas på forsk- ning som innefattar behandling av sådana personuppgifter som om- fattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av person- uppgifter för forskningsändamål. Om etikprövning även fortsätt- ningsvis ska göras enbart när forskningen innefattar sådana person- uppgifter som omfattas av ett särskilda skyddsregler i förhållande till andra personuppgifter i dataskyddsregleringen, behöver det övervägas om andra lämpliga skyddsåtgärder ska tillämpas när det är fråga om behandling av andra personuppgifter för forsknings- ändamål. Utredarens ställningstagande i dessa frågor kan medföra behov av ändringar i etikprövningslagen. Ett alternativ är att reglera frågorna i en annan författning som kompletterar bestämmelserna i dataskyddsförordningen och den nationella reglering på nationell nivå som Dataskyddsutredningen ska föreslå.

Det behöver också analyseras vilka andra ändringar som behöver göras i etikprövningslagen med anledning av dataskyddsförord- ningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.

460

SOU 2017:50

Bilaga 1

Utredaren ska därför

lämna förslag på sådana lämpliga skyddsåtgärder för den regi- strerades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av,

överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forsk- ningsändamål av sådana personuppgifter som inte omfattas av etikprövningslagen,

se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den gene- rella reglering Dataskyddsutredningen ska föreslå, och

lämna behövliga författningsförslag.

Närmare om känsliga personuppgifter och uppgifter om lagöverträdelser

Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används begreppet känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Förbudet är förenat med en rad viktiga undan- tag som fastställs i artikel 9.2–9.5. Enligt artikel 9.2 (j) i dataskydds- förordningen gäller inte förbudet mot behandling av dessa särskilda kategorier av personuppgifter om behandlingen är nödvändig för arkivändamål av allmänt intresse eller för vetenskapliga och histo- riska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 på grundval av unionslagstiftning eller en medlemsstats lagstiftning. Denna lagstiftning ska stå i proportion till det efter- strävade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda

461

Bilaga 1

SOU 2017:50

åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen.

Som nämnts tidigare finns det i PUL vissa undantagsbestämmel- ser från förbudet mot att behandla känsliga personuppgifter. Enligt 13 § PUL får känsliga personuppgifter behandlas om den registre- rade har lämnat sitt samtycke och enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för forskningsändamål om be- handlingen godkänts enligt etikprövningslagen. I direktiven för Dataskyddsutredningen konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lag- stiftning men att utgångspunkten bör vara att det även i fortsätt- ningen kommer att behövas vissa bestämmelser i den generella regler- ingen om undantag från förbudet att behandla känsliga personupp- gifter av det slag som i dag finns i PUL. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.

Även behandling av personuppgifter om lagöverträdelser och liknande uppgifter, som idag regleras i 21 § PUL, kommer enligt art. 10 i dataskyddsförordningen att vara föremål för särskilda be- gränsningar. Enligt den artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Dataskyddsutredningen har i uppdrag att anlysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.

Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och lik- nande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etik-

462

SOU 2017:50

Bilaga 1

prövning eller organisatoriska eller tekniska åtgärder såsom pseudo- nymisering eller användning av kodnycklar.

Utredaren ska därför

analysera om det, utöver den generella reglering som Dataskydds- utredningen kommer att föreslå och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och upp- gifter om lagöverträdelser och liknande uppgifter för forsknings- ändamål och vilka bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättig- heter och intressen en sådan reglering bör innehålla, och

lämna de författningsförslag som behövs.

Bör det göras undantag från huvudreglerna om den registrerades rättigheter för personuppgiftsbehandling för forskningsändamål?

Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i dataskyddsförordningen i unionslagstiftningen eller medlemsstat- ernas lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för att så- dana lämpliga skyddsåtgärder tillämpas som behandling av person- uppgifter för dessa ändamål ska omfattas av enligt första punkten i artikeln. De nämnda artiklarna handlar om den registrerades rätt till tillgång till uppgift om personuppgifter som rör honom eller henne och som behandlas, rätt till rättelse av personuppgifter, rätt till be- gränsning av behandling av personuppgifter och rätt att göra invänd- ning mot behandling av personuppgifter. Undantag får bara göras i den utsträckning det är sannolikt att de aktuella rättigheterna skulle göra det omöjligt eller mycket svårare att uppfylla de särskilda ända- målen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

I direktiven till Dataskyddsutredningen konstateras att behovet av undantag med stöd av artikel 89.2 (vilken i ett utkast till data- skyddsförordningen och i direktiven till Dataskyddsutredningen numrerades 83.2) i stor utsträckning aktualiseras i sektorsspecifik lagstiftning. Samtidigt framhålls att en ändamålsenlig behandling av personuppgifter för bl.a. vetenskapliga och historiska forsknings-

463

Bilaga 1

SOU 2017:50

ändamål behöver garanteras, samtidigt som skyddet för den regi- strerades fri- och rättigheter beaktas. Utgångspunkten bör enligt direktiven vara att vissa grundläggande bestämmelser, liknande de som finns i personuppgiftslagen, behöver tas in i den generella regleringen som ska komplettera dataskyddsförordningen. Data- skyddsutredningen ska därför analysera vilka övriga komplette- rande bestämmelser om behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål som bör finnas i den generella regleringen och lämna lämpliga författningsförslag.

Det är av stor vikt att bestämmelserna som reglerar behandling av personuppgifter för vetenskapliga eller historiska forsknings- ändamål ger goda förutsättningar för behandling av personuppgif- ter för dessa ändamål, samtidigt som behovet av skydd för den regi- strerades fri- och rättigheter beaktas för att upprätthålla förtroen- det för integritetsskyddet i samband med forskning bland dem som ställer upp och deltar i forskningsprojekt. Det behöver mot denna bakgrund analyseras om det utöver den generella reglering på nationell nivå som Dataskyddsutredningen ska föreslå finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av per- sonuppgifter för vetenskapliga eller historiska forskningsändamål och hur sådana undantag i så fall bör utformas.

Utredaren ska därför

analysera om det utöver den generella reglering som Dataskydds- utredningen ska föreslå finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas, och

lämna de författningsförslag som behövs.

Uppdraget att föreslå regleringar för forskningsdatabaser

Det behövs bättre förutsättningar för registerbaserad forskning

En särskild utredare fick i januari 2013 i uppdrag att undersöka för- utsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert

464

SOU 2017:50

Bilaga 1

sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Vid utformningen av förslagen skulle utredaren göra en avvägning mellan forskningens behov av tillgång till uppgifter och den enskildes rätt till personlig integritet. Utredningen tog sig namnet Registerforskningsutred- ningen (U 2013:01).

I betänkandet Unik kunskap genom registerforskning (SOU 2014:45) konstaterar utredaren att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Bland dessa kan nämnas lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa. Dessutom finns det inom vissa myndigheter, t.ex. Institutet för arbetsmark- nads- och utbildningspolitisk utvärdering och Statistiska Central- byrån, några databaser som helt eller delvis används för forskning. Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige.

I betänkandet lämnade utredaren ett förslag till lag om forsk- ningsdatabaser. Lagen ska ge stöd för statliga universitet eller hög- skolor som omfattas av högskolelagen (1992:1434) och andra stat- liga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Med forsk- ningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser och för varje databas ska det finnas en särskild förordning som reglerar t.ex. ändamål och innehåll. Utredningens betänkande har remitterats.

Lagen om vissa register för forskning om vad arv och miljö be- tyder för människors hälsa tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i av- vaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutred- ningen. Efter förlängning gäller lagen till och med den 31 december

465

Bilaga 1

SOU 2017:50

2017. I och med att ny lagreglering med anledning av förevarande utredningsarbete inte kommer att kunna vara på plats till nämnda datum har regeringen för avsikt att lämna förslag om ytterligare förlängning av lagens giltighetstid.

En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av om förslaget till lag om forskningsdatabaser är förenligt med dataskyddsförordningen och vilka anpassningar av förslaget som kan krävas till förordningen och den generella reglering som Dataskyddsutredningen ska föreslå.

När det gäller registerforskning är beaktandesats 33 i dataskydds- förordningen av intresse. I denna beaktandesats, som infördes med svenskt stöd, konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för veten- skapliga forskningsändamål i samband med insamlingen av uppgifter. Den registrerade bör därför kunna ge sitt samtycke till vissa områ- den för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas, behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Data- skyddsutredningen kommer att föreslå, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till dess att dataskyddsförordningen ska börja tillämpas.

Utredaren ska därför

föreslå behövliga anpassningar i lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen ska börja tillämpas, och

föreslå långsiktiga regleringar av forskningsdatabaser.

466

SOU 2017:50

Bilaga 1

Lagen om rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utveck- lingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykia- triskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om sär- skild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras.

Endast RMV får ha direktåtkomst till uppgifter i det rätts- psykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till regist- ret. I offentlighets- och sekretesslagen (2009:400) finns bestämmel- ser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §). I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av per- sonuppgifter, m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten fram- hålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registre- ras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.

I den proposition som ligger till grund för lagen om rättspsykia- triskt forskningsregister uttalade regeringen att behovet av forsk- nings- och utvecklingsarbete inom rättspsykiatrin är stort. Reger- ingen konstaterade att det behövs ökade kunskaper om bl.a. effek- terna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är outforskade och kräver grundläggande forskning (prop. 1998/99:72 s. 26 f.).

För att genomföra sådan angelägen forskning på området krävs tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt innehåller rättspsykiatriskt forsknings-

467

Bilaga 1

SOU 2017:50

register uppgifter av mycket integritetskänslig natur och forsk- ningsbehoven måste hela tiden vägas mot respekten för den enskil- des personliga integritet. En utgångspunkt måste vara att endast de uppgifter som är nödvändiga bör få förekomma i ett sådant register och att de endast bör få användas i ett sammanhang som har ett verkligt samhällsintresse.

Med anledning av att dataskyddsförordningen blir direkt tillämp- lig i medlemsstaterna måste en sådan reglering som det bedöms finnas behov av också vara anpassad till dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kom- mer att föreslå. Då det är kort tid till dess att dataskyddsförord- ningen ska börja tillämpas och någon generell reglering av forsk- ningsdatabaser inte kommer att kunna vara på plats då dataskydds- förordningen börjar tillämpas behöver det i ett första skede analy- seras vilka anpassningar till dataskyddsförordningen och den gene- rella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras av lagen om rättspsykiatriskt forskningsregister till dess att dataskyddsförordningen ska börja tillämpas.

Utredaren ska därför

undersöka hur lagen om rättspsykiatriskt forskningsregister an- vänds i dag,

föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas,

analysera om det långsiktigt finns ett behov av en särskild regler- ing av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och

lämna behövliga författningsförslag.

En lag om Nationella biobanksregistret

Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (bio- bankslagen) trädde i kraft 2003. Lagen tillkom för att, med respekt för den enskilda människans integritet, reglera hanteringen av human- biologiskt material som tagits från framför allt patienter inom hälso- och sjukvården. Socialstyrelsen har påpekat att biobankslagen är svår att tillämpa och att lagen har lett till ökad administration i den

468

SOU 2017:50

Bilaga 1

kliniska hälso- och sjukvården. Regeringen har beslutat att bio- bankslagen ska bli föremål för en genomgripande översyn. Utred- ningen En ändamålsenlig reglering för biobanker (S 2016:04) har bl.a. i uppdrag att se över biobankslagen och andra angränsande författningar som har betydelse på området. Syftet med utredningen är att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgif- ter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov.

Enligt biobankslagen är en biobank biologiskt material (s.k. vävnadsprover) från en eller flera människor som samlas och beva- ras tills vidare eller för en bestämd tid och vars ursprung kan här- ledas till den eller de människor från vilka materialet härrör. De personuppgifter som är kopplade till vävnadsproverna i en biobank ingår inte i begreppet biobank och omfattas som huvudregel inte av lagen. Regleringen i denna del finns främst i PUL och i patientdata- lagen (2008:355).

Svenska biobanksregistret är landstingens gemensamma register över sparade vävnadsprover tagna inom vården. Registret som sedan 2009 förvaltas av ett landstingsägt bolag är fortfarande i en upp- byggnadsfas. Syftet med registret är att underlätta administration såsom hantering av provgivares samtycken och spårbarhet av prover. För att skapa ett nationellt register som kan nyttjas för de tänkta syftena krävs särskild rättslig reglering.

I Registerforskningsutredningens betänkande föreslogs att Social- styrelsen ska vara personuppgiftsansvarig för Svenska biobanks- registret och att det ska regleras i en särskild lag, lagen om Natio- nella biobanksregistret. Lagförslaget innehåller bl.a. bestämmelser om förhållandet till PUL, den registrerades inställning till person- uppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den registrerade. Enligt förslaget ska det vara frivilligt för vård- givare att lämna uppgifter till registret, men ett krav på registrering bör införas på sikt. Vidare föreslog utredaren att det bör finnas en möjlighet för andra huvudmän än vårdgivare att registrera sina upp- gifter i det nationella registret.

Utredningen bedömde dock att frågan om hur ett krav på upp- giftslämnande för vårdgivare och frågan om de närmare förutsätt- ningarna för att andra biobanker ska kunna registrera uppgifter i

469

Bilaga 1

SOU 2017:50

registret behöver utredas närmare. Dessa frågor ingår i uppdraget för utredningen En ändamålsenlig reglering för biobanker (S 2016:04).

En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av vilka anpassningar av förslaget som kan krävas till dataskyddsförordningen och den kom- pletterande generella reglering som Dataskyddsutredningen ska före- slå.

Utredaren ska därför

lämna förslag till en reglering av Nationella biobanksregistret.

Uppdraget att analysera om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning

Etikprövningslagen blir i vissa fall tillämplig när forskningen rör avlidna personer. Lagen är bl.a. tillämplig på forskning som innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Då uppgif- ter om avlidna personer behandlas för forskningsändamål kan forskningen i vissa fall behöva prövas enligt etikprövningslagen. Enligt 3 § PUL avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt PUL. Om sådana uppgifter direkt eller indirekt kan hänföras till levande personer är dock PUL tillämplig. Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlems- staterna får enligt förordningen fastställa bestämmelser för behand- lingen av uppgifter om avlidna personer.

I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna, exempelvis patientdatalagen (2008:355) och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I den tidigare nämnda rapporten från RMV anser myndigheten att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Det kan därför vara lämp- ligt att närmare undersöka om vissa uppgifter om avlidna behöver

470

SOU 2017:50

Bilaga 1

ett särskilt skydd när uppgifterna behandlas inom ramen för foren- sisk forskning.

Utredaren ska

kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,

analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och

vid behov föreslå de författningsändringar som behövs.

Uppdraget att se över förfarandereglerna i etikprövningslagen

I Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45) föreslogs en möjlighet till enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndig- hetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. Dessa skulle enligt förslaget kunna behandlas betydligt enklare eftersom risken för intrång i den enskildes integritet vid denna typ av person- uppgiftsbehandling är liten. Det föreslogs att sådana ärendena skulle kunna avgöras av ordföranden ensam utan att behandlas av hela avdelningen. En variant av förslaget skulle kunna vara att ord- föranden skulle kunna avgöra sådana ärendena med s.k. pseudo- nymiserade personuppgifter i samråd med vetenskaplig ledamot.

Som tidigare nämnts ska utredaren överväga om etikprövning av forskning bör utvidgas till att gälla all forskning som innefattar be- handling av personuppgifter. Om utredaren föreslår en utvidgning av etikprövningslagen ska det också beaktas att en sådan utvidgning ökar antalet ärenden hos etikprövningsnämnderna. Det behöver då övervägas hur ärendehanteringen kan ske på ett effektivt sätt och om samma krav på prövningen behöver gälla i alla ärenden. I sam- band med ställningstagande till frågan om utökning av kravet på etikprövning behöver det därför också analyseras om ändringar behöver göras i bestämmelserna i etikprövningslagen som reglerar handläggningen av ärendena.

471

Bilaga 1

SOU 2017:50

Utredaren ska därför

analysera vilka anpassningar som kan behöva göras i de bestäm- melser i etikprövningslagen som reglerar handläggningen av ärendena,

överväga om det bör införas ett enklare förfarande vid etikpröv- ning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och

lämna de författningsförslag som behövs.

Konsekvensbeskrivningar

Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer av 14–15 a §§ kommittéförord- ningen (1998:1474) ska utredaren redovisa förslagens konsekvenser för den personliga integriteten.

Genomförandet av uppdraget

Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till data- skyddsförordningen. Utredaren ska därför hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att an- passa svensk rätt till reformen av EU:s dataskyddsregelverk, främst Dataskyddsutredningen (Ju 2016:04) och Utredningen om person- uppgiftsbehandling inom utbildningsområdet (U 2016:03).

Utredaren ska vidare hålla sig informerad om utredningen En ändamålsenlig reglering för biobanker (S 2016:04), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och Utredningen om en översyn av regelverken för forskningsetik och gränsområdet mellan klinisk forskning och hälso- och sjukvård (U 2016:45).

Under genomförandet av uppdraget ska utredaren, i den ut- sträckning som bedöms lämplig, inhämta upplysningar från Veten- skapsrådet, ett urval av universitet och högskolor, representanter för etikprövningsorganisationerna, RMV, Datainspektionen, SCB och andra relevanta myndigheter och organisationer som kan vara berörda av aktuella frågor.

472

SOU 2017:50

Bilaga 1

Redovisning av uppdraget

Uppdraget att analysera vilken reglering av personuppgiftsbehand- ling för forskningsändamål som kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, att analy- sera vilka anpassningar av etikprövningslagen som behöver göras och att lämna behövliga författningsförslag i dessa delar ska del- redovisas senast den 1 juni 2017. Detsamma gäller för uppdraget att föreslå behövliga anpassningar av lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförord- ningen ska börja tillämpas. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.

(Utbildningsdepartementet)

473

Bilaga 2

Kommittédirektiv 2017:29

Tilläggsdirektiv till

Forskningsdatautredningen (U 2016:04)

Beslut vid regeringssammanträde den 16 mars 2017

Utvidgning av och förlängd tid för uppdraget

Regeringen beslutade den 7 juli 2016 kommittédirektiv om uppdrag att bl.a. analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den gene- rella reglering som Dataskyddsutredningen kommer att föreslå med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).

Utredaren får nu dessutom i uppdrag att

analysera vilka rättsliga förutsättningar som finns i dataskydds- förordningen för behandling av personuppgifter i Kungl. biblio- tekets verksamhet, och

analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kom- mer att lämnas av Dataskyddsutredningen, för att personuppgif- ter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och

lämna de författningsförslag som behövs.

Uppdraget ska i den del som avser behandling av personuppgifter i Kungl. bibliotekets verksamhet redovisas i en promemoria senast den 13 oktober 2017. Uppdraget i den del som ska redovisas senast den 8 december 2017 förlängs och ska i stället redovisas senast den 27 april 2018.

475

Bilaga 2

SOU 2017:50

Rättsliga förutsättningar för Kungl. bibliotekets behandling av personuppgifter

Kungl. biblioteket är nationalbibliotek och arkiv för ljud och bild- dokument och rörliga bilder. Myndigheten ska enligt förordningen (2008:1421) med instruktion för Kungl. biblioteket bl.a. förvara, beskriva och tillhandahålla den svenska tryckproduktionen i dess helhet och dokument för elektronisk återgivning enligt 10 § första stycket i lagen (1993:1392) om pliktexemplar av dokument. I den lagen finns bestämmelser om skyldighet att lämna exemplar av dokument (pliktexemplar) till Kungl. biblioteket och vissa univer- sitetsbibliotek. Med dokument för elektronisk återgivning avses enligt lagen dokument som i fixerad form lagrar text, ljud eller bild och vars innehåll kan återges enbart med hjälp av elektroniskt hjälp- medel. I förordningen (2008:1420) om pliktexemplar av dokument finns närmare bestämmelser om bevarande och tillhandahållande av dokumenten och där framgår att dokumenten ska bevaras för fram- tiden.

Kungl. biblioteket ska även fullgöra de uppgifter som följer av lagen (2012:492) om pliktexemplar av elektroniskt material och för- ordningen (2012:866) om pliktexemplar av elektroniskt material. I lagen ges föreskrifter om skyldighet att lämna exemplar av elektroniskt material som har gjorts tillgängligt för allmänheten här i landet genom överföring via nätverk (pliktexemplar) till Kungl. biblioteket. Med elektroniskt material förstås enligt lagen en av- gränsad enhet av en elektronisk upptagning med text, ljud eller bild som har ett på förhand bestämt innehåll som är avsett att presen- teras vid varje användning. Av förordningen med kompletterande bestämmelser till lagen framgår att det elektroniska materialet ska bevaras för framtiden. Biblioteket ska inom sitt verksamhetsområde vara en resurs för forskning i rollen som främst humanistiskt och samhällsvetenskapligt forskningsbibliotek och främja den svenska forskningens kvalitet genom att tillhandahålla en effektiv forsknings- infrastruktur.

Det material som Kungl. bibilioteket har i uppgift att hantera innehåller en stor mängd personuppgifter. Myndigheten stöder i dag till stor del sin behandling av personuppgifter på undantaget för behandling av personuppgifter i ostrukturerat material enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen (1998:204),

476

SOU 2017:50

Bilaga 2

förkortad PUL. Genom PUL har Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet) genomförts i svensk rätt. Under våren 2016 beslutades inom EU en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). Den nya dataskyddsförordningen börjar gälla den 25 maj 2018 och kommer då att vara direkt tillämplig i medlems- staterna. Genom förordningen upphävs dataskyddsdirektivet, vilket bl.a. innebär att PUL kommer att upphävas. Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. I många fall är dessutom de personuppgifter som finns i bibliotek- ets samlingar av sådan art att de omfattas av artikel 9 i dataskydds- förordningen, dvs. det är fråga om känsliga personuppgifter där särskilda förutsättningar gäller enligt dataskyddsförordningen för att det ska vara lagligt att behandla uppgifterna. Kungl. bibliotekets verksamhet är av stort allmänt intresse och det är av vikt att en ändamålsenlig personuppgiftsbehandling kan ske i verksamheten även fortsättningsvis när dataskyddsförordningen börjar gälla samtidigt som den enskildes fri- och rättigheter skyddas.

Kungl. biblioteket har även en uppgift att med hjälp av automa- tiserad robotteknik samla in, bevara och tillhandahålla det natio- nella digitala kulturarvet i form av det svenska material som publi- ceras på internet. Detta regleras i förordningen (2002:287) om be- handling av personuppgifter i Kungl. bibliotekets digitala kultur- arvsprojekt. Enligt 3 § i förordningen gäller PUL vid behandling av personuppgifter i projektet om inte något annat följer av förord- ningen eller annars av 2 § PUL. Bestämmelserna om rättelse och skadestånd i PUL gäller vid behandling av personuppgifter enligt förordningen. Enligt förordningen får personuppgifter behandlas i projektet för att tillgodose behovet av forskning och information (5 §). Sådana känsliga personuppgifter som anges i 13 § PUL får behandlas i projektet bara om det är nödvändigt för att tillgodose ändamålen som anges i 5 § (6 §). När dataskyddsförordningen trä- der i kraft kommer som nämnts PUL att upphävas.

477

Bilaga 2

SOU 2017:50

Utredaren ska därför

analysera vilka rättsliga förutsättningar som finns i dataskydds- förordningen för behandling av personuppgifter i Kungl. biblio- tekets verksamhet, och

analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kom- mer att lämnas av Dataskyddsutredningen, för att personuppgif- ter ska kunna behandlas på ett ändamålsenligt sätt i myndig- hetens verksamhet samtidigt som den enskildes fri- och rättig- heter skyddas, och

lämna de författningsförslag som behövs.

Uppdraget ska i denna del redovisas i en promemoria senast den 13 oktober 2017.

Redovisning uppdraget

Utredningstiden förlängs när det gäller den del av uppdraget som ska redovisas senast den 8 december 2017. Uppdraget i denna del ska i stället redovisas senast den 27 april 2018.

(Utbildningsdepartementet)

478

Bilaga 3

Strukturerad begreppsgenomgång av Europaparlamentets och rådets förordning (EU) 2016/679 (allmän dataskyddsförordning)

Denna bilaga innehåller en genomgång av samtliga skäl och artiklar i dataskyddsförordningen (EU 2016/679) som har haft relevans för Forskningsdatautredningens arbete. Bilagan är uppdelad i tre delar:

”Ämnesindelning av bestämmelser”, där skäl och artiklar som nämner forskning eller annars är relevanta för vår utredning har inordnats i en hierarkisk sammanställning.

”Terminologi”, som går igenom några centrala termer (och varia- tioner på dessa) och hur de används genomgående i förordningen, i syfte att ringa in de begrepp som termerna används för.

”Relevanta skäl och artiklar”, som går igenom skäl och artiklar som nämner forskning eller annars är relevanta för utredningen, med kommentarer.

Ämnesindelning av bestämmelser

Observera att bilagans indelning i denna del – som i viss utsträck- ning men inte helt, följer förordningens struktur – endast tar upp skäl och artiklar med särskild relevans för utredningen. Det innebär att grundregeln på ett visst område ofta inte berörs, utan endast det undantag som finns för forskningsändamål eller liknande. Den här gjorda indelningen har sju huvudkategorier: tillämpningsområde, ändamål, principer, rättslig grund, registrerades rättigheter, sär- skilda kategorier av personuppgifter, skyddsåtgärder samt överför- ingar till tredje land.

479

Bilaga 3

SOU 2017:50

Förordningens tillämpningsområde

Ej tillämplig på grund av anonym information Skäl 26

Ej tillämplig på grund av aggregerade personuppgifter Skäl 162

Definition av personuppgift Artikel 4.1

Ändamål

Vetenskapliga forskningsändamål

Skäl 157 (får behandlas för forskningsändamål)

Skäl 159 (forskningsändamål bör ges en vid tolkning) Historiska forskningsändamål

Skäl 160 Statistiska ändamål

Skäl 162 (statistiska resultat för forskningsändamål)

Principer

Ändamålsbegränsning Forskningsundantaget från denna

Skäl 33

Skäl 50 Artikel 5.1 b

Lagringsminimering

Längre lagning för forskningsändamål Artikel 5.1 e

Rättslig grund för personuppgiftsbehandling

Samtycke

Som rättslig grund Skäl 33 Artikel 6.1 a

Ej rättslig grund vid betydande ojämlikhet Skäl 43

Samtycke till deltagande i kliniska prövningar Skäl 161

Allmänt intresse Artikel 6.1 e

Ändamålsavvägning

Artikel 6.1 f (ej längre tillämpligt på myndigheter)

480

SOU 2017:50

Bilaga 3

Registrerades rättigheter

Undantag från registrerades rättigheter

Artikel 89.2 (För vetenskapliga/historiska forskningsändamål) Information till den registrerade

Artikel 14.5 b (Undantag för forskningsändamål) Rätt till radering

Artikel 17.3 d (Undantag för forskningsändamål) Rätt till information

Skäl 62 (Undantag för forskningsändamål) Rätten att bli glömd

Skäl 65 (Undantag för forskningsändamål)

Särskilda kategorier av personuppgifter (Känsliga personuppgifter)

Nationella undantag från förbudet att behandla Skäl 52

Skäl 53

Skyddsåtgärder

Allmänt för vetenskapliga eller historiska forskningsändamål

Skäl 156

Artikel 89.1

Tekniska

Pseudonymisering

Skäl 26

Artikel 4.5

Överföringar till tredje land

Vetenskapliga eller historiska forskningsändamål Skäl 113

481

Bilaga 3

SOU 2017:50

Terminologi

Allmänt intresse i förhållande till viktigt allmänt intresse

”Allmänt intresse” definieras inte i dataskyddsförordningen eller det nuvarande dataskyddsdirektivet (95/46/EG) och har inte heller preciserats av EU-domstolen.

”Viktigt allmänt intresse” används endast i artikel 9.2 g, tillåtlig- hetsgrund för särskilda kategorier av personuppgifter, och artikel 17.3 c rätt till radering (”rätten att bli bortglömd”), undantag från plikten att den personuppgiftsansvarige ska underrätta andra person- uppgiftsansvariga om begäran av radering. Begreppet definieras inte närmare.

Ett antal skäl och artiklar använder dock snarlika formuleringar:

Skäl 19 använder ” särskilda viktiga intressen, däribland allmän säkerhet samt …” vilket ger medlemsstaterna möjlighet att i lag begränsa skyldigheter och rättigheter vid privata organs behand- ling av personuppgifter.

Skäl 46 använder ”viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade” som i samband med behandling av personuppgifter som är av avgörande bety- delse för liv.

Skäl 50 använder ”i synnerhet viktiga mål av allmänt intresse” som skäl för att, med grund i unionsrätten eller nationell rätt, avvika från finalitetsprincipen.

Skäl 73 använder ”unionens eller en medlemsstats övriga viktiga mål av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse” som grund för bestämmelser om att be- gränsa rätten till information, tillgång till och rättelse eller rader- ing av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut samt information till den registrerade om personuppgiftsincidenter m.m.

Artikel 23.1 e använder ”unionens eller en medlemsstats viktiga mål av generellt allmänt intresse” som möjligt skäl att begränsa tillämpningsområdet för skyldigheter och rättigheter.

Artikel 49.5 använder ”hänsyn till viktiga allmänintressen” som skäl för att uttryckligen fastställa gränser för överföringen av

482

SOU 2017:50

Bilaga 3

specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation (jfr även skäl 111, 112).

Jämför även skäl 34 till det nuvarande dataskyddsdirektivet som säger att, när det av hänsyn till viktiga allmänna intressen är nöd- vändigt, medlemsstaterna måste kunna avvika från förbudet att behandla känsliga kategorier av uppgifter ”på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i sam- band med ansökningar om förmåner och tjänster inom sjukför- säkringssystemet, i samband med vetenskaplig forskning och i sam- band med offentlig statistik” (vår kursivering).

Forskningsändamål och närliggande ändamål

Förordningens användning av forskningsbegreppet sker ofta i form av fasta (och ganska otympliga) uttryck i stil med ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. De flesta av dessa uttryck kan enkelt ord- nas i en ”del av”-relation, dvs. att begreppet ”vetenskapliga forsk- ningsändamål” utgör en delmängd av ”vetenskapliga eller historiska forskningsändamål”. I sammanhanget bör nämnas att språktolk- ningen spelar in – såväl ”research” som ”scientific” kan ha annan innebörd än sina svenska översättningar. I engelskan har man bibe- hållet distinktionen mellan konst och vetenskap (”arts and science”) på sådant sätt att båda betraktas som delar av vetenskapen, ”scientific” skulle då möjligen kunna hänföras enbart till ”science” (naturveten- skap och medicin). I vart fall bör den uppdelning som finns i ut- trycket ”vetenskapliga eller historiska forskningsändamål” inte tolkas så att historisk forskning inte skulle vara vetenskaplig. Se vidare avsnitt 3.4.4.

483

Bilaga 3

SOU 2017:50

Ordnat från minst specifik till mest kan förordningens begrepps- användning ställas upp enligt följande:

Arkivändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål

Skäl 50, 52, 53, 62, 65, 156

Art 5.1 b, 5.1 e, 9.2 j, 14.5 b, 17.3 d, 89.1

Vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

Skäl 26, 113

Art 21.6, 89.2

Vetenskapliga eller historiska forskningsändamål

Vetenskapliga forskningsändamål

Skäl 33, 157, 159, 161, 162

Historiska forskningsändamål: Skäl 160

Statistiska ändamål: Skäl 162

Arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

Skäl 50: Behandling bör anses förenlig med det ursprungliga ändamålet.

Skäl 52 och 53: Föreskrivna undantag från förbudet att behandla särskilda kategorier av personuppgifter.

Skäl 62: Undantag från skyldighet att tillhandahålla information om det krävs orimliga ansträngningar.

Skäl 65: Möjlighet att lagra personuppgifter i strid med rätten att bli bortglömd.

Skäl 156: Krav på lämpliga skyddsåtgärder.

Artikel 5.1 b: ”Forskningsundantaget” till ändamålsbegränsningen.

Artikel 5.1 e: Undantag från principen om lagringsminimering.

484

SOU 2017:50

Bilaga 3

Artikel 9.2 j: Undantag från förbudet att behandla särskilda kategorier av personuppgifter.

Artikel 14.5 b: Undantag från informationsplikten.

Artikel 17.3 d: Undantag från rätten att bli bortglömd.

Artikel 89.1: Behandling ska omfattas av lämpliga skyddsåtgärder.

Vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

Skäl 26: Behandling av anonym information – observera: använ- der varianten ”statistiska ändamål eller forskningsändamål”.

Skäl 113: Överföringar, med hänsyn till samhällets legitima för- väntningar i fråga om ökad kunskap.

Artikel 21.6: Rätt att göra invändningar föreligger om behand- lingen inte är nödvändig för att utföra en uppgift av allmänt intresse.

Artikel 89.2: Får föreskrivas undantag från rättigheter i artikel 15, 16, 18 och 21 med förbehåll för villkor och skyddsåtgärder en- ligt artikel 89.1.

Statistiska ändamål

Skäl 162: Unionsrätten eller nationell rätt bör fastställa statis- tiskt innehåll m.m. samt lämpliga åtgärder till skydd för den registrerades rättigheter.

Historiska forskningsändamål

Skäl 160: Förordningen bör gälla behandling för detta ändamål, med beaktande av att den inte gäller avlidna.

485

Bilaga 3 SOU 2017:50

Vetenskapliga forskningsändamål

Skäl 33: ”Forskningsundantaget” till ändamålsbegränsningen (jfr artikel 5.1, som utvidgar detta undantag till att gälla arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål).

Skäl 157: Tillåten behandling för att underlätta vetenskaplig forsk- ning).

Skäl 159: Behandling av personuppgifter för vetenskapliga forsk- ningsändamål ska ges en vid tolkning.

Skäl 161: Samtycke till deltagande i inom ramen för kliniska prövningar – observera: använder varianten ”vetenskaplig forsk- ning”.

Skyddsåtgärder samt tekniska och organisatoriska åtgärder till skydd för den registrerade

Det förekommer ett antal olika termer i förordningen som alla på ett eller annat sätt syftar till skydd för den registrerade enligt för- ordningens principer. Vanligast är ”skyddsåtgärd” samt ”teknisk eller organisatorisk åtgärd”. Ibland finns varianter, som ”teknisk skyddsåtgärd”. Ibland framgår det att med ”skyddsåtgärd” kan av- ses exempelvis kryptering eller pseudonymisering, begrepp som på andra ställen benämns ”teknisk eller organisatorisk skyddsåtgärd”.

I nedanstående går vi igenom förekomster av dessa termer i syfte att ge en översikt över begreppsanvändningen i skälen samt artiklarna. För varje term anges även inom parantes den vanligaste motsvarigheten i den engelska översättningen. Här kan särskilt uppmärksammas att termen ”skyddsåtgärd”, när den används fri- stående, vanligen översätts med ”safeguard”, medan ”åtgärd” över- sätts med ”measure”. När ”skyddsåtgärd” används som en del av en större term (såsom ”tekniska och organisatoriska skyddsåtgärder”) översätts den dock med ”protection measure”.

486

SOU 2017:50

Bilaga 3

Skyddsåtgärd (”safeguard”)

Skäl 38: Barns personuppgifter förtjänar extra skydd eftersom barn kan vara mindre medvetna om bl.a. skyddsåtgärder.

Skäl 39: Personer bör göras medvetna om risker, regler, skydds- åtgärder och rättigheter i samband med behandlingen av person- uppgifter.

Skäl 42: Skyddsåtgärder som säkerställer att de registrerade för- står att samtycke ges.

Skäl 50: För att fastställa om ytterligare behandling är förenlig bör bl.a. förekomsten av lämpliga skyddsåtgärder beaktas.

Skäl 52: Undantag från förbudet om känsliga personuppgifter kräver bl.a. lämpliga skyddsåtgärder för personuppgifter och övriga grundläggande rättigheter.

Skäl 56: Politiska partier får samla in uppgifter om politisk upp- fattning i samband med val om nödvändigt och lämpligas skydds- åtgärder fastställts.

Skäl 62: Det är inte nödvändigt att informera den registrerade om det skulle medföra orimliga ansträngningar, i detta avseende bör bl.a. lämpliga skyddsåtgärder beaktas.

Skäl 71: Automatiserat beslutsfattande bör under alla omständig- heter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklar- ing till det beslut som fattas efter sådan bedömning och att över- klaga beslutet.

Skäl 90: Inför högriskbehandlingar bör konsekvensbedömning göras, innefattande skyddsåtgärder för att minska risk, säkerställa personuppgiftsskyddet samt visa att förordningen efterlevs.

Skäl 94: Om det vid konsekvensbedömning framgår att en be- handling utan skyddsåtgärder innebär hög risk, men risken inte kan begränsas med rimliga åtgärder (”cannot be mitigated by reasonable means”) bör samråd med tillsynsmyndighet ske.

487

Bilaga 3

SOU 2017:50

Skäl 102: Förordningen påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av person- uppgifter, däribland lämpliga skyddsåtgärder för de registrerade.

Skäl 107: Lämpliga skyddsåtgärder, inbegripet bindande företags- bestämmelser och undantag för särskilda situationer, kan göra tredjelandsöverföringar tillåtna även om landet inte längre säker- ställer adekvat dataskyddsnivå.

Skäl 108: Saknas beslut om adekvat dataskyddsnivå i tredjeland kan lämpliga skyddsåtgärder kompensera, dessa kan bestå i kan bestå i tillämpning av bindande företagsbestämmelser, standard- bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av en tillsyns- myndighet eller avtalsbestämmelser som godkänts av en tillsyns- myndighet.

Skäl 109: Ytterligare bestämmelser eller skyddsåtgärder kan an- vändas av personuppgiftsansvariga i avtal, så länge som de inte är i strid med antagna standardavtalsklausuler.

Skäl 110: En koncern bör kunna använda sig av godkända bin- dande företagsbestämmelser för sina internationella överföringar om företagsbestämmelserna bl.a. säkerställer lämpliga skydds- åtgärder för överföringar.

Skäl 114: Om det saknas beslut om adekvat dataskyddsnivå i ett tredjeland bör de registrerade ändå ges rättigheter så att bl.a. skyddsåtgärder gäller i förhållande till dem.

Skäl 112: Tillsynsmyndigheten bör bl.a. främja allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättig- heter när det gäller behandlingen av personuppgifter.

Skäl 156: Behandling för bl.a. forskningsändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, som bör säkerställa att tekniska och organisatoriska åtgärder har införts.

Skäl 157: För att underlätta vetenskaplig forskning får person- uppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder.

488

SOU 2017:50

Bilaga 3

Artikel 6.4 e: För att fastställa om behandling för andra ändamål är förenlig med ursprungsändamålet ska bl.a. beaktas förekoms- ten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 9.2 Flertal omnämnanden rörande rätt att behandla käns- liga uppgifter, bl.a. (b) nödvändig behandling inom arbetsrätt m.m. i omfattning som är tillåten enligt bl.a. nationell rätt som fastställer lämpliga skyddsåtgärder, (d) lämpliga skyddsåtgärder för behandlingar inom icke vinstdrivande organ, (h) behandling inom förebyggande hälso- och sjukvård m.m. på grundval av bl.a. nationell rätt under förutsättning att skyddsåtgärder enligt 9.3 är uppfyllda.

Artikel 10: Behandling av uppgifter om lagöverträdelser under kontroll av annan än myndighet tillåten enligt bl.a. nationell rätt som fastställer lämpliga skyddsåtgärder för de registrerades rättig- heter.

Artikel 13.1 f: Om personuppgifter samlas in från den registre- rade ska information lämnas om bl.a. när uppgifter avses över- föras till tredjeland och om hänvisning till lämpliga eller pass- ande skyddsåtgärder och hur en kopia av dem kan erhållas.

Artikel 14: Om personuppgifter inte har erhållits från den regi- strerade ska information lämnas om bl.a., när uppgifter avses överföras till tredjeland, ska informeras om bl.a. hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas.

Artikel 15: Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlig- het med artikel 46 har vidtagits vid överföringen.

Artikel 23: Lagstiftningsåtgärder som begränsar tillämpnings- området för artikel 12–22 och 34 ska innehålla bl.a. bestämmel- ser om skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring samt bestämmelser om lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandling- ens art, omfattning och ändamål eller kategorierna av behand- ling.

489

Bilaga 3

SOU 2017:50

Artikel 25: Den personuppgiftsansvarige ska genomföra lämp- liga tekniska och organisatoriska åtgärder vilka är utformade för bl.a. integrering av de nödvändiga skyddsåtgärderna i behand- lingen.

Artikel 30.1 e och 30.2 c: Register över personuppgiftsbehand- ling ska innehålla dokumentation av lämpliga skyddsåtgärder vid tredjelandsöverföring enligt artikel 49.1 andra stycket.

Artikel 35.7 d: Vid högriskbehandlingar ska en konsekvens- bedömning innehålla bl.a. de åtgärder som planeras för att han- tera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna.

Artikel 41.4: Ett organ som är ackrediterat för att övervaka efterlevnaden av en uppförandekod ska, med förbehåll för till- räckliga skyddsåtgärder, vidta lämpliga åtgärder i fall av en person- uppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse av uppförandekoden.

Artikel 46: I avsaknad av ett beslut från kommissionen om ade- kvat skyddsnivå i ett tredjeland, får en personuppgiftsansvarig endast överföra personuppgifter dit efter att ha vidtagit lämpliga skyddsåtgärder (exempel på sådana anges i punkt 2 och 3), och på villkor att lagstadgade rättigheter för registrerade och effek- tiva rättsmedel för registrerade finns tillgängliga.

Artikel 49: Om villkor för överföring i avsaknad av ett beslut från kommissionen om adekvat skyddsnivå i ett tredjeland, eller av lämpliga skyddsåtgärder enligt artikel 46 inte är uppfyllda, kan enligt andra stycket under vissa specifika omständigheter, bl.a. personuppgiftsansvariges tvingande berättigade intressen och vidtagna lämpliga skyddsåtgärder, en överföring ändå ske.

Artikel 50: Kommissionen och tillsynsmyndigheterna ska vidta lämpliga åtgärder för att bl.a. erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen, bland annat med iakttag- ande av lämpliga skyddsåtgärder.

Artikel 57: Varje tillsynsmyndighet ska öka allmänhetens med- vetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling.

490

SOU 2017:50

Bilaga 3

Artikel 58.4: Utövandet av de befogenheter som tillsynsmyndig- heten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäker- het, som fastställs i unionsrätten och i medlemsstaternas natio- nella rätt i enlighet med stadgan.

Artikel 87: Ett nationellt identifikationsnummer ska endast an- vändas med iakttagande av lämpliga skyddsåtgärder för de regi- strerades rättigheter och friheter enligt denna förordning.

Artikel 89.1: Behandling för bl.a. forskningsändamål ska om- fattas av lämpliga skyddsåtgärder för den registrerades rättig- heter och friheter, som ska säkerställa att tekniska och organisa- toriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.

Artikel 89.2: Föreskrivna undantag från rättigheter i artiklarna 15, 16, 18 och 21 är med förbehåll för de villkor och skydds- åtgärder som avses i artikel 89.1.

Lämpliga och särskilda åtgärder för att säkerställa

(”suitable and specific measures to safeguard”)

Med uttrycket ”åtgärder för att säkerställa” torde inte något annat avses än vad som på andra ställen i förordningen avses med ut- trycket ”åtgärder för att skydda” eller ”skyddsåtgärder”. Särskilt den engelska översättningen, som använder ”measures to safeguard” genomgående, talar för detta.

Artikel 9.2 g: Nödvändig behandling för ett viktigt allmänt intresse på grundval av bl.a. nationell rätt som innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registre- rades rättigheter.

Artikel 9.2 j: Nödvändig behandling för bl.a. forskningsändamål på grundval av bl.a. nationell rätt som innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den regi- strerades rättigheter.

491

Bilaga 3

SOU 2017:50

Tekniska och organisatoriska åtgärder (”technical and organisational measures”)

Skäl 29: För att skapa incitament för tillämpning av pseudonymi- sering bör åtgärder för pseudonymisering som samtidigt medger en allmän analys vara möjliga när nödvändiga tekniska och orga- nisatoriska åtgärder genonförts.

Skäl 71: Den personuppgiftsansvarige bör bl.a. använda adekvata matematiska eller statistiska förfaranden för profilering och genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras.

Skäl 78: Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls.

Skäl 81: Den personuppgiftsansvarige ska endast använda person- uppgiftsbiträden som ger tillräckliga garantier för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning.

Skäl 156: Behandling för bl.a. forskningsändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, som bör säkerställa att tekniska och organisatoriska åtgärder har införts.

Artikel 4.5: Vid pseudonymisering ska de kompletterande upp- gifterna förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Artikel 5.1 e: Personuppgifter får lagras under längre perioder om de enbart behandlas för bl.a. forskningsändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs.

Artikel 5.1 f: Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med använd- ning av lämpliga tekniska eller organisatoriska åtgärder.

492

SOU 2017:50

Bilaga 3

Artikel 24: Den personuppgiftsansvarige ska genomföra lämp- liga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förord- ning.

Artikel 25: Den personuppgiftsansvarige ska genomföra lämp- liga tekniska och organisatoriska åtgärder vilka är utformade för bl.a. integrering av de nödvändiga skyddsåtgärderna i behand- lingen.

Artikel 28.1, 28.3 e, 28.4: Endast personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder ska anlitas, och personuppgifts- biträdesavtalet ska föreskriva att biträdet ska hjälpa den person- uppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt.

Artikel 32: Den personuppgiftsansvarige och personuppgifts- biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Artikel 83.2 d: Vid beslut om huruvida administrativa sanktions- avgifter ska påföras m.m. ska vederbörlig hänsyn tas till bl.a. graden av ansvar hos den personuppgiftsansvarige eller person- uppgiftsbiträdet med beaktande av de tekniska och organisato- riska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

Artikel 89.1: Behandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, som ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgifts- minimering iakttas.

Tekniska skyddsåtgärder och organisatoriska åtgärder (”technological protection and organisational measures”)

Skäl 87: Alla lämpliga tekniska skyddsåtgärder och organisato- riska åtgärder ska vidtas för att fastställa om en personuppgifts- incident ägt rum.

493

Bilaga 3

SOU 2017:50

Tekniska skyddsåtgärder (”technical protection measures”)

Skäl 88: Vid anmälan av personuppgiftsincident bör vederbörlig hänsyn tas till bl.a. om personuppgifterna var skyddade av lämp- liga tekniska skyddsåtgärder som begränsar sannolikheten för missbruk.

Tekniska och organisatoriska skyddsåtgärder (”technical and organisational protection measures”)

Artikel 34.3 a: Information till den registrerade vid en person- uppgiftsincident krävs inte om lämpliga tekniska och organisa- toriska skyddsåtgärder tillämpats på de påverkade personuppgif- terna, i synnerhet sådana som ska göra uppgifterna oläsbara för obehöriga personer, såsom kryptering.

Tekniska och organisatoriska säkerhetsåtgärder:

(”technical and organisational security measures”)

Artikel 30.1 g: Varje personuppgiftsansvarige ska föra ett register över behandling som utförts under dess ansvar. Vid sådana tredjelandsöverföringar som avses i artikel 49.1 andra stycket ska detta register innehålla dokumentation av lämpliga skydds- åtgärder.

Artikel 30.2 d: Varje personuppgiftsbiträde ska föra register över bl.a., om möjligt, en allmän beskrivning av de tekniska och orga- nisatoriska säkerhetsåtgärder som avses i artikel 32.1.

494

SOU 2017:50

Bilaga 3

Relevanta skäl och artiklar

Dataskyddsförordningen är likt andra unionsrättsliga rättsakter upp- delad i en ingress (”preamble”) och en artikeldel (”enacting terms”).1

Ingressen är i sin del uppdelad i beaktandeled, som innehåller hän- visningar till rättsaktens rättsliga grund och de förslag och yttranden som inhämtats enligt bestämmelserna i fördragen, respektive skäl. I skälen motiveras de viktigaste bestämmelserna i artiklarna. Endast artikeldelen utgör bindande text.

I det nedanstående återges de skäl och artiklar, eller delar därav, som antingen uttryckligen berör forskning eller av andra anled- ningar är centrala för utredningens arbete. Ordningen är bestämd av förordningens ordning, dvs. att framställningen inleds med de icke-bindande, förklarande skälen, för att sedan gå över till de bind- ande artiklarna.

Kursiveringarna är våra och markerar de delar av texten som sär- skilt knyter an till forskning.

Skäl

(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identi- fiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig tek- nik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym informa- tion, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifier- bar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

1 Jfr generellt SB PM 2014:3 s. 22 ff.

495

Bilaga 3

SOU 2017:50

Skälet erinrar om att information för forskningsändamål kan vara anonymiserad, och att förordningen då inte längre är tillämplig.

I sammanhanget är det viktigt att skilja på anonymisering och pseudonymisering. Det är först när den registrerade verkligen inte är identifierbar som det är fråga om sådan anonymisering som gör att förordningen inte längre är tillämplig. Se vidare om dessa be- grepp kapitel 12.

(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en be- handling av personuppgifter för vetenskapliga forskningsändamål i sam- band med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när veder- tagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forsknings- områden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Skälet avser den mindre strikta tillämpningen av ändamålsbegräns- ningen (jfr artikel 5.1 b) som gäller för vetenskapliga (men inte historiska) forskningsändamål som gör det möjligt att samtycka till personuppgiftsbehandling för vissa områden för vetenskaplig forsk- ning. Vad gäller ”vedertagna etiska standarder” finns förstås anled- ning för utredningen att uppmärksamma den svenska regleringen med etikprövning samt dess motsvarigheter i andra medlemsstater.

(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte med- ger att separata samtycken lämnas för olika behandlingar av person- uppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst

– är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

Skälet nämns särskilt i utredningens direktiv (dir. 2016:65 s. 6) som något som bör analyseras. För att utreda fortsatta möjligheter att samla in forskningsdata är det av stor vikt för forskningens del att analysera samtycke som rättslig grund för personuppgiftsbehand- ling i olika forskningssammanhang.

496

SOU 2017:50

Bilaga 3

(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är för- enligt med de ändamål för vilka personuppgifterna ursprungligen sam- lades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgifts- ansvarige har fått i uppgift att utföra, kan unionsrätten eller medlems- staternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgifts- ansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behand- lingen, det sammanhang inom vilket personuppgifterna insamlats, sär- skilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Jämför skäl 33.

(52) Undantag från förbudet att behandla särskilda kategorier av person- uppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i med- lemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälso- ändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårds- tjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller för- svar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfar- ande eller inom ett administrativt eller ett utomrättsligt förfarande.

497

Bilaga 3

SOU 2017:50

En uppräkning av situationer när bl.a. nationell rätt kan få göra undantag från förbudet att behandla särskilda kategorier av (”käns- liga”) personuppgifter.

(53) Särskilda kategorier av personuppgifter som förtjänar ett mer om- fattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och sam- hället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet be- handling som utförs av förvaltningen och centrala nationella hälso- vårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjuk- vård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av person- uppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behand- lingen av uppgifterna utförs för vissa hälsorelaterade syften av perso- ner som enligt lag är underkastade yrkesmässig tystnadsplikt. Unions- rätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana upp- gifter.

(62) Det är dock inte nödvändigt att införa någon skyldighet att till- handahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registre- rade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skydds- åtgärder beaktas.

Undantag från informationsplikten (jfr artikel 14, särskilt 14.5 b).

498

SOU 2017:50

Bilaga 3

(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt be- handlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättig- het är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informations- frihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fast- ställande, utövande eller försvar av rättsliga anspråk.

Skälets sista mening väcker frågan om det finns ett undantag från rätten till radering (den s.k. ”rätten att bli bortglömd”) om ett så- dant undantag krävs för att uppfylla forskningsändamålet. Notera att rätten till radering (artikel 17) inte är bland de rättigheter för vilka det får föreskrivas undantag från för forskningsändamål enligt artikel 89.2, men att artikel 17.3 d däremot innehåller ett undantag från samma rättighet för bl.a. vetenskapliga eller historiska ändamål.

(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också vara möjliga när person- uppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgiftsansvarige har bedömt alla om- ständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungs- landet, tredjelandet och det slutliga bestämmelselandet och bör tillhanda- hålla lämpliga åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till överföring är tillämpligt. För vetenskapliga eller histo- riska forskningsändamål eller statistiska ändamål bör hänsyn tas till sam- hällets legitima förväntningar i fråga om ökad kunskap. Den person-

499

Bilaga 3

SOU 2017:50

uppgiftsansvarige bör informera tillsynsmyndigheten och den registre- rade om överföringen.

(156)Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t.ex. pseudonymisering av personuppgifter). Medlemsstaterna bör införa lämpliga skydds- åtgärder för behandlingen av personuppgifter för arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör på särskilda villkor med för- behåll för lämpliga skyddsåtgärder för de registrerade ha rätt att speci- ficera och göra undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd, rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgär- derna i fråga kan medföra att de registrerade måste följa särskilda för- faranden för att utöva dessa rättigheter, om det är lämpligt med hän- syn till den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet. Behandling av personuppgifter för vetenskapliga ända- mål bör även vara förenlig med annan relevant lagstiftning, exempelvis om kliniska prövningar.

(157)Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression.

På grundval av registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och andra livs- förhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ kunskap, som kan ligga till grund för ut- formningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig forskning får personuppgifter

500

SOU 2017:50

Bilaga 3

behandlas för vetenskapliga forskningsändamål, med förbehåll för lämp- liga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

Skälet beskriver värdet av register för forskningen och klargör att forskning utifrån sådana register är tillåtet inom förordningens ram. Det medför dock inte något generellt undantag för person- uppgiftsbehandling för forskningsändamål, utan sådan behandling måste alltjämt beakta de villkor som framgår av förordningen och övrig reglering.

(159) Om personuppgifter behandlas för vetenskapliga forsknings- ändamål, bör denna förordning också gälla denna behandling. Behand- ling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-för- draget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som ut- förs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av veten- skaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anled- ning till ytterligare åtgärder i den registrerades intresse, bör de all- männa reglerna i denna förordning tillämpas på dessa åtgärder.

Detta ger viss vägledning till begreppet ”vetenskapliga forsknings- ändamål”, men saknar samma sorts fokuserade beskrivning av vad forskning är som finns i exempelvis etikprövningslagen. Se vidare avsnitt 3.4.4.

(160) Om personuppgifter behandlas för historiska forskningsända- mål, bör denna förordning också gälla denna behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att denna förordning inte bör gälla för avlidna personer.

Att historiska och genealogiska ändamål nämns är troligen i syfte att skilja detta från privat släktforskning. Se vidare avsnitt 3.4.2.

(161) När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 tillämpas.

501

Bilaga 3

SOU 2017:50

(162) Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling. Unionsrätten eller medlemsstater- nas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säker- ställa insynsskydd för statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forsknings- ändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggrege- rade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysiskperson.

Detta skäl framstår främst som en definition av ”statistiska ända- mål”. Betydelsen för utredningen blir främst att ett resultat av en behandling för statistiska ändamål enligt definitionen inte består av personuppgifter.

Artiklar

Nedanstående bestämmelser är, till skillnad från skälen, normativa, dvs. bindande.

Artikel 4 Definitioner

I denna förordning avses med

1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifika- torer eller en eller flera faktorer som är specifika för den fysiska perso- nens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, […]

5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förut- sättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person, […]

13. genetiska uppgifter: alla personuppgifter som rör nedärvda eller för- värvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga,

502

SOU 2017:50

Bilaga 3

Artikel 4.1 och 4.5 i kombination är viktiga för gränsdragningen av dataskyddsförordningens tillämpningsområde och innebär att person- uppgifter är pseudonymiserade om de är återidentifierbara. Pseudo- nymiserad innebär, enligt förordningens definition, att den infor- mation som krävs för återidentifiering förvaras på annan plats.

Artikel 5 Principer för behandling av personuppgifter

1. Vid behandling av personuppgifter ska följande gälla: […]

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). […]

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ända- mål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behand- las för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgär- der som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

Denna ändamålsbegränsning med ”forskningsundantag” är central för utredningen. Motsvarande bestämmelse finns även i det nuvar- ande dataskyddsdirektivet.

Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den regi- strerade är part eller för att vidta åtgärder på begäran av den registre- rade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning.

503

Bilaga 3

SOU 2017:50

För forskning är framför allt punkt a och e i ovanstående aktuella. För privaträttsliga forskningsaktörer kan även punkt f (nedan) vara aktuell. Vad gäller punkt a framgår utifrån såväl skäl 33 som skäl 43 samt även artikel 5.1 b att samtycke som rättslig grund för person- uppgiftsbehandling i forskningssammanhang kräver en djupare analys. Punkt e behöver analyseras utifrån artikel 6.3 i relation till artikel 6.2.

f) Behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registre- rade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offent- liga myndigheter när de fullgör sina uppgifter.

Att myndigheter, när de fullgör sina uppgifter, inte längre kan tillämpa intresseavvägning som rättslig grund ens i de fall där en sådan avvägning uppenbart väger över för den personuppgifts- ansvarige eller tredje parts intresse skulle kunna leda till ökade önskemål om författningsreglering (för att omfattas av 6.1 e) eller inhämtande av samtycken (för att omfattas av 6.1 a). Vad gäller möjligheten att inhämta giltiga samtycken bör dock skäl 43, rör- ande situationer med betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, beaktas.

2.Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.Den grund för behandlingen som avses i punkt 1 c och e ska fast- ställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att ut- föra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av be- stämmelserna i denna förordning, bland annat: de allmänna villkor som

504

SOU 2017:50

Bilaga 3

ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ända- målsbegränsningar, lagringstid samt typer av behandling och förfaran- den för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situatio- ner enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den person- uppgiftsansvarige för att fastställa huruvida behandling för andra ända- mål är förenlig med det ändamål för vilket personuppgifterna ursprung- ligen samlades in bland annat beakta följande:

a)Kopplingar mellan de ändamål för vilka personuppgifterna har sam- lats in och ändamålen med den avsedda ytterligare behandlingen.

b)Det sammanhang inom vilket personuppgifterna har samlats in, sär- skilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida person- uppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d)Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa krypter- ing eller pseudonymisering.

Särskilt 6.1(a), 6.1(e), 6.2 och 6.3 framhålls i våra utredningsdirektiv (s. 6 f.).

Artikel 9 Behandling av särskilda kategorier av personuppgifter

1.Behandling av personuppgifter som avslöjar ras eller etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening och behandling av genetiska uppgifter, biomet- riska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller: […]

a) Den registrerade har uttryckligen lämnat sitt samtycke till behand- lingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskri- ver att förbudet i punkt 1 inte kan upphävas av den registrerade. […] g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt,

505

Bilaga 3

SOU 2017:50

vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla be- stämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. […]

i)Behandlingen är nödvändig av skäl av allmänt intresse på folkhälso- området, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produk- ter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

j)Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlems- staternas nationella rätt, vilken ska stå i proportion till det eftersträ- vade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen. […]

4. Medlemsstaterna får behålla eller införa ytterligare villkor, även be- gränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Artikel 9.2 (i) handlar om ett område som ibland överlappar med forskning (folkhälsa). Vad gäller artikel 9.4 kan uttrycket ”biomet- riska” ge upphov till särskilda tolkningsproblem. En vid tolkning av begreppet skulle kunna innebära att en stor mängd uppgifter som inte uppfattas som känsliga i det allmänna rättsmedvetandet skulle kunna inkluderas. Ett försök till avgränsning har gjorts i artikeln genom det fortsatta uttrycket ”för att ensidigt identifiera en fysisk person”.

Artikel 14 Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande infor- mation […]

5. Punkterna 1–4 ska inte tillämpas i följande fall och i den mån […] b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sanno- likt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgifts- ansvarige vidta lämpliga åtgärder för att skydda den registrerades

506

SOU 2017:50

Bilaga 3

rättigheter och friheter och berättigade intressen, inbegripet göra upp- gifterna tillgängliga för allmänheten,

Det är en viktig uppgift att skilja dels mellan forskningsdatabaser, dels grundregister samt att skilja mellan primärt insamlade forsk- ningsdata och sekundärt inhämtade data från andra källor. Lag- stiftaren förefaller ha tänkt på att uppgifter som inte insamlats pri- märt utan kommer från andra verksamheter (t ex biologisk prover som tas i hälso- och sjukvårdsverksamhet) ofta kan lämnas ut pseudo- nymiserade, och att en återidentifiering för att uppfylla denna infor- mationsplikt skulle innebära stora svårigheter och i sig innebära integritetsrisker.

Det stadgas på annat ställe (artikel 11.1) att den personuppgifts- ansvarige inte ska vara tvungen att återidentifieras den registrerade enbart för att tillfredsställa regler i förordningen. Detta är en tydlig hänvisning till att pseudonymiserade data inte behöver återidenti- fieras av t.ex. forskare enbart för att tillfredsställa de regler som finns i artiklarna 14–21.

Artikel 15 Den registrerades rätt till tillgång

1.Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a) Ändamålen med behandlingen.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgif- terna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som an- vänds för att fastställa denna period.

e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av be- handling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f) Rätten att inge klagomål till en tillsynsmyndighet.

g) Om personuppgifterna inte samlas in från den registrerade, all till- gänglig information om varifrån dessa uppgifter kommer.

h) Förekomsten av automatiserat beslutsfattande, inbegripet profiler- ing enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

2.Om personuppgifterna överförs till ett tredjeland eller till en inter- nationell organisation, ska den registrerade ha rätt till information om

507

Bilaga 3

SOU 2017:50

de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytter- ligare kopior som den registrerade begär får den personuppgiftsansva- rige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Artikel 16 Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17 Rätt till radering (”rätten att bli bortglömd”)

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den person- uppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller […]

3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behand- lingen är nödvändig av följande skäl:[…] d) För arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar upp- nåendet av syftet med den behandlingen.

Artikel 17.3 (d) undantar data som behöver sparas för forsknings- ändamål.

Artikel 18 Rätt till begränsning av behandling

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

a)Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.

b)Behandlingen är olaglig och den registrerade motsätter sig att person- uppgifterna raderas och i stället begär en begränsning av deras använd- ning.

c)Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

508

SOU 2017:50

Bilaga 3

d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges be- rättigade skäl väger tyngre än den registrerades berättigade skäl.

2. Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller för- svara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmän- intresse för unionen eller för en medlemsstat.

Notera att förordningen i artikel 89 ger utrymme för att göra undan- tag från rätten till begränsning av behandling samt anmälan om att några av de nämnda åtgärderna har vidtagits (jfr artikel 19, som dock i sig inte har särskild anknytning till forskningsändamål och därför inte är medtagen här).

Artikel 21 Rätt att göra invändningar

1. Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grun- dar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre be- handla personuppgifterna såvida denne inte kan påvisa tvingande berätti- gade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. [...]

6. Om personuppgifter behandlas för vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av person- uppgifter avseende honom eller henne om inte behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse.

Punkt 6 ska läsas i samband med artikel 89.2, som möjliggör undan- tag från denna rättighet

Artikel 32 Säkerhet i samband med behandlingen

1. Med beaktande av den senaste utvecklingen, genomförandekostna- derna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgär- der för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a)pseudonymisering och kryptering av personuppgifter,

b)förmågan att fortlöpande säkerställa konfidentialitet, integritet, till- gänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

509

Bilaga 3

SOU 2017:50

c)förmågan att återställa tillgängligheten och tillgången till person- uppgifter i rimlig tid vid en fysisk eller teknisk incident,

d)ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3. Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får an- vändas för att visa att kraven i punkt 1 i den här artikeln följs.

4. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets över- inseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unions- rätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Denna artikel, som tillhör den generella regleringen i förordningen, och inte är begränsad till forskningsändamål, utgör en utgångs- punkt för lämplighetsbedömning av tekniska och organisatoriska skyddsåtgärder. Den kan jämföras med artikel 17.1 i nuvarande dataskyddsdirektivet.

Artikel 89 Skyddsåtgärder och undantag för behandling för arkivända- mål av allmänt intresse, vetenskapliga eller historiska forskningsända- mål eller statistiska ändamål

1.Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den regi- strerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att sär- skilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbe- gripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger iden- tifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

2.Om personuppgifter behandlas för vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättig- heter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträck- ning som sådana rättigheter sannolikt kommer att göra det omöjligt

510

SOU 2017:50

Bilaga 3

eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. […]

4. Om behandling enligt punkterna 2 och 3 samtidigt har andra ända- mål, ska undantagen endast tillämpas på behandling för de ändamål som avses i dessa punkter.

Dessa artiklar är centrala för utredningens uppdrag eftersom de dels anger att hantering för bl.a. vetenskapliga eller historiska forsknings- ändamål måste kombineras med lämpliga skyddsåtgärder, dels anger att om så är fallet finns utrymme för att i bl.a. nationell rätt föreskriva undantag från vissa av de rättigheter som tillkommer registrerade (rätt till tillgång till den registrerades personuppgifter och informa- tion om behandling, rätt till rättelse, rätt till begränsning av behand- ling, samt rätt att göra invändningar). Notera även att undantag från andra rättigheter finns angivna direkt i förordningen och alltså inte kräver reglering i nationell rätt (artikel 17.3 d samt artikel 20.3).

511

Statens offentliga utredningar 2017

Kronologisk förteckning

1.För Sveriges landsbygder

en sammanhållen politik för arbete, hållbar tillväxt och välfärd. N.

2.Kraftsamling för framtidens energi. M.

3.Karens för statsråd och statssekreterare. Fi.

4.För en god och jämlik hälsa. En utveckling av det folkhälsopolitiska ramverket. S.

5.Svensk social trygghet i en globaliserad värld. Del 1 och 2. S.

6.Se barnet! Ju.

7.Straffprocessens ramar och domstolens beslutsunderlag

i brottmål – en bättre hantering av stora mål. Ju.

8.Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. M.

9.Det handlar om oss.

unga som varken arbetar eller studerar. U.

10.Ny ordning för att främja god sed och hantera oredlighet i forskning. U.

11.Vägskatt. Volym 1 och 2. Fi.

12.Att ta emot människor på flykt. Sverige hösten 2015. Ju.

13.Finansiering av infrastruktur med privat kapital? Fi.

14.Migrationsärenden

vid utlandsmyndigheterna. Ju.

15.Kvalitet och säkerhet

på apoteksmarknaden. S.

16.Sverige i Afghanistan 2002–2014. UD.

17.Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.

18.En nationell strategi för validering. U.

19.Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan

för unga arbetslösa. A.

20.Tillträde för nybörjare – ett öppnare och enklare system för tillträde till högskoleutbildning. U.

21.Läs mig! Nationell kvalitetsplan för vård och omsorg om äldre personer. Del 1 och 2. S.

22.Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. M.

23.digitalforvaltning.nu. Fi.

24.Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? A.

25.Samlad kunskap – stärkt handläggning. S.

26.Delningsekonomi. På användarnas villkor. Fi.

27.Vissa frågor inom fastighets- och stämpelskatteområdet. Fi.

28.Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. A.

29.Brottsdatalag. Ju

30.En omreglerad spelmarknad. Del 1 och 2. Fi.

31.Stärkt konsumentskydd

på bostadsrättsmarknaden. Ju.

32.Substitution i Centrum

stärkt konkurrenskraft med kemikaliesmarta­ lösningar. M.

33.Stärkt ställning för hyresgäster. Ju.

34.Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystem- tjänster, samtidigt som behovet av markexploatering tillgodoses. M.

35.Samling för skolan. Nationell strategi för kunskap och likvärdighet. U.

36.Informationssäkerhet för samhälls­ viktiga och digitala tjänster. Ju.

37.Kvalificerad välfärdsbrottslighet

förebygga, förhindra, upptäcka och beivra. Ju.

38.Kvalitet i välfärden – bättre upphandling och uppföljning. Fi.

39.Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds­ förordning. Ju.

40.För dig och för alla. S.

41.Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. Ju.

42.Vem har ansvaret? M.

43.På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörj- ningen. S.

44.Entreprenad, fjärrundervisning och distansundervisning. U.

45.Ny lag om företagshemligheter. Ju.

46.Stärkt ordning och säkerhet i domstol. Ju.

47.Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. S.

48.Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. S.

49.EU:s dataskyddsförordning och utbildningsområdet. U.

50.Personuppgiftsbehandling för forskningsändamål. U.

Statens offentliga utredningar 2017

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan för unga arbetslösa. [19]

Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? [24]

Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. [28]

Finansdepartementet

Karens för statsråd och statssekreterare. [3] Vägskatt. Volym 1 och 2. [11]

Finansiering av infrastruktur med privat kapital? [13]

digitalforvaltning.nu. [23]

Delningsekonomi. På användarnas villkor. [26]

Vissa frågor inom fastighets- och stämpel- skatteområdet. [27]

En omreglerad spelmarknad. Del 1 och 2. [30]

Kvalitet i välfärden – bättre upphandling och uppföljning. [38]

Justitiedepartementet

Se barnet! [6]

Straffprocessens ramar och domstolens beslutsunderlag i brottmål

– en bättre hantering av stora mål. [7]

Att ta emot människor på flykt. Sverige hösten 2015. [12]

Migrationsärenden

vid utlandsmyndigheterna.[14]

Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]

Brottsdatalag. [29]

Stärkt konsumentskydd

på bostadsrättsmarknaden. [31] Stärkt ställning för hyresgäster. [33]

Informationssäkerhet för samhällsviktiga och digitala tjänster. [36]

Kvalificerad välfärdsbrottslighet

– förebygga, förhindra, upptäcka och beivra. [37]

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds­ förordning. [39]

Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. [41]

Ny lag om företagshemligheter. [45] Stärkt ordning och säkerhet i domstol. [46]

Miljö- och energidepartementet

Kraftsamling för framtidens energi. [2]

Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. [8]

Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. [22]

Substitution i Centrum

– stärkt konkurrenskraft med kemikaliesmarta­ lösningar. [32]

Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystemtjänster, sam- tidigt som behovet av markexploatering tillgodoses. [34]

Vem har ansvaret? [42]

Näringsdepartementet

För Sveriges landsbygder

– en sammanhållen politik för

arbete, hållbar tillväxt och välfärd. [1]

Socialdepartementet

För en god och jämlik hälsa. En utveckling av det

folkhälsopolitiska ramverket. [4]

Svensk social trygghet i en globaliserad värld. Del 1 och 2.[5]

Kvalitet och säkerhet

på apoteksmarknaden. [15]

Läs mig! Nationell kvalitetsplan

för vård och omsorg om äldre personer. Del 1 och 2. [21]

Samlad kunskap – stärkt handläggning. [25] För dig och för alla. [40]

På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörjningen. [43]

Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. [47]

Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. [48]

Utbildningsdepartementet

Det handlar om oss.

– unga som varken arbetar eller studerar. [9]

Ny ordning för att främja god sed

och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]

Tillträde för nybörjare – ett öppnare och enklare system för tillträde till hög­ skoleutbildning. [20]

Samling för skolan.

Nationell strategi för kunskap och likvärdighet. [35]

Entreprenad, fjärrundervisning och distansundervisning. [44]

EU:s dataskyddsförordning och utbildningsområdet. [49]

Personuppgiftsbehandling

för forskningsändamål.[50]

Utrikesdepartementet

Sverige i Afghanistan 2002–2014. [16]