Dataskydd inom Socialdepartementets verksamhetsområde
– en anpassning till EU:s dataskyddsförordning
Betänkande av Socialdataskyddsutredningen
Stockholm 2017
SOU 2017:66
SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon:
Webbplats: wolterskluwer.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2017
ISBN
ISSN
Till statsrådet och chefen för Socialdepartementet
Genom beslut den 16 juni 2016 bemyndigade regeringen statsrådet Annika Strandhäll att tillkalla en särskild utredare med uppdrag att analysera konsekvenserna av EU:s s.k. dataskyddsförordning för behandlingen av personuppgifter inom Socialdepartementets verksam- hetsområde och föreslå författningsändringar till följd av dataskydds- förordningen. Från och med samma dag förordnade Annika Strandhäll ordföranden i Arbetsdomstolen Sören Öman som särskild utredare.
Som sakkunniga i utredningen förordnades den 19 september 2016 departementssekreteraren Niclas Fogelström (Socialdepartementet), ämnesrådet Jimmy Järvenpää (Socialdepartementet), kanslirådet tidigare departementssekreteraren Caroline Nilsson (Socialdeparte- mentet) och departementssekreteraren Annika Remaeus (Social- departementet). Som experter förordnades samma dag chefen Peter Andrén (Försäkringskassan), chefsjuristen Catarina Eklundh Ahlgren (Inspektionen för socialförsäkringen), chefsjuristen Anette Enberg (Myndigheten för familjerätt och föräldraskaps- stöd), biträdande chefsjuristen Bo Granath (Folkhälsomyndig- heten), juristen Ulrika Holfelt (Inspektionen för vård och omsorg), avdelningsdirektören Suzanne Isberg (Datainspektionen), juristen Ulrika Marusarz (Socialstyrelsen), stabschefen och chefsjuristen Karin Nylén (Myndigheten för vård- och omsorgsanalys) och juristen Anne Vilval (Pensionsmyndigheten).
Som sekreterare i utredningen har arbetat verksjuristen Hélène Runsten från och med den 8 augusti 2016 och hovrättsassessorn Jonna Wiborn från och med den 1 september 2016. Jur. stud. Ebba Hagelroth har kontrollerat hänvisningarna i betänkandet.
Utredningen (S 2016:05) har antagit namnet Socialdataskydds- utredningen.
Härmed får utredningen överlämna betänkandet Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning.
Utredningsarbetet fortsätter enligt tilläggsdirektiven dir. 2017:67.
Stockholm i augusti 2017
Sören Öman
/Hélène Runsten
Jonna Wiborn
Innehåll
Sammanfattning ................................................................ |
27 |
|
1 |
Författningsförslag..................................................... |
41 |
1.1 |
Förslag till lag om ändring i socialförsäkringsbalken ........... |
41 |
1.2Förslag till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för
Inspektionen för socialförsäkringen...................................... |
49 |
1.3Förslag till lag om ändring i lagen (1996:1156) om
receptregister........................................................................... |
52 |
1.4Förslag till lag om ändring i lagen (1998:543) om
hälsodataregister...................................................................... |
55 |
1.5Förslag till lag om ändring i lagen (2001:454) om
behandling av personuppgifter inom socialtjänsten ............. |
56 |
1.6Förslag till lag om ändring i lagen (2002:297) om
biobanker i hälso- och sjukvården m.m................................. |
59 |
1.7Förslag till lag om ändring i lagen (2005:258) om
läkemedelsförteckning............................................................ |
63 |
1.8Förslag till lag om ändring i lagen (2006:351) om
genetisk integritet m.m........................................................... |
66 |
1.9Förslag till lag om ändring i lagen (2006:496) om
blodsäkerhet ............................................................................ |
67 |
1.10 Förslag till lag om ändring i lagen (2006:1570) om |
|
skydd mot internationella hot mot människors hälsa .......... |
69 |
5
Innehåll |
SOU 2017:66 |
1.11 |
Förslag till lag om ändring i lagen (2008:286) om |
|
|
kvalitets- och säkerhetsnormer vid hantering av |
|
|
mänskliga vävnader och celler................................................ |
71 |
1.12 |
Förslag till lag om ändring i patientdatalagen |
|
|
(2008:355) ............................................................................... |
73 |
1.13 |
Förslag till lag om ändring i apoteksdatalagen |
|
|
(2009:367) ............................................................................... |
82 |
1.14 |
Förslag till lag om ändring i lagen (2010:111) om |
|
|
införande av socialförsäkringsbalken .................................... |
85 |
1.15 |
Förslag till lag om ändring i alkohollagen (2010:1622)........ |
87 |
1.16 |
Förslag till lag om ändring i lagen (2012:263) om |
|
|
kvalitets- och säkerhetsnormer vid hantering av |
|
|
mänskliga organ...................................................................... |
88 |
1.17 |
Förslag till lag om ändring i lagen (2012:453) om |
|
|
register över nationella vaccinationsprogram ....................... |
89 |
1.18Förslag till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för
läkemedel................................................................................. |
92 |
1.19Förslag till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att
lämna statistiska uppgifter ..................................................... |
95 |
1.20Förslag till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom
socialtjänsten........................................................................... |
96 |
1.21 Förslag till förordning om ändring i förordningen |
|
(2001:707) om patientregister hos Socialstyrelsen............... |
99 |
1.22Förslag till förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos
Socialstyrelsen....................................................................... |
101 |
1.23 Förslag till förordning om ändring i förordningen |
|
(2001:709) om cancerregister hos Socialstyrelsen.............. |
103 |
6
SOU 2017:66 |
Innehåll |
|
1.24 |
Förslag till förordning om ändring i förordningen |
|
|
(2003:766) om behandling av personuppgifter inom |
|
|
socialförsäkringens administration ...................................... |
105 |
1.25 |
Förslag till förordning om ändring i förordningen |
|
|
(2005:363) om läkemedelsregister hos Socialstyrelsen....... |
107 |
1.26Förslag till förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser
|
inom den kommunala hälso- och sjukvården...................... |
109 |
1.27 |
Förslag till förordning om ändring i förordningen |
|
|
(2006:196) om register över hälso- och |
|
|
sjukvårdspersonal.................................................................. |
111 |
1.28 |
Förslag till förordning om ändring i förordningen |
|
|
(2008:194) om tandhälsoregister hos Socialstyrelsen......... |
113 |
1.29 |
Förslag till förordning om ändring i förordningen |
|
|
(2009:1422) om behandling av personuppgifter i |
|
|
Statistiska centralbyråns verksamhet med framställning |
|
|
av statistik över kommunalt vårdnadsbidrag....................... |
115 |
1.30Förslag till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över
|
läkemedel som lämnats ut från apotek i Jämtlands län....... |
118 |
1.31 |
Förslag till förordning om ändring i förordningen |
|
|
(2011:306) om behandling av personuppgifter i |
|
|
Tandvårds- och läkemedelsförmånsverkets verksamhet |
|
|
i fråga om det statliga tandvårdsstödet................................ |
119 |
1.32 |
Förslag till förordning om ändring i förordningen |
|
|
(2013:413) om kosmetiska produkter ................................. |
121 |
1.33 |
Förslag till förordning om ändring i |
|
|
läkemedelsförordningen (2015:458).................................... |
123 |
1.34 |
Förslag till förordning om upphävande av förordningen |
|
|
(1994:565) om vårdnadsbidragsregister............................... |
125 |
1.35 |
Förslag till förordning om upphävande av förordningen |
|
|
(1998:156) med bemyndigande för Datainspektionen |
|
|
att meddela säkerhetsföreskrifter för |
|
|
socialförsäkringsregister....................................................... |
126 |
7
Innehåll |
SOU 2017:66 |
2 |
Utredningsarbetet och betänkandet ........................... |
127 |
|
2.1 |
Utredningsarbetet ................................................................ |
127 |
|
2.2 |
Betänkandets disposition ..................................................... |
128 |
|
BAKGRUND |
.................................................................... |
131 |
|
3 |
Kort om gällande rätt ............................................... |
133 |
|
3.1 |
Europarådet........................................................................... |
133 |
|
|
3.1.1 ............................................ |
Europakonventionen |
133 |
|
3.1.2 ..................................... |
Dataskyddskonventionen |
133 |
3.1.3Rekommendation om skyddet av
hälsouppgifter........................................................ |
135 |
3.1.4Rekommendation om skyddet av
|
personuppgifter som behandlas för ändamål |
|
|
rörande social trygghet ......................................... |
137 |
3.2 Dataskyddsdirektivet ........................................................... |
139 |
|
3.2.1 |
Inledning................................................................ |
139 |
3.2.2 |
Tillämpningsområde ............................................. |
140 |
3.2.3 |
Grundläggande krav och principer....................... |
140 |
3.2.4 |
Känsliga personuppgifter...................................... |
141 |
3.2.5 |
Rättigheter och skyldigheter ................................ |
142 |
3.2.6 |
Tillsynsmyndighet och anmälningsplikt.............. |
144 |
3.2.7När uppgifter behandlas i strid med
|
lagstiftningen......................................................... |
144 |
3.2.8 |
Överföring till tredjeland...................................... |
144 |
3.3 Personuppgiftslagen ............................................................. |
145 |
|
3.3.1 |
Tillämpningsområdet............................................ |
145 |
3.3.2 |
Hanteringsregler ................................................... |
146 |
3.3.3 |
Ostrukturerat material.......................................... |
149 |
3.4Registerförfattningar inom Socialdepartementets
verksamhetsområde.............................................................. |
149 |
|
3.4.1 |
Ett stort antal författningar.................................. |
149 |
3.4.2 |
Lagstiftning som reglerar en verksamhet ............ |
151 |
3.4.3Lagstiftning som reglerar ett register
eller en informationssamling ................................ |
153 |
8
SOU 2017:66 |
Innehåll |
3.4.4Lagstiftning som bland annat reglerar
|
|
behandling av personuppgifter ............................. |
154 |
|
3.4.5 |
Lagstiftning som reglerar uppgiftsskyldigheter... |
157 |
4 |
Dataskyddsförordningen ........................................... |
159 |
|
4.1 |
Inledning................................................................................ |
159 |
4.2Skillnaden mellan en
och ett |
160 |
|
4.3 Dataskyddsförordningens innehåll...................................... |
161 |
|
4.3.1 |
Materiell och territoriell avgränsning................... |
161 |
4.3.2 |
Definitioner ........................................................... |
162 |
4.3.3 |
Grundläggande principer ...................................... |
164 |
4.3.4 |
Laglig behandling av personuppgifter .................. |
164 |
4.3.5Känsliga personuppgifter och uppgifter om
|
lagöverträdelser...................................................... |
166 |
4.3.6 |
Den registrerades rättigheter ................................ |
168 |
4.3.7Personuppgiftsansvarigas och
|
|
personuppgiftsbiträdens skyldigheter.................. |
171 |
|
4.3.8 |
Dataskyddsombud................................................. |
172 |
|
4.3.9 |
Överföring av personuppgifter till tredjeland ..... |
173 |
|
4.3.10 |
Tillsynsmyndigheter.............................................. |
173 |
|
4.3.11 |
När uppgifter behandlas i strid med |
|
|
|
dataskyddsförordningen ....................................... |
174 |
|
4.3.12 |
Konkurrens med andra rättigheter ....................... |
175 |
|
4.3.13 |
Övrigt..................................................................... |
175 |
5 |
Pågående översynsarbete ......................................... |
177 |
|
5.1 |
Dataskyddsutredningen........................................................ |
177 |
|
5.2 |
Utredningen om 2016 års dataskyddsdirektiv .................... |
179 |
5.3Övrigt översynsarbete med anledning av
dataskyddsförordningen....................................................... |
180 |
5.4 Förslaget till myndighetsdatalag .......................................... |
181 |
9
Innehåll |
SOU 2017:66 |
GENERELLA ÖVERVÄGANDEN ......................................... |
183 |
|
6 |
Allmänna utgångspunkter ......................................... |
185 |
6.1Behandling som i dag är laglig ska kunna fortsätta men
författningsstöd för annat bör inte införas nu.................... |
185 |
6.2Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir
|
tydligare................................................................................. |
188 |
7 |
Konsekvenserna av att dataskyddsförordningen börjar |
|
|
tillämpas ................................................................ |
191 |
7.1 |
Inledning ............................................................................... |
191 |
7.2Personuppgifter kommer inte att kunna behandlas med
stöd av missbruksregeln ....................................................... |
192 |
7.3Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning
|
minskar.................................................................................. |
193 |
7.4 |
Rättslig grund för behandling av personuppgifter ............. |
194 |
7.5 |
Känsliga personuppgifter ..................................................... |
195 |
7.6Färre uppgifter omfattas av de begränsningar som gäller
|
för uppgifter om lagöverträdelser m.m................................. |
196 |
7.7 |
Utökade rättigheter för den registrerade............................ |
196 |
7.8 |
Personuppgiftsincidenter ska anmälas ................................ |
198 |
7.9 |
Konsekvensbedömning........................................................ |
198 |
7.10 |
Skyldighet att utse dataskyddsombud................................. |
198 |
7.11 |
Sanktioner ............................................................................. |
199 |
8 |
Verksamheter som inte har en registerförfattning......... |
201 |
10
SOU 2017:66 |
Innehåll |
|
9 |
Allmänt om befintliga bestämmelser ......................... |
203 |
9.1 |
Inledning................................................................................ |
203 |
9.2Det är tillåtet att begränsa myndigheters möjligheter till
behandling och utöka deras skyldigheter ............................ |
203 |
9.3Nationella bestämmelser för att anpassa tillämpningen
|
av bestämmelserna i dataskyddsförordningen .................... |
205 |
9.4 |
Registerförfattningarnas syfte.............................................. |
207 |
9.5 |
Registerförfattningarnas tillämpningsområde..................... |
208 |
9.6Registerförfattningarnas förhållande till annan
|
dataskyddsreglering .............................................................. |
210 |
|
9.7 |
Personuppgiftsansvar............................................................ |
213 |
|
9.8 |
Begreppet allmänt intresse ................................................... |
215 |
|
|
9.8.1 |
Bestämmelser om allmänt intresse i |
|
|
|
dataskyddsförordningen och |
|
|
|
dataskyddsdirektivet.............................................. |
215 |
|
9.8.2 |
Att bedriva verksamhet som ska finnas i |
|
|
|
enlighet med internationella rättighetsstadgor |
|
|
|
är ett viktigt allmänt intresse ................................ |
219 |
|
9.8.3 |
Redan gjorda bedömningar av allmänt intresse |
|
|
|
har alltjämt giltighet .............................................. |
221 |
9.9 |
Principer för behandling av personuppgifter ...................... |
222 |
|
9.10 |
Rättslig grund för behandling av personuppgifter.............. |
224 |
|
|
9.10.1 |
Laglig behandling av personuppgifter vid |
|
|
|
rättslig förpliktelse, allmänt intresse och |
|
|
|
myndighetsutövning.............................................. |
224 |
|
9.10.2 |
Samtycke som rättslig grund ................................ |
229 |
|
9.10.3 |
Finalitetsprincipen................................................. |
232 |
9.11 |
Känsliga personuppgifter...................................................... |
235 |
|
|
9.11.1 |
Förbud mot att behandla känsliga |
|
|
|
personuppgifter och möjligheterna till |
|
|
|
undantag................................................................. |
235 |
11
Innehåll |
SOU 2017:66 |
9.11.2Undantag vid fullgörande av skyldigheter och
rättigheter inom arbetsrätten och på områdena |
|
social trygghet och socialt skydd ......................... |
238 |
9.11.3 Undantag för viktiga allmänna intressen............. |
239 |
9.11.4Undantag för hälso- och sjukvård samt social
|
|
omsorg ................................................................... |
243 |
|
9.11.5 |
Undantag för folkhälsoområdet........................... |
248 |
|
9.11.6 Fler uppgifter blir känsliga personuppgifter ....... |
249 |
|
9.12 |
Uppgifter om lagöverträdelser............................................. |
252 |
|
9.13 |
Personnummer ..................................................................... |
256 |
|
9.14 |
Överföring till tredjeland..................................................... |
257 |
|
9.15 |
Den registrerades rättigheter ............................................... |
261 |
|
|
9.15.1 Utökade rättigheter för registrerade.................... |
261 |
|
|
9.15.2 |
Begränsningar av rättigheter................................. |
276 |
9.16 |
Säkerhetsåtgärder.................................................................. |
281 |
|
|
9.16.1 Den generella regleringen om |
|
|
|
|
säkerhetsåtgärder/skyddsåtgärder........................ |
281 |
9.16.2Bestämmelser om säkerhetsåtgärder
i registerförfattningar............................................ |
285 |
9.17 Gallring och bevarande......................................................... |
292 |
9.17.1Den generella regleringen om gallring
|
|
och bevarande ........................................................ |
292 |
|
9.17.2 |
Överväganden ........................................................ |
295 |
9.18 |
Tillsyn |
.................................................................................... |
298 |
9.19 |
Sanktioner ............................................................................. |
299 |
|
|
9.19.1 ............................................................. |
Skadestånd |
299 |
|
9.19.2 ......................... |
Administrativa sanktionsavgifter |
302 |
|
9.19.3 ........................................................ |
Straff och vite |
306 |
9.20 |
Överklagande av beslut som fattats av en myndighet |
|
|
|
i egenskap ..................................av personuppgiftsansvarig |
306 |
|
9.21 |
Uppgiftsskyldigheter............................................................ |
309 |
|
9.22 |
Barns personuppgifter.......................................................... |
311 |
12
SOU 2017:66 Innehåll
SÄRSKILDA ÖVERVÄGANDEN OCH FÖRSLAG ................... |
315 |
||
10 |
Författningar som reglerar en verksamhet................... |
317 |
|
10.1 |
Patientdatalagen (2008:355)................................................. |
317 |
|
|
10.1.1 |
Lagens tillämpningsområde .................................. |
317 |
|
10.1.2 |
Lagens syfte ........................................................... |
320 |
|
10.1.3 Förhållandet till annan dataskyddsreglering........ |
321 |
10.1.4Tillämpningsområdet för kapitlet med grundläggande bestämmelser om behandling
av personuppgifter................................................. |
322 |
10.1.5Rätten att invända mot behandling av
|
personuppgifter ..................................................... |
323 |
10.1.6 |
Samtycke som grund för behandlingen................ |
325 |
10.1.7 |
Ändamål och grund för behandling av |
|
|
personuppgifter ..................................................... |
326 |
10.1.8 |
Personuppgiftsansvar ............................................ |
328 |
10.1.9 |
Personuppgifter som får behandlas...................... |
329 |
10.1.10 |
Känsliga personuppgifter ...................................... |
330 |
10.1.11 |
Sökbegränsningar .................................................. |
331 |
10.1.12 |
Skyldigheten att föra patientjournal..................... |
333 |
10.1.13 |
Säkerhetsåtgärder................................................... |
337 |
10.1.14 |
Upplysningsbestämmelser och allmän |
|
|
bestämmelse om utlämnande................................ |
342 |
10.1.15 |
Sammanhållen journalföring................................. |
343 |
10.1.16 |
Nationella och regionala kvalitetsregister............ |
350 |
10.1.17 |
Rättigheter för den enskilde ................................. |
362 |
10.1.18 |
Omhändertagande och återlämnande av |
|
|
patientjournaler...................................................... |
368 |
10.1.19 |
Skadestånd.............................................................. |
369 |
10.1.20 |
Överklagande......................................................... |
370 |
10.2 Patientdataförordningen (2008:360) ................................... |
371 |
|
10.3 Förordningen (1985:796) med vissa bemyndiganden för |
|
|
Socialstyrelsen att meddela föreskrifter m.m...................... |
371 |
|
10.4 Förordningen (2008:363) om provtagning för |
|
|
hivinfektion ........................................................................... |
372 |
13
Innehåll |
SOU 2017:66 |
10.5 Apoteksdatalagen (2009:367) .............................................. |
372 |
|
10.5.1 |
Lagens tillämpningsområde.................................. |
372 |
10.5.2 Krav på behandling, hantering och förvaring ...... |
373 |
|
10.5.3 |
Förhållandet till annan dataskyddsreglering........ |
373 |
10.5.4Den enskildes inställning till behandling av
personuppgifter..................................................... |
374 |
10.5.5 Personuppgiftsansvar............................................ |
376 |
10.5.6Ändamål och grund för behandling av
personuppgifter..................................................... |
376 |
10.5.7Känsliga personuppgifter och uppgifter om
|
lagöverträdelser ..................................................... |
379 |
10.5.8 |
Säkerhetsåtgärder .................................................. |
380 |
10.5.9 |
Gallring .................................................................. |
381 |
10.5.10 |
Rättelse och skadestånd........................................ |
381 |
10.5.11 |
Information som ska lämnas självmant ............... |
381 |
10.6 Apoteksdataförordningen (2009:624)................................. |
383 |
|
10.7 Lagen (2016:526) om behandling av personuppgifter |
|
|
i ärenden om licens för läkemedel ....................................... |
383 |
|
10.7.1 |
Lagens tillämpningsområde.................................. |
383 |
10.7.2 |
Förhållandet till annan dataskyddsreglering........ |
384 |
10.7.3 |
Krav på behandling................................................ |
384 |
10.7.4Rätten att invända mot behandling av
personuppgifter..................................................... |
385 |
10.7.5 Personuppgiftsansvar............................................ |
386 |
10.7.6Ändamål och grund för behandling av
|
personuppgifter..................................................... |
387 |
10.7.7 |
Känsliga personuppgifter...................................... |
388 |
10.7.8 |
Säkerhetsåtgärder .................................................. |
390 |
10.7.9 |
Uppgiftsskyldigheter ............................................ |
390 |
10.7.10 |
Gallring .................................................................. |
391 |
10.7.11 |
Rättelse och skadestånd........................................ |
391 |
10.7.12 |
Information som ska lämnas självmant ............... |
392 |
10.8 Förordningen (2016:533) om behandling av |
|
|
personuppgifter i ärenden om licens för läkemedel ........... |
394 |
|
10.9 Lagen (2001:454) om behandling av personuppgifter |
|
|
inom socialtjänsten............................................................... |
394 |
|
10.9.1 |
Lagens tillämpningsområde.................................. |
394 |
14
SOU 2017:66 |
|
Innehåll |
10.9.2 |
Förhållandet till annan dataskyddsreglering........ |
396 |
10.9.3 |
Ändamål och grund för behandling av |
|
|
personuppgifter ..................................................... |
396 |
10.9.4 |
Rätten att invända mot behandling av |
|
|
personuppgifter ..................................................... |
397 |
10.9.5 |
Personnummer, känsliga personuppgifter |
|
|
och uppgifter om lagöverträdelser........................ |
399 |
10.9.6 |
Upplysningsbestämmelse...................................... |
402 |
10.9.7 |
Rättelse och skadestånd ........................................ |
402 |
10.9.8 |
Överklagande......................................................... |
403 |
10.9.9 |
Bemyndiganden ..................................................... |
404 |
10.10 Förordningen (2001:637) om behandling av |
|
|
personuppgifter inom socialtjänsten ................................... |
405 |
|
10.10.1 |
Förordningens tillämpningsområde..................... |
405 |
10.10.2 |
Upplysningsbestämmelser .................................... |
406 |
10.10.3 |
Personuppgiftsansvar ............................................ |
407 |
10.10.4 |
Ändamål och grund för behandling av |
|
|
personuppgifter ..................................................... |
407 |
10.10.5 |
Känsliga personuppgifter ...................................... |
408 |
10.10.6 |
Säkerhetsåtgärder................................................... |
409 |
10.10.7 |
Uppgiftsskyldigheter............................................. |
410 |
10.10.8 |
Överföring av personuppgifter till tredjeland ..... |
410 |
10.10.9 |
Bemyndiganden ..................................................... |
411 |
10.11Förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt
vårdnadsbidrag ...................................................................... |
412 |
|
10.11.1 |
Förordningens tillämpningsområde..................... |
412 |
10.11.2 |
Personuppgiftsansvar ............................................ |
412 |
10.11.3 Förhållandet till annan dataskyddsreglering........ |
413 |
|
10.11.4 Ändamål och grund för behandling av |
|
|
|
personuppgifter ..................................................... |
414 |
10.11.5 Personuppgifter som får behandlas...................... |
415 |
|
10.11.6 Rätten att invända mot behandling av |
|
|
|
personuppgifter ..................................................... |
417 |
10.11.7 |
Rättelse och skadestånd ........................................ |
418 |
15
Innehåll |
SOU 2017:66 |
10.12 112 kap. socialförsäkringsbalken ......................................... |
418 |
|
10.12.1 |
Beslut genom automatiserad behandling............. |
418 |
10.13 114 kap. socialförsäkringsbalken ......................................... |
419 |
|
10.13.1 |
Kapitlets tillämpningsområde............................... |
419 |
10.13.2 |
Rätten att invända mot behandling av |
|
|
personuppgifter..................................................... |
420 |
10.13.3 |
Förhållandet till annan dataskyddsreglering........ |
422 |
10.13.4 |
Personuppgiftsansvar............................................ |
422 |
10.13.5 |
Ändamål och grund för behandling av |
|
|
personuppgifter..................................................... |
422 |
10.13.6 |
Känsliga personuppgifter och uppgifter om |
|
|
lagöverträdelser ..................................................... |
425 |
10.13.7 |
Sökbegränsningar .................................................. |
427 |
10.13.8 |
Säkerhetsåtgärder .................................................. |
430 |
10.13.9 |
Överföring av personuppgifter till tredjeland ..... |
431 |
10.13.10 |
Information som ska lämnas på begäran ............. |
432 |
10.13.11 |
Gallring .................................................................. |
434 |
10.13.12 |
Avgifter.................................................................. |
434 |
10.13.13 |
Rättelse och skadestånd........................................ |
436 |
10.13.14 |
Tystnadsplikt......................................................... |
437 |
10.13.15 |
Överklagande ........................................................ |
437 |
10.14Förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens
administration....................................................................... |
438 |
|
10.15 Lagen (2010:111) om införande av |
|
|
socialförsäkringsbalken ........................................................ |
440 |
|
10.16 Förordningen (2011:306) om behandling av |
|
|
personuppgifter i Tandvårds- och |
|
|
läkemedelsförmånsverkets verksamhet i fråga om |
|
|
det statliga tandvårdsstödet ................................................. |
441 |
|
10.16.1 |
Förordningens tillämpningsområde..................... |
441 |
10.16.2 |
Personuppgiftsansvar............................................ |
441 |
10.16.3 Förhållandet till annan dataskyddsreglering........ |
442 |
|
10.16.4 Ändamål och grund för behandling av |
|
|
|
personuppgifter..................................................... |
442 |
10.16.5 Personuppgifter som får behandlas...................... |
444 |
16
SOU 2017:66 |
|
Innehåll |
10.16.6 Rätten att invända mot behandling av |
|
|
|
personuppgifter ..................................................... |
446 |
10.16.7 |
Säkerhetsåtgärder................................................... |
448 |
10.16.8 Information som ska lämnas på begäran.............. |
448 |
|
10.16.9 |
Rättelse och skadestånd ........................................ |
450 |
10.17Förslag som lämnats i betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen
(SOU 2014:67)...................................................................... |
450 |
10.17.1 Uppdraget .............................................................. |
450 |
10.17.2Förslag till lag om behandling av personuppgifter inom verksamheten för
|
|
Inspektionen för socialförsäkringen .................... |
450 |
|
10.17.3 |
Övriga författningsförslag .................................... |
462 |
11 |
Författningar som reglerar ett register |
|
|
|
eller en informationssamling..................................... |
465 |
|
11.1 |
Lagen (1996:1156) om receptregister.................................. |
465 |
|
|
11.1.1 |
Inledning ................................................................ |
465 |
|
11.1.2 |
Förande av receptregistret .................................... |
465 |
|
11.1.3 |
Förhållandet till annan dataskyddsreglering........ |
466 |
11.1.4Den enskildes inställning till behandling av
personuppgifter ..................................................... |
466 |
11.1.5 Personuppgiftsansvar ............................................ |
468 |
11.1.6Ändamål och grund för behandling av
|
personuppgifter ..................................................... |
468 |
11.1.7 |
Personuppgifter som får behandlas...................... |
470 |
11.1.8 |
Säkerhetsåtgärder................................................... |
472 |
11.1.9 |
Uppgiftsskyldigheter............................................. |
472 |
11.1.10 |
Gallring................................................................... |
473 |
11.1.11 |
Information som ska lämnas självmant................ |
473 |
11.1.12 |
Upplysningsbestämmelse...................................... |
475 |
11.1.13 |
Rättelse och skadestånd ........................................ |
476 |
11.1.14 |
Avgifter .................................................................. |
476 |
11.1.15 |
Bemyndigande ....................................................... |
476 |
11.2 Förordningen (2009:625) om receptregister....................... |
477 |
17
Innehåll |
SOU 2017:66 |
11.3 Lagen (2005:258) om läkemedelsförteckning..................... |
477 |
|
11.3.1 |
Inledning................................................................ |
477 |
11.3.2 Skyldighet att föra register ................................... |
478 |
|
11.3.3 |
Personuppgiftsansvar............................................ |
478 |
11.3.4 Förhållandet till annan dataskyddsreglering........ |
478 |
11.3.5Rätten att invända mot behandling av
personuppgifter..................................................... |
479 |
11.3.6Ändamål och grund för behandling av
|
personuppgifter..................................................... |
480 |
11.3.7 |
Personuppgifter som får behandlas...................... |
482 |
11.3.8 |
Säkerhetsåtgärder .................................................. |
484 |
11.3.9 |
Återkallelse av samtycke....................................... |
484 |
11.3.10 |
Bevarande och gallring.......................................... |
485 |
11.3.11 |
Information som ska lämnas självmant ............... |
486 |
11.3.12 |
Information som ska lämnas på begäran ............. |
487 |
11.3.13 |
Upplysningsbestämmelse ..................................... |
488 |
11.3.14 |
Rättelse och skadestånd........................................ |
489 |
11.3.15 |
Avgifter.................................................................. |
489 |
11.4 Förordningen (2009:626) om läkemedelsförteckning ....... |
490 |
|
11.5 Förordningen (2006:196) om register över hälso- och |
|
|
sjukvårdspersonal ................................................................. |
490 |
|
11.5.1 |
Skyldighet att föra register ................................... |
490 |
11.5.2 |
Förhållandet till annan dataskyddsreglering........ |
491 |
11.5.3Rätten att invända mot behandling av
personuppgifter..................................................... |
491 |
11.5.4 Personuppgiftsansvar............................................ |
492 |
11.5.5Ändamål och grund för behandling av
|
personuppgifter..................................................... |
492 |
11.5.6 |
Personuppgifter som får behandlas...................... |
493 |
11.5.7 |
Säkerhetsåtgärder .................................................. |
494 |
11.5.8 |
Uppgiftsskyldigheter ............................................ |
494 |
11.5.9 |
Information som ska lämnas självmant ............... |
495 |
11.5.10 |
Rättelse och skadestånd........................................ |
496 |
11.6 Lagen (1998:543) om hälsodataregister och tillhörande |
|
|
förordningar.......................................................................... |
497 |
|
11.6.1 |
Bemyndiganden..................................................... |
497 |
11.6.2 |
Förande av hälsodataregister ................................ |
498 |
18
SOU 2017:66 |
|
Innehåll |
11.6.3 |
Personuppgiftsansvar ............................................ |
498 |
11.6.4 |
Förhållandet till annan dataskyddsreglering........ |
499 |
11.6.5 |
Ändamål och grund för behandling av |
|
|
personuppgifter ..................................................... |
499 |
11.6.6 |
Personuppgifter som får behandlas...................... |
501 |
11.6.7 |
Rätten att invända mot behandling av |
|
|
personuppgifter ..................................................... |
503 |
11.6.8 |
Säkerhetsåtgärder................................................... |
504 |
11.6.9 |
Uppgiftsskyldighet................................................ |
504 |
11.6.10 |
Upplysningsbestämmelse...................................... |
505 |
11.6.11 |
Rättelse och skadestånd ........................................ |
506 |
11.6.12 |
Information som ska lämnas självmant................ |
506 |
11.7 Lagen (2012:453) om register över nationella |
|
|
vaccinationsprogram............................................................. |
508 |
|
11.7.1 |
Lagens tillämpningsområde .................................. |
508 |
11.7.2 |
Förhållandet till annan dataskyddsreglering........ |
508 |
11.7.3Rätten att invända mot behandling av
personuppgifter ..................................................... |
509 |
11.7.4 Personuppgiftsansvar ............................................ |
510 |
11.7.5Ändamål och grund för behandling av
|
|
personuppgifter ..................................................... |
511 |
|
11.7.6 |
Personuppgifter som får behandlas...................... |
512 |
|
11.7.7 |
Uppgiftsskyldighet................................................ |
514 |
|
11.7.8 |
Säkerhetsåtgärder................................................... |
514 |
|
11.7.9 |
Upplysningsbestämmelse...................................... |
515 |
|
11.7.10 |
Rättelse och skadestånd ........................................ |
516 |
|
11.7.11 |
Information som ska lämnas självmant................ |
516 |
11.8 |
Förordningen (1992:62) om bevarande av registret |
|
|
|
rörande vissa alkoholbrott m.m. .......................................... |
518 |
|
12 |
Författningar som bl.a. reglerar behandling av |
|
|
|
personuppgifter....................................................... |
521 |
12.1Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och förordningen (2002:746) om biobanker
i hälso- och sjukvården m.m................................................. |
521 |
|
12.1.1 |
Inledning ................................................................ |
521 |
12.1.2 |
Register över biobanker ........................................ |
522 |
19
Innehåll |
SOU 2017:66 |
12.1.3 Skyldigheten att dokumentera i patientjournal... |
526 |
|
12.1.4 |
Utlämnande av journalhandling ........................... |
528 |
12.1.5 |
Uppgiftsskyldighet ............................................... |
531 |
12.1.6 |
532 |
|
12.1.7 |
Rättelse och skadestånd........................................ |
537 |
12.1.8 |
Tillsyn .................................................................... |
537 |
12.1.9 |
Överklagande ........................................................ |
538 |
12.2 Lagen (2006:351) om genetisk integritet m.m. .................. |
539 |
|
12.2.1 |
Inledning................................................................ |
539 |
12.2.2 Förhållandet till annan dataskyddsreglering........ |
540 |
|
12.2.3 Skyldigheten att föra journal och bevarande....... |
540 |
|
12.2.4 |
Uppgiftsskyldigheter ............................................ |
543 |
12.3 Lagen (2006:496) om blodsäkerhet och förordningen |
|
|
(2006:497) om blodsäkerhet................................................ |
543 |
|
12.3.1 |
Inledning................................................................ |
543 |
12.3.2 Förhållandet till annan dataskyddsreglering........ |
544 |
12.3.3Register som förs av den som har tillstånd att
bedriva blodverksamhet........................................ |
544 |
12.3.4Register som förs av Inspektionen för vård
|
och omsorg............................................................ |
550 |
12.3.5 |
Rättelse och skadestånd........................................ |
554 |
12.3.6 |
Uppgiftsskyldighet ............................................... |
554 |
12.4Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och förordningen (2008:414) om kvalitets- och
säkerhetsnormer vid hantering av mänskliga vävnader |
|
|
och celler ............................................................................... |
555 |
|
12.4.1 |
Inledning................................................................ |
555 |
12.4.2 Förhållandet till annan dataskyddsreglering........ |
555 |
|
12.4.3 |
Register som förs av vävnadsinrättning............... |
556 |
12.4.4Register som förs av Inspektionen för vård
|
och omsorg............................................................ |
563 |
12.4.5 |
Rättelse och skadestånd........................................ |
566 |
12.4.6 |
Uppgiftsskyldigheter ............................................ |
567 |
20
SOU 2017:66 Innehåll
12.5 Lagen (2012:263) om kvalitets- och säkerhetsnormer |
|
||
|
vid hantering av mänskliga organ och förordningen |
|
|
|
(2012:346) om kvalitets- och säkerhetsnormer vid |
|
|
|
hantering av mänskliga organ............................................... |
568 |
|
|
12.5.1 |
Inledning ................................................................ |
568 |
|
12.5.2 Förhållandet till annan dataskyddsreglering........ |
568 |
|
|
12.5.3 |
Register .................................................................. |
569 |
|
12.5.4 |
Rättelse och skadestånd ........................................ |
572 |
|
12.5.5 |
Uppgiftsskyldigheter............................................. |
572 |
12.6 |
Patientsäkerhetslagen (2010:659) och |
|
|
|
patientsäkerhetsförordningen (2010:1369)......................... |
573 |
|
|
12.6.1 |
Inledning ................................................................ |
573 |
|
12.6.2 |
Register .................................................................. |
574 |
|
12.6.3 |
Uppgiftsskyldigheter............................................. |
578 |
12.7 Lagen (2009:366) om handel med läkemedel och |
|
||
|
förordningen (2009:659) om handel med läkemedel.......... |
579 |
|
|
12.7.1 |
Inledning ................................................................ |
579 |
|
12.7.2 Elektroniskt system för direktåtkomst................ |
579 |
|
|
12.7.3 |
Avgifter .................................................................. |
580 |
|
12.7.4 |
Uppgiftsskyldigheter............................................. |
581 |
|
12.7.5 Skyldighet att lämna ut uppgifter elektroniskt.... |
581 |
|
|
12.7.6 Skyldighet att föra register.................................... |
583 |
|
12.8 |
Läkemedelslagen (2015:315) och |
|
|
|
läkemedelsförordningen (2015:458).................................... |
583 |
|
|
12.8.1 |
Inledning ................................................................ |
583 |
|
12.8.2 |
System för säkerhetsövervakning......................... |
584 |
|
12.8.3 |
Personuppgiftsansvar ............................................ |
584 |
|
12.8.4 |
Känsliga personuppgifter ...................................... |
585 |
|
12.8.5 |
Hälsodataregister................................................... |
590 |
|
12.8.6 |
Uppgiftsskyldigheter............................................. |
591 |
12.9 Förordningen (2013:413) om kosmetiska produkter......... |
592 |
||
|
12.9.1 |
Inledning ................................................................ |
592 |
|
12.9.2 |
Känsliga personuppgifter ...................................... |
592 |
|
12.9.3 |
Personuppgiftsansvar ............................................ |
594 |
21
Innehåll |
SOU 2017:66 |
12.10 Lagen (2006:1570) om skydd mot internationella hot |
|
|
mot människors hälsa........................................................... |
594 |
|
12.10.1 |
Inledning................................................................ |
594 |
12.10.2 |
Upplysningsbestämmelse ..................................... |
595 |
12.10.3 |
Känsliga personuppgifter...................................... |
595 |
12.10.4 |
Överföring till tredjeland...................................... |
598 |
12.11 Tobakslagen (1993:581)....................................................... |
599 |
|
12.12 Alkohollagen (2010:1622) ................................................... |
600 |
|
12.12.1 |
Inledning................................................................ |
600 |
12.12.2 |
Register .................................................................. |
601 |
12.12.3 |
Rättelse och skadestånd........................................ |
603 |
12.12.4 |
Uppgiftsskyldigheter ............................................ |
603 |
12.13 Socialtjänstlagen (2001:453) och |
|
|
socialtjänstförordningen (2001:937)................................... |
604 |
|
12.13.1 |
Inledning................................................................ |
604 |
12.13.2 |
Behandling av personuppgifter............................. |
605 |
12.13.3 |
Register över verksamheter .................................. |
606 |
12.13.4 |
Säkerhetsåtgärder .................................................. |
607 |
12.13.5 |
Information och rättelse....................................... |
608 |
12.13.6 |
Uppgiftsskyldigheter ............................................ |
610 |
12.13.7 |
Gallring .................................................................. |
610 |
12.14Lagen (1993:387) om stöd och service till vissa funktionshindrade och förordningen (1993:1090) om
stöd och service till vissa funktionshindrade ...................... |
611 |
|
12.14.1 |
Inledning................................................................ |
611 |
12.14.2 |
Krav på dokumentation ........................................ |
612 |
12.14.3 |
Säkerhetsåtgärder .................................................. |
613 |
12.14.4 |
Information och rättelse....................................... |
613 |
12.14.5 |
Uppgiftsskyldighet ............................................... |
615 |
12.14.6 |
Register över verksamheter .................................. |
615 |
12.14.7 |
Gallring .................................................................. |
617 |
12.15 Förordningen (1981:1370) om skyldighet för |
|
|
socialnämnderna att lämna statistiska uppgifter................. |
618 |
|
12.16 Förordningen (2010:425) om ersättning för kostnader |
|
|
för sjuklön............................................................................. |
619 |
22
SOU 2017:66 |
Innehåll |
|
12.17 |
Förordningen (1998:562) med vissa bemyndiganden för |
|
|
Försäkringskassan................................................................. |
620 |
12.18 |
Lagen (1991:1047) om sjuklön............................................. |
621 |
12.19 |
Bostadsbidragsförordningen (1993:739)............................. |
622 |
12.20 |
Förordningen (1996:1036) om underhållsstöd................... |
623 |
12.21 |
Förordningen (1998:1340) om inkomstgrundad |
|
|
ålderspension......................................................................... |
624 |
12.22 |
Förordningen (2008:193) om statligt tandvårdsstöd.......... |
626 |
13 |
Författningar med uppgiftsskyldigheter ...................... |
629 |
14 |
Obsoleta författningar .............................................. |
631 |
14.1 |
Förordningen (1994:565) om vårdnadsbidragsregister ...... |
631 |
14.2Förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för
|
socialförsäkringsregister....................................................... |
633 |
|
AVSLUTANDE DEL .......................................................... |
635 |
||
15 |
Ikraftträdande och övergångsbestämmelser ................ |
637 |
|
15.1 |
Ikraftträdande ....................................................................... |
637 |
|
15.2 |
Övergångsbestämmelser....................................................... |
639 |
|
|
15.2.1 |
Regleringen i dataskyddsförordningen ................ |
639 |
|
15.2.2 |
Överklagande av myndighetsbeslut...................... |
640 |
|
15.2.3 |
Skadestånd.............................................................. |
641 |
|
15.2.4 |
Övriga övergångsbestämmelser............................ |
642 |
16 |
Konsekvenser av att utredningens förslag genomförs ... |
643 |
|
16.1 |
Inledning................................................................................ |
643 |
|
16.2 |
Uppdraget och de ändringar som föreslås........................... |
644 |
|
16.3 |
Konsekvenser enligt kommittéförordningen...................... |
646 |
|
16.4 |
Konsekvenser för den personliga integriteten .................... |
647 |
23
Innehåll |
SOU 2017:66 |
17 |
Författningskommentar ............................................ |
649 |
17.1 |
Förslaget till lag om ändring i socialförsäkringsbalken...... |
649 |
17.2Förslaget till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för
|
Inspektionen för socialförsäkringen ................................... |
650 |
17.3 |
Förslaget till lag om ändring i lagen (1996:1156) om |
|
|
receptregister ........................................................................ |
650 |
17.4 |
Förslaget till lag om ändring i lagen (1998:543) om |
|
|
hälsodataregister ................................................................... |
651 |
17.5 |
Förslaget till lag om ändring i lagen (2001:454) om |
|
|
behandling av personuppgifter inom socialtjänsten........... |
651 |
17.6 |
Förslaget till lag om ändring i lagen (2002:297) om |
|
|
biobanker i hälso- och sjukvården m.m. ............................. |
651 |
17.7 |
Förslaget till lag om ändring i lagen (2005:258) om |
|
|
läkemedelsförteckning ......................................................... |
652 |
17.8 |
Förslaget till lag om ändring i lagen (2006:351) om |
|
|
genetisk integritet m.m. ....................................................... |
652 |
17.9 |
Förslaget till lag om ändring i lagen (2006:496) om |
|
|
blodsäkerhet.......................................................................... |
652 |
17.10 |
Förslaget till lag om ändring i lagen (2006:1570) om |
|
|
skydd mot internationella hot mot människors hälsa........ |
652 |
17.11 |
Förslaget till lag om ändring i lagen (2008:286) om |
|
|
kvalitets- och säkerhetsnormer vid hantering av |
|
|
mänskliga vävnader och celler.............................................. |
653 |
17.12 |
Förslaget till lag om ändring i patientdatalagen |
|
|
(2008:355) ............................................................................. |
653 |
17.13 |
Förslaget till lag om ändring i apoteksdatalagen |
|
|
(2009:367) ............................................................................. |
654 |
17.14 |
Förslaget till lag om ändring i lagen (2010:111) om |
|
|
införande av socialförsäkringsbalken .................................. |
654 |
17.15 Förslaget till lag om ändring i alkohollagen (2010:1622)... |
654 |
24
SOU 2017:66 |
Innehåll |
|
17.16 |
Förslaget till lag om ändring i lagen (2012:263) om |
|
|
kvalitets- och säkerhetsnormer vid hantering av |
|
|
mänskliga organ .................................................................... |
654 |
17.17 |
Förslaget till lag om ändring i lagen (2012:453) om |
|
|
register över nationella vaccinationsprogram...................... |
655 |
17.18Förslaget till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för
läkemedel............................................................................... |
655 |
17.19Förslaget till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att
lämna statistiska uppgifter.................................................... |
655 |
17.20Förslaget till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom
|
socialtjänsten ......................................................................... |
656 |
17.21 |
Förslaget till förordning om ändring i förordningen |
|
|
(2001:707) om patientregister hos Socialstyrelsen ............. |
656 |
17.22 |
Förslaget till förordning om ändring i förordningen |
|
|
(2001:708) om medicinskt födelseregister hos |
|
|
Socialstyrelsen....................................................................... |
656 |
17.23 |
Förslaget till förordning om ändring i förordningen |
|
|
(2001:709) om cancerregister hos Socialstyrelsen .............. |
656 |
17.24Förslaget till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom
|
socialförsäkringens administration ...................................... |
657 |
17.25 |
Förslaget till förordning om ändring i förordningen |
|
|
(2005:363) om läkemedelsregister hos Socialstyrelsen....... |
657 |
17.26 |
Förslaget till förordning om ändring i förordningen |
|
|
(2006:94) om register hos Socialstyrelsen över insatser |
|
|
inom den kommunala hälso- och sjukvården...................... |
657 |
17.27Förslaget till förordning om ändring i förordningen (2006:196) om register över hälso- och
sjukvårdspersonal.................................................................. |
657 |
25
Innehåll |
SOU 2017:66 |
17.28 |
Förslaget till förordning om ändring i förordningen |
|
|
(2008:194) om tandhälsoregister hos Socialstyrelsen ........ |
658 |
17.29 |
Förslaget till förordning om ändring i förordningen |
|
|
(2009:1422) om behandling av personuppgifter i |
|
|
Statistiska centralbyråns verksamhet med framställning |
|
|
av statistik över kommunalt vårdnadsbidrag ...................... |
658 |
17.30Förslaget till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över
läkemedel som lämnats ut från apotek i Jämtlands län ...... |
658 |
17.31Förslaget till förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet
|
i fråga om det statliga tandvårdsstödet................................ |
659 |
17.32 |
Förslaget till förordning om ändring i förordningen |
|
|
(2013:413) om kosmetiska produkter................................. |
659 |
17.33 |
Förslaget till förordning om ändring i |
|
|
läkemedelsförordningen (2015:458) ................................... |
659 |
17.34 |
Förslaget till förordning om upphävande av |
|
|
förordningen (1994:565) om vårdnadsbidragsregister....... |
659 |
17.35Förslaget till förordning om upphävande av förordningen (1998:156) med bemyndigande för
Datainspektionen att meddela säkerhetsföreskrifter för |
|
|
socialförsäkringsregister....................................................... |
660 |
|
Referenser....................................................................... |
661 |
|
Bilagor |
|
|
Bilaga 1 |
Kommittédirektiv 2016:52........................................... |
667 |
Bilaga 2 |
Dataskyddsförordningen............................................. |
679 |
26
Sammanfattning
EU:s dataskyddsförordning blir tillämplig i Sverige den 25 maj 2018 och ersätter då personuppgiftslagen. Utredningen har inför det sett över registerförfattningarna inom Socialdepartementets verksam- hetsområde. Utredningens målsättning, eller utgångspunkt, har varit att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. Den målsättningen har uppnåtts efter en ingående analys av både dataskyddsförordningen och registerförfattningarna. Utred- ningens förslag, som i huvudsak är av författningsteknisk karaktär, inskränker alltså inte nuvarande möjligheter att behandla person- uppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Å andra sidan föreslås inte heller författningsstöd för sådan behandling som inte är laglig i dag.
Dataskyddsförordningen
EU har beslutat om en förordning – den s.k. dataskyddsförordningen
– som utgör en ny generell reglering för behandling av person- uppgifter inom EU. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vid samma tidpunkt kommer personuppgifts- lagen att upphävas. Dataskyddsförordningen är direkt tillämplig och dess bestämmelser är tvingande. Nationell lagstiftning på området kommer därför endast att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen.
Dataskyddsutredningen har föreslagit en ny lag – dataskydds- lagen – som, om förslaget leder till lagstiftning, kommer att inne- hålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå.
27
Sammanfattning |
SOU 2017:66 |
Det har sedan över ett år tillbaka dessutom pågått ett omfatt- ande arbete med att anpassa befintliga registerförfattningar till data- skyddsförordningen. Registerförfattningarna kommer att komplettera dataskyddsförordningen på verksamhetsspecifik nivå. Den före- slagna dataskyddslagen kommer att vara subsidiär i förhållande till registerförfattningarna och är tillämplig i verksamheter som om- fattas av en särskild registerförfattning endast om inget annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den.
Socialdataskyddsutredningen har haft i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.
I det följande sammanfattas de viktigaste bedömningarna och förslagen i betänkandet.
Utgångspunkter för översynen
En utgångspunkt för utredningen har varit att de personuppgifts- ansvariga ska kunna fortsätta att behandla personuppgifter på samma sätt som de får i dag. Det innebär att översynen har inriktats på att undersöka om behandling som i dag är laglig kommer att kunna ske när dataskyddsförordningen ska tillämpas.
Konsekvenser för verksamheter som inte har en registerförfattning
När personuppgiftslagen upphävs försvinner möjligheten att be- handla personuppgifter med stöd av den s.k. missbruksregeln (5 a § personuppgiftslagen). Någon motsvarande regel finns inte i data- skyddsförordningen.
Offentliga myndigheter får enligt dataskyddsförordningen inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina arbetsuppgifter, vilket lär innefatta de arbetsuppgifter de utför inom den myndighetsspecifika verksamheten. Möjlighet- erna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar därmed.
28
SOU 2017:66 |
Sammanfattning |
Det har inte framkommit att några myndigheter eller verksam- heter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.
Utredningen har dock genom tilläggsdirektiv fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om be- handling av personuppgifter för Myndigheten för vård- och omsorgs- analys. Det uppdraget ska redovisas senast den 15 januari 2018.
Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen
Medlemsstaternas nationella lagstiftning får enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen för såväl myndigheter som enskilda när det gäller behandling av person- uppgifter som är tillåten enligt artikel 6.1 c eller e. Det innebär att det är möjligt att i registerförfattningarna närmare reglera förutsätt- ningarna för behandling när behandlingen är nödvändig
•för att fullgöra en rättslig förpliktelse,
•för att utföra en arbetsuppgift av allmänt intresse, eller
•för att utföra en arbetsuppgift som ett led i den personuppgifts- ansvariges myndighetsutövning.
Därutöver hindrar dataskyddsförordningen inte att medlemsstaterna i nationell rätt inför mer restriktiva bestämmelser än enligt data- skyddsförordningen för sina egna myndigheters behandling av per- sonuppgifter eller ålägger dem utökade skyldigheter.
Registerförfattningarnas tillämpningsområde
Nationell lagstiftning som kompletterar dataskyddsförordningen kan ha både ett vidare och ett snävare tillämpningsområde än dataskydds- förordningen. Bestämmelser om registerförfattningars tillämpnings- område behöver därför i regel inte ändras med anledning av data- skyddsförordningen. Patientdatalagen, lagen om behandling av per-
29
Sammanfattning |
SOU 2017:66 |
sonuppgifter inom socialtjänsten och den tillhörande förordningen om behandling av personuppgifter inom socialtjänsten omfattar dock viss behandling av personuppgifter som syftar till att verk- ställa straffrättsliga påföljder, såsom rättspsykiatrisk vård och ung- domsvård. Sådan behandling omfattas inte av dataskyddsförord- ningen utan av det nya dataskyddsdirektivet som i Sverige föreslås bli genomfört genom en ny brottsdatalag. Utredningen föreslår därför att lagen om behandling av personuppgifter inom social- tjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Patientdatalagen föreslås däremot gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård.
Rättslig grund för behandling av personuppgifter
Ändamål
Behandling av personuppgifter är laglig enligt dataskyddsförord- ningen endast om och i den mån åtminstone ett av villkoren i arti- kel 6.1 i dataskyddsförordningen är uppfyllt. Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i arti- kel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen.
I registerförfattningar anges ofta de ändamål för vilka person- uppgifter får behandlas. Utredningen har konstaterat att de ända- mål som anges i de registerförfattningar som setts över grundar sig på rättsliga förpliktelser eller arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning. Ändamålen har därmed stöd i dataskyddsförordningen och kan behållas.
Nya krav på den rättsliga grunden
Det har i och med dataskyddsförordningen tillkommit vissa nya krav på de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den person- uppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste grunden fastställas i nationell rätt eller
30
SOU 2017:66 |
Sammanfattning |
Myndighetsutövning måste alltid ha stöd i författning och rätts- liga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. Arbetsuppgifter av allmänt intresse härrör från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar eller regeringsbeslut. Är den rättsliga grunden inte fastställd i annan författning, är den dessutom i vart fall fastställd genom registerförfattningens ända- målsbestämmelser. Utredningen bedömer därför att kravet på att grunden ska vara fastställd genomgående är uppfyllt.
Syftet med en behandling av personuppgifter med anledning av en rättslig förpliktelse kan enligt utredningens bedömning framgå av en registerförfattning eller av exempelvis den författning som reglerar själva verksamheten. För arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning får det förutsättas att tidi- gare bedömningar av lagligt stöd för behandling av personuppgifter även innefattat ett ställningstagande till att syftet med behandlingen för det aktuella ändamålet också är nödvändigt för ändamålet.
Även kravet på att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste upp- fylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas får anses vara uppfyllt genom tidigare ställningstaganden.
31
Sammanfattning |
SOU 2017:66 |
Samtycke
Samtycke utgör enligt både dataskyddsdirektivet och dataskydds- förordningen en rättslig grund för behandling av personuppgifter. Utredningen har funnit att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan behållas.
Finalitetsprincipen
Utredningens utgångspunkt är att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget. Det krävs därför att det är tydligt att de uppräknade ändamålen i registerförfattningarna inte är uttömmande när så har gällt tidigare. Utredningen behåller därför i sina förslag bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Nya kategorier av känsliga personuppgifter
Det har i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter – genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Att nya kategorier lagts till de befintliga innebär att det kommer att vara fler uppgifter som kategoriseras som käns- liga och som därmed omfattas av artikel 9 i dataskyddsförordningen. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.
Bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande defini- tion får behandlas bör avse alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör där-
32
SOU 2017:66 |
Sammanfattning |
emot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Utredningen har dock i två fall, när det gäller patientdatalagen och läkemedelsförordningen, föreslagit förtydliganden som innebär att viss behandling av de nytillkomna kategorierna av känsliga personuppgifter ska vara tillåten även i fortsättningen. Detta eftersom det bedömts nödvändigt för en ändamålsenlig behandling av personuppgifter i de aktuella verksam- heterna.
Tillåten behandling av känsliga personuppgifter
Utredningen bedömer att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av ett vik- tigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet är för- enliga med artikel 9.2 g i dataskyddsförordningen. I ett fall, när det gäller läkemedelsförordningen, har dock regleringen inte bedömts leva upp till det nya kravet på att det ska finnas bestämmelser om lämpliga skyddsåtgärder i den nationella lagstiftningen. Utredningen har därför föreslagit en begränsning som innebär att behandling av de där aktuella personuppgifterna endast får ske för angivna ändamål.
Viss behandling av känsliga personuppgifter – enligt lagen om blodsäkerhet, lagen om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga vävnader och celler, lagen om skydd mot inter- nationella hot mot människors hälsa samt lagen om register över nationella vaccinationsprogram – som tidigare tillåtits med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet har utredningen bedömt vara tillåten med stöd av det s.k. folk- hälsoundantaget i artikel 9.2 i i dataskyddsförordningen.
Även bestämmelser i registerförfattningar som tillåter behand- ling av känsliga personuppgifter inom hälso- och sjukvården samt inom social omsorg, såsom socialtjänst, är förenliga med dataskydds- förordningen. Sådana bestämmelser bör dock kompletteras med en bestämmelse som påminner om det nya kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnads- plikt.
33
Sammanfattning |
SOU 2017:66 |
Uppgifter om lagöverträdelser
Nuvarande bestämmelser i registerförfattningarna om uppgifter om lagöverträdelser omfattar, utöver vad som gäller enligt dataskydds- förordningen, även uppgifter om friande brottmålsdomar och admi- nistrativa frihetsberövanden och innebär oftast restriktioner för behandlingen. Att dessa uppgifter, som omfattas av motsvarande bestämmelse i dataskyddsdirektivet, inte omfattas av dataskydds- förordningens reglering gör det möjligt att ta bort sådana restrik- tioner. Det är dock enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter i större utsträckning än de hittills har bedömts ha behov av bara därför att dataskyddsförordningen gör det möjligt. Med stöd av möjligheten att införa nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bör även de begränsningar för uppgifter om lagöverträdelser som inte omfattas av artikel 10 i dataskyddsförordningen behållas.
Personnummer
Bestämmelser om att personnummer får registreras, t.ex. i en data- bas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor för behandlingen av personnum- mer enligt artikel 87 i dataskyddsförordningen. Det behöver därför inte iakttas några sådana lämpliga skyddsåtgärder som krävs enligt samma artikel. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor, är de bestämmelser som redan finns i register- författningarna att anse som lämpliga skyddsåtgärder.
Överföring till tredjeland
Dataskyddsförordningens bestämmelser om överföring till tredje- land är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredje- land. En nationell bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild,
34
SOU 2017:66 |
Sammanfattning |
bestämmelse som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning. Bestämmelserna i registerförfattningarna som anger när överföring av personuppgifter till tredjeland är tillåten har bedömts förenliga med dataskyddsförordningen och behöver därför inte ändras.
Rättigheter och skyldigheter
Nya rättigheter och skyldigheter
Det är utredningens övergripande bedömning att de nya rättigheter för registrerade och de nya skyldigheter för personuppgiftsansva- riga som dataskyddsförordningen medför normalt sett inte kan anses så betungande för de personuppgiftsansvariga att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av gene- rellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen.
Rätt att göra invändningar
Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av person- uppgifter avseende honom eller henne som grundar sig på allmänt intresse, myndighetsutövning eller en intresseavvägning.
Flera registerförfattningar innehåller bestämmelser som begränsar rätten att göra invändningar. Utredningen har i fråga om sådana be- stämmelser gjort en prövning av om begränsningen är tillåten enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsförord- ningen i förhållande till varje enskild registerförfattning. Prövning- arna har lett till slutsatsen att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett.
35
Sammanfattning |
SOU 2017:66 |
Information till registrerade
Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behand- lingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.
Rättelse
Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna i person- uppgiftslagen om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.
Automatiserade beslut
Utredningen bedömer att artikel 22.1 i dataskyddsförordningen omfattar enbart beslut som grundas på automatiserad behandling och inkluderar profilering. I den mån det inom Socialdepartemen- tets verksamhetsområde förekommer sådana beslut, krävs att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut om- fattas enligt utredningens tolkning inte av artikel 22 i dataskydds- förordningen, och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande ska regleras särskilt.
36
SOU 2017:66 |
Sammanfattning |
Säkerhetsåtgärder
Bestämmelser om säkerhetsåtgärder/skyddsåtgärder som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rätts- lig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Myndigheter kan vidare genom nationell lag åläggas krav på säkerhetsåtgärder utan hinder av data- skyddsförordningen. Vid viss behandling av känsliga personupp- gifter krävs det dessutom att skyddsåtgärder regleras i nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdel- ser som inte utförs under kontroll av en myndighet.
Gallring
Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande kan behållas under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.
Formuleringar i registerförfattningarna om bevarande av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock ändras till att avse arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med formuleringen i dataskyddsförordningen. Enligt utred- ningens bedömning innebär omformuleringen inte någon skillnad i sak.
Tillsyn
Av Dataskyddsutredningens förslag till dataskyddslag framgår att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar data- skyddsförordningen. Det behövs därför inte några särskilda be-
37
Sammanfattning |
SOU 2017:66 |
stämmelser om tillsyn i de registerförfattningar som omfattas av översynen.
Sanktioner
Skadestånd
Bestämmelserna i dataskyddsförordningen om skadestånd är direkt tillämpliga även på sådan behandling av personuppgifter som om- fattas av en registerförfattnings tillämpningsområde, under förut- sättning att det rör sig om sådan behandling som också omfattas av dataskyddsförordningen. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna om skadestånd i personuppgifts- lagen bör därför upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.
Sanktionsavgifter
I artikel 83 i dataskyddsförordningen finns en uttömmande upp- räkning av när det är möjligt att utfärda sanktionsavgifter. Efter- som endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter påföras endast vid överträdelser av sådana nationella bestämmelser. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en över- trädelse av dataskyddsförordningens bestämmelser, är det dock enligt utredningens bedömning möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförord- ningen. Utredningen bedömer att det inte finns något behov av bestämmelser om administrativa sanktionsavgifter i registerförfatt- ningarna.
Överklagande
Dataskyddsutredningen har föreslagit att dataskyddslagen ska inne- hålla en bestämmelse om överklagande av personuppgiftsansvariga myndigheters beslut. Den bestämmelsen kommer att vara tillämplig även inom registerförfattningarnas tillämpningsområde, på samma
38
SOU 2017:66 |
Sammanfattning |
sätt som personuppgiftslagens bestämmelser är det i dag. Något skäl att reglera överklagandemöjligheten på annat sätt än vad Data- skyddsutredningen föreslagit har inte framkommit. Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör därför upphävas. I de fall register- författningen även innehåller överklagandebestämmelser avseende andra beslut än sådana som berör behandling av personuppgifter bör det dock införas en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.
Uppgiftsskyldigheter
För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen alternativt omfattas av ett tillåtet undantag från den principen. De bestämmelser om uppgiftsskyldig- het som finns inom Socialdepartementets verksamhetsområde är därmed lika tillåtna enligt dataskyddsförordningen som enligt data- skyddsdirektivet. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.
Barns personuppgifter
Utredningen har tänkt på barnens rättigheter enligt barnkonven- tionen när förslagen skrivits. Det behövs inte några nya bestämmel- ser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.
Författningar som bör upphävas
Utredningen har kommit fram till att två av de författningar som ingått i översynen, förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att med- dela säkerhetsföreskrifter för socialförsäkringsregister, är obsoleta,
39
Sammanfattning |
SOU 2017:66 |
överspelade. De författningarna bör därför inte anpassas till data- skyddsförordningen utan i stället upphävas.
Ikraftträdande och övergångsbestämmelser
Författningsändringar till följd av dataskyddsförordningen bör träda i kraft den 25 maj 2018, medan författningsändringar till följd av den föreslagna brottsdatalagen bör träda i kraft den 1 maj 2018. Utredningen föreslår att övergångsbestämmelser införs avseende bestämmelser om överklagande och skadestånd.
Konsekvenser
Utredningens förslag leder inte till att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Skydds- åtgärden innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inga konsekvenser. Däremot får förstås den direkt tillämpliga dataskyddsförordningen konsekvenser, vilka är generella för alla verksamheter i Sverige och beskrivs översiktligt.
40
1 Författningsförslag
1.1Förslag till
lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs i fråga om socialförsäkringsbalken dels att 114 kap. 33 § ska upphöra att gälla,
dels att rubriken närmast före 114 kap. 33 § ska utgå,
dels att 114 kap. 1, 6, 10, 11, 12, 13, 15, 16, 27, 29, 30, 31 och 36 §§ och rubriken närmast före 114 kap. 6 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 6 a §, och närmast före 6 a § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
114 kap.
1 §1
I detta kapitel finns allmänna bestämmelser i
Vidare finns bestämmelser om |
|
– personuppgiftslagen och per- |
– förhållandet till annan data- |
sonuppgiftsansvar i 6 §, |
skyddsreglering i 6 §, |
|
– personuppgiftsansvar i 6 a §, |
– ändamål för behandling av personuppgifter i
– behandling av känsliga personuppgifter m.m. i
– behandling av personuppgifter i socialförsäkringsdatabasen i
– tilldelning av behörighet i 17 §,
– direktåtkomst i
– utlämnande på medium för automatisk behandling i
– sökbegrepp i 27 och 28 §§,
1 Senaste lydelse 2012:935.
41
Författningsförslag SOU 2017:66
– överföring |
av |
personupp- |
– överföring |
av |
personupp- |
||
gifter till tredje land i 29 §, |
|
gifter till tredjeland i 29 §, |
|||||
– information i 30 §, |
|
|
|
|
|||
– gallring i 31 §, |
|
|
|
|
|
||
– avgifter i 32 §, |
|
|
|
|
|
||
– rättelse och skadestånd i 33 §, |
|
|
|
||||
– kontrollverksamhet i 34 §, |
|
|
|
||||
– tystnadsplikt i 35 §, och |
|
|
|
|
|||
– överklagande i 36 §. |
|
|
|
|
|||
Personuppgiftslagen |
|
|
Förhållandet till annan |
||||
och personuppgiftsansvar |
|
dataskyddsreglering |
|
||||
|
|
|
|
6 § |
|
|
|
Personuppgiftslagen (1998:204) |
Bestämmelserna i detta kapitel |
||||||
gäller vid behandling av person- |
kompletterar Europaparlamentets |
||||||
uppgifter inom socialförsäkringens |
och rådets förordning (EU) |
||||||
administration, |
om |
inte annat |
2016/679 av den 27 april 2016 |
||||
följer av detta kapitel eller före- |
om skydd för fysiska personer |
||||||
skrifter som meddelas med stöd |
med avseende på behandling av |
||||||
av kapitlet eller av personupp- |
personuppgifter och om det fria |
||||||
giftslagen. Med |
socialförsäkring- |
flödet av sådana uppgifter och om |
|||||
ens administration avses i detta |
upphävande av direktiv 95/46/EG |
||||||
kapitel Försäkringskassan |
och |
(allmän dataskyddsförordning). |
|||||
Pensionsmyndigheten. |
|
Lagen (2018:xx) med kom- |
|||||
En myndighet inom social- |
pletterande bestämmelser till EU:s |
||||||
försäkringens |
administration |
är |
dataskyddsförordning gäller vid |
||||
personuppgiftsansvarig för |
den |
behandling av personuppgifter en- |
|||||
behandling |
av |
personuppgifter |
ligt detta kapitel, om inte annat |
||||
som den utför. |
|
|
|
följer av detta kapitel eller före- |
|||
|
|
|
|
|
skrifter som har meddelats med |
||
|
|
|
|
|
stöd av kapitlet. |
|
|
|
|
|
|
|
Personuppgiftsansvar |
||
|
|
|
|
|
6 a § |
|
|
|
|
|
|
|
Med socialförsäkringens admi- |
||
|
|
|
|
|
nistration avses i detta kapitel |
||
|
|
|
|
|
administration |
hos |
Försäkrings- |
|
|
|
|
|
kassan och Pensionsmyndigheten. |
42
SOU 2017:66 Författningsförslag
|
|
|
|
|
En myndighet inom social- |
||
|
|
|
|
|
försäkringens administration |
är |
|
|
|
|
|
|
personuppgiftsansvarig för den be- |
||
|
|
|
|
|
handling |
av personuppgifter |
som |
|
|
|
|
|
den utför. |
|
|
|
|
|
|
10 § |
|
|
|
I fråga om behandling av |
Att personuppgifter som be- |
||||||
personuppgifter för annat ända- |
handlas för ändamål som anges i |
||||||
mål än vad som anges i |
7 § även får behandlas för andra |
||||||
gäller |
9 § |
första stycket d |
och |
ändamål framgår av artikel 5.1 b |
|||
andra stycket personuppgiftslagen |
i Europaparlamentets och rådets |
||||||
(1998:204). |
|
|
|
förordning (EU) 2016/679. |
|
||
|
|
|
|
11 § |
|
|
|
Känsliga |
personuppgifter |
som |
Sådana särskilda kategorier av |
||||
avses |
i 13 § personuppgiftslagen |
personuppgifter som anges i arti- |
|||||
(1998:204) |
(känsliga |
person- |
kel 9.1 i Europaparlamentets och |
||||
uppgifter) får behandlas om upp- |
rådets förordning (EU) 2016/679 |
||||||
gifterna lämnats till en myndig- |
(känsliga |
personuppgifter) |
får |
||||
het |
inom |
socialförsäkringens |
behandlas om uppgifterna läm- |
||||
administration i ett ärende eller |
nats till en myndighet inom |
||||||
är nödvändiga för handläggning |
socialförsäkringens administra- |
||||||
av ett ärende. Känsliga person- |
tion i ett ärende eller är nöd- |
||||||
uppgifter får vidare |
behandlas |
vändiga för handläggning av ett |
|||||
för något av de ändamål som |
ärende. Känsliga personuppgif- |
||||||
anges i 7 § första stycket 1 samt |
ter får vidare behandlas för |
||||||
8 och 9 §§ om det är nödvändigt |
något av de ändamål som anges i |
||||||
med hänsyn till ändamålet. |
|
7 § första stycket 1 samt 8 och |
|||||
|
|
|
|
|
9 §§ om det är nödvändigt med |
||
|
|
|
|
|
hänsyn till ändamålet. |
|
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.
Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som
43
Författningsförslag |
SOU 2017:66 |
behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket
12 §
Uppgifter om lagöverträdel- ser m.m. som avses i 21 § person- uppgiftslagen (1998:204) får be- handlas om uppgifterna lämnats till en myndighet inom social- försäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen be- handlas som enligt 15 § får be- handlas i socialförsäkringsdata- basen.
Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som be- handlas eller har behandlats för något av de ändamål som anges i 7 § första stycket
44
SOU 2017:66 |
Författningsförslag |
13 §
I 15 § finns särskilda bestäm- melser om behandling i social- försäkringsdatabasen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).
15 §
För de ändamål som anges i
uppgifter behandlas i socialförsäkringsdatabasen. |
|
|
||||||||
Känsliga personuppgifter eller |
Sådana |
känsliga |
personupp- |
|||||||
uppgifter |
om |
lagöverträdelser |
gifter som |
avses i |
11 § |
första |
||||
m.m. som avses i 21 § person- |
stycket eller sådana uppgifter om |
|||||||||
uppgiftslagen (1998:204) får ut- |
lagöverträdelser som avses i 12 § |
|||||||||
över vad som anges i 16 § be- |
första stycket får, utöver vad som |
|||||||||
handlas |
i |
socialförsäkringsdata- |
anges i 16 §, behandlas i social- |
|||||||
basen bara om det särskilt anges |
försäkringsdatabasen |
bara |
om |
|||||||
i lag eller förordning. För sådan |
det särskilt anges i lag eller för- |
|||||||||
behandling gäller de begräns- |
ordning. För sådan |
behandling |
||||||||
ningar |
som följer |
av 11 |
och |
gäller de begränsningar som följer |
||||||
12 §§. |
Regeringen |
eller |
den |
av 11 |
och 12 §§. |
Regeringen |
||||
myndighet som regeringen be- |
eller den myndighet som reger- |
|||||||||
stämmer |
meddelar |
föreskrifter |
ingen bestämmer meddelar före- |
|||||||
om ytterligare begränsningar för |
skrifter om ytterligare begräns- |
|||||||||
vilka uppgifter som får behand- |
ningar för vilka uppgifter som |
|||||||||
las i socialförsäkringsdatabasen. |
får behandlas i socialförsäkrings- |
|||||||||
|
|
|
|
|
|
databasen. |
|
|
|
|
|
|
|
|
|
16 § |
|
|
|
|
|
Uppgifter i en handling som |
Uppgifter i en handling som |
|||||||||
kommit in i ett ärende får be- |
kommit in i ett ärende får be- |
|||||||||
handlas |
i |
socialförsäkringsdata- |
handlas |
i socialförsäkringsdata- |
||||||
basen även om de utgör känsliga |
basen även om de utgör sådana |
|||||||||
personuppgifter |
eller uppgifter |
känsliga |
personuppgifter |
som |
||||||
om lagöverträdelser |
m.m. som |
avses i |
11 § första stycket |
eller |
45
Författningsförslag |
SOU 2017:66 |
avses i 21 § personuppgiftslagen
(1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialför- säkringsdatabasen, om uppgif- terna är nödvändiga för ärendets handläggning.
sådana uppgifter om lagöverträ- delser som avses i 12 § första stycket. Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialför- säkringsdatabasen, om uppgif- terna är nödvändiga för ärendets handläggning.
|
|
27 § |
|
|
|
Känsliga personuppgifter eller |
Sådana |
känsliga |
personupp- |
||
uppgifter |
om |
lagöverträdelser |
gifter som |
avses i |
11 § första |
m.m. som avses i 21 § person- |
stycket eller sådana uppgifter om |
||||
uppgiftslagen (1998:204) får inte |
lagöverträdelser som avses i 12 § |
||||
användas |
som |
sökbegrepp vid |
första stycket får inte användas |
||
sökning i socialförsäkringsdata- |
som sökbegrepp vid sökning i |
||||
basen. |
|
|
socialförsäkringsdatabasen. |
Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upp- rättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sök- begrepp som får användas.
29 §
Överföring av personuppgifter |
Personuppgifter får föras över |
till tredje land på grund av åtagan- |
till tredjeland på grund av åtagan- |
den i avtal om social trygghet |
den i avtal om social trygghet |
som Sverige ingått med andra |
som Sverige ingått med andra |
stater får ske utan hinder av 33 § |
stater. |
personuppgiftslagen (1998:204). |
|
30 § |
|
Personuppgifter i handlingar |
Personuppgifter i handlingar |
som kommit in i ett ärende eller |
som kommit in i ett ärende eller |
upprättats i ett ärende behöver |
upprättats i ett ärende behöver |
inte tas med i information |
inte tas med i sådan information |
enligt 26 § personuppgiftslagen |
som avses i artikel 15 i Europa- |
46
SOU 2017:66 |
Författningsförslag |
(1998:204) om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den regi- strerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska begränsningen i 26 § personupp- giftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
parlamentets och rådets förord- ning (EU) 2016/679 om den registrerade tagit del av hand- lingens innehåll. Av informa- tionen ska det dock framgå vilka sådana handlingar som behand- las. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.
31 §
Personuppgifter som behand- las automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndig- het som regeringen bestämmer meddelar föreskrifter om att upp- gifter får bevaras för historiska, statistiska eller vetenskapliga ända- mål.
36 §
I fråga om överklagande av beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) tillämpas bestämmel- serna i den lagen. Andra beslut enligt detta kapitel får inte över- klagas.
Författningsförslag |
SOU 2017:66 |
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som har meddelats före ikraftträdandet.
48
SOU 2017:66 |
Författningsförslag |
1.2Förslag till
ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten
för Inspektionen för socialförsäkringen
Härigenom föreslås i fråga om förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för social- försäkringen
dels att 5 och 17 §§ ska tas bort,
dels att rubrikerna närmast före 5 och 17 §§ ska tas bort,
dels att 2, 3, 7, 8, 15 och 16 §§ och rubriken närmast före 3 § ska ha följande lydelse.
Tidigare föreslagen lydelse |
Utredningens förslag till lydelse |
|||
|
|
|
2 § |
|
|
Behandling av personuppgifter som är tillåten enligt denna lag |
|||
får utföras även om den enskilde motsätter sig behandlingen. |
||||
|
Första stycket gäller inte om |
Första stycket gäller inte om |
||
personuppgifter samlas in direkt |
personuppgifter samlas in direkt |
|||
från den enskilde. I sådant fall |
från den enskilde. I sådant fall |
|||
får |
personuppgifter |
behandlas |
får personuppgifter behandlas |
|
endast om den enskilde har |
endast om den enskilde har |
|||
lämnat sitt uttryckliga samtycke |
lämnat sitt uttryckliga samtycke |
|||
till |
behandlingen. |
Bestämmel- |
till behandlingen. |
|
serna i 12 § |
personuppgiftslagen |
|
||
(1998:204) |
om återkallelse av |
|
||
lämnat samtycke tillämpas på mot- |
|
|||
svarande sätt vid behandling av |
|
|||
personuppgifter enligt denna lag. |
|
|||
Förhållandet till |
|
Förhållandet till |
||
personuppgiftslagen |
|
annan dataskyddsreglering |
||
|
|
|
3 § |
|
|
Personuppgiftslagen (1998:204) |
Denna lag kompletterar Europa- |
||
gäller vid behandling av person- |
parlamentets och rådets förordning |
|||
uppgifter inom verksamheten vid |
(EU) 2016/679 av den 27 april |
|||
inspektionen om inte annat följer |
2016 om skydd för fysiska perso- |
49
Författningsförslag |
SOU 2017:66 |
av denna lag eller föreskrifter som har meddelats med stöd av denna lag.
ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.
7 §
Personuppgifter får behand- las för att fullgöra ett utläm- nande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
8 §
Känsliga personuppgifter en- ligt 13 § personuppgiftslagen (1998:204) och personuppgifter som avses i 21 § samma lag får behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handlägg- ningen av ett sådant ärende.
50
SOU 2017:66 |
Författningsförslag |
tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.
15 §
Information som ska lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.
16 §
Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte reger- ingen eller den myndighet som regeringen bestämmer har med- delat föreskrifter eller i ett en- skilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål.
Författningsförslag |
SOU 2017:66 |
1.3Förslag till
lag om ändring i lagen (1996:1156) om receptregister
Härigenom föreskrivs i fråga om lagen (1996:1156) om recept- register2
dels att 24 § ska upphöra att gälla,
dels att rubriken närmast före 24 § ska utgå,
dels att 3, 7 och 20 §§ och rubriken närmast före 3 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till |
Förhållandet till |
personuppgiftslagen3 |
annan dataskyddsreglering |
3 §4
Personuppgiftslagen (1998:204) gäller för behandling av person- uppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i an- slutning till denna lag.
2Senaste lydelse av 24 § 2009:370.
3Senaste lydelse 2009:370.
4Senaste lydelse 2009:370.
52
SOU 2017:66 Författningsförslag
|
7 §5 |
|
|
|
|
|
|
|
I fråga om behandling av per- |
Att personuppgifter som be- |
|||||||
sonuppgifter |
i receptregistret för |
handlas för ändamål som anges i |
||||||
annat ändamål än vad som anges |
6 § även får behandlas för andra |
|||||||
i 6 § gäller 9 § första stycket d och |
ändamål framgår av artikel 5.1 b |
|||||||
andra stycket personuppgiftslagen |
i Europaparlamentets och |
rådets |
||||||
(1998:204). |
|
förordning (EU) 2016/679. |
|
|||||
|
20 §6 |
|
|
|
|
|
|
|
Utöver vad som framgår av |
||||||||
att den enskilde får information |
artikel 13.1, 13.2, 13.3, 14.1, 14.2 |
|||||||
om personuppgiftsbehandlingen. |
och 14.4 i Europaparlamentets och |
|||||||
Informationen ska innehålla |
rådets förordning (EU) 2016/679 |
|||||||
upplysningar om |
ska den personuppgiftsansvarige |
|||||||
1. vem som är personuppgifts- |
enligt denna lag till den registre- |
|||||||
ansvarig, |
|
rade lämna information om |
|
|
||||
2. ändamålen med registret, |
|
|
|
|
|
|
|
|
3. vilka uppgifter registret får |
1. vilka uppgifter registret får |
|||||||
innehålla, |
|
innehålla, |
|
|
|
|
|
|
4. de tystnadsplikts- och säker- |
2. de tystnadsplikts- och säker- |
|||||||
hetsbestämmelser som gäller för |
hetsbestämmelser |
som gäller |
för |
|||||
registret, |
|
registret, |
|
|
|
|
|
|
5. rätten att ta del av uppgifter |
3. rätten |
enligt |
artikel 82 i |
|||||
enligt 26 § |
personuppgiftslagen |
Europaparlamentets |
och |
rådets |
||||
(1998:204), |
|
förordning |
(EU) |
2016/679 |
och |
|||
6. rätten till rättelse av orik- |
8 kap. |
1 § |
lagen |
(2018:xx) med |
||||
tiga eller missvisande uppgifter |
kompletterande bestämmelser |
till |
||||||
enligt 24 §, |
|
EU:s |
dataskyddsförordning |
till |
||||
7. rätten till skadestånd enligt |
skadestånd |
vid |
behandling |
av |
||||
24 §, |
|
personuppgifter i strid med denna |
||||||
|
|
lag, |
|
|
|
|
|
|
8. de begränsningar i fråga |
4. de begränsningar i |
fråga |
||||||
om sökbegrepp och bevarande av |
om sökbegrepp som gäller för |
|||||||
uppgifter som gäller för registret, |
registret, och |
|
|
|
|
|||
och |
|
|
|
|
|
|
|
|
5Senaste lydelse 2009:370.
6Senaste lydelse 2013:1021.
53
Författningsförslag |
SOU 2017:66 |
9. att registreringen inte är frivillig med undantag för ända- mål enligt 6 § första stycket 2 och 8.
5. att registreringen inte är frivillig med undantag för ända- mål enligt 6 § första stycket 2 och 8.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
54
SOU 2017:66 |
Författningsförslag |
1.4Förslag till
lag om ändring i lagen (1998:543) om hälsodataregister
Härigenom föreskrivs i fråga om lagen (1998:543) om hälso- dataregister
dels att 11 § ska upphöra att gälla,
dels att rubriken närmast före 11 § ska utgå,
dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till |
Förhållandet till |
personuppgiftslagen |
annan dataskyddsreglering |
2 §
Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas person- uppgiftslagen (1998:204) vid be- handling av personuppgifter för hälsodataregister.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
55
Författningsförslag |
SOU 2017:66 |
1.5Förslag till
lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om lagen (2001:454) om behand- ling av personuppgifter inom socialtjänsten
dels att 9 och 10 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 9 och 10 §§ ska utgå,
dels att 1, 3, 4, 7 och 7 a §§ och rubriken närmast före 4 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 §7
Denna lag tillämpas vid be- handling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en struktu- rerad samling av personuppgif- ter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.
3 §
Lagen tillämpas inte vid be- handling av personuppgifter hos domstolar. Den tillämpas inte heller vid behandling av person- uppgifter för forsknings- och statistikändamål.
7 Senaste lydelse 2003:136.
56
SOU 2017:66 Författningsförslag
Förhållandet till |
Förhållandet till |
personuppgiftslagen m.m. |
annan dataskyddsreglering |
4 §
Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har med- delats med stöd av denna lag eller annars av 2 § personuppgifts- lagen.
7 §
Socialtjänsten får behandla
1. person- och samordningsnummer,
2. känsliga personuppgifter som |
2. sådana särskilda kategorier |
avses i 13 § personuppgiftslagen |
av personuppgifter som anges i |
(1998:204), samt |
artikel 9.1 i Europaparlamentets och |
|
rådets förordning (EU) 2016/679 |
|
(känsliga personuppgifter), samt |
3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden.
Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verk- samheten.
Enligt artikel 9.3 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 får känsliga
57
Författningsförslag SOU 2017:66
|
personuppgifter endast behandlas |
|
av eller under ansvar av den som |
|
omfattas av tystnadsplikt. |
7 a § |
|
I sammanställningar av per- |
I sammanställningar av per- |
sonuppgifter får det inte tas in |
sonuppgifter får det inte tas in |
känsliga personuppgifter eller |
sådana känsliga personuppgifter |
uppgifter i övrigt om ömtåliga |
som avses i 7 § första stycket 2 |
personliga förhållanden. |
eller uppgifter i övrigt om öm- |
|
tåliga personliga förhållanden. |
Undantag från första stycket gäller för
1.uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,
2.uppföljning, utvärdering och kvalitetssäkring,
3.tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,
4.administration som bedrivs av Statens institutionsstyrelse centralt, och
5.verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall.
Uppgift som avslöjar medlemskap i fackförening får aldrig tas in.
1.Denna lag träder i kraft den 1 maj 2018 i fråga om 1 och 3 §§ och i övrigt den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som har meddelats före ikraftträdandet.
3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
58
SOU 2017:66 |
Författningsförslag |
1.6Förslag till
lag om ändring i lagen (2002:297)
om biobanker i hälso- och sjukvården m.m.
Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.
dels att 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubriken närmast före 6 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 6 kap. 7 a § av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
4 kap.
4 a §8
En journalhandling inom en- skild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått till- gång till kodat humanbiologiskt material från den patienten en- ligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga per- sonuppgifter finns föreskrifter i personuppgiftslagen (1998:204).
8 Senaste lydelse 2008:358.
Författningsförslag SOU 2017:66
Skadestånd m.m. Skadestånd
6 kap.
2 §9
Huvudmannen för biobanken |
Huvudmannen för biobanken |
skall ersätta en enskild provgivare |
ska ersätta en enskild provgivare |
för den skada eller kränkning av |
för den skada eller kränkning av |
den personliga integriteten som |
den personliga integriteten som |
ett förfarande med vävnadspro- |
ett förfarande med vävnadspro- |
ver i strid med denna lag har |
ver i strid med denna lag har |
orsakat honom eller henne. |
orsakat honom eller henne. |
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.
Bestämmelserna i personupp- |
|
|
|
giftslagen (1998:204) om rättelse |
|
|
|
och skadestånd gäller vid behand- |
|
|
|
ling av personuppgifter enligt denna |
|
|
|
lag eller föreskrifter som har med- |
|
|
|
delats med stöd av lagen. |
|
|
|
3 §10 |
|
|
|
Inspektionen för vård och |
Inspektionen |
för vård och |
|
omsorg utövar tillsyn över att |
omsorg utövar tillsyn över att |
||
denna lag och föreskrifter som |
denna lag och föreskrifter som |
||
har meddelats i anslutning till |
har meddelats i anslutning till |
||
lagen följs. Den myndighet som |
lagen följs. Den myndighet som |
||
är tillsynsmyndighet enligt per- |
är tillsynsmyndighet enligt lagen |
||
sonuppgiftslagen (1998:204) ut- |
(2018:xx) |
med |
kompletterande |
övar dock tillsyn över den be- |
bestämmelser till EU:s dataskydds- |
||
handling som sker av person- |
förordning |
utövar dock tillsyn |
|
uppgifter. |
över den behandling som sker av |
||
|
personuppgifter. |
|
Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut hand- lingar, prover och annat material som rör verksamheten samt att
9Ändringen innebär bl.a. att tredje stycket tas bort.
10Senaste lydelse 2012:947.
60
SOU 2017:66 |
Författningsförslag |
lämna de upplysningar om verksamheten som inspektionen behö- ver för sin tillsyn.
Inspektionen för vård och omsorg får förelägga den som bedri- ver verksamheten att lämna ut vad som begärs. Ett beslut om före- läggande får förenas med vite.
7 §11
Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspek- tionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte överklagas.
Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.
En annan myndighets beslut om rättelse och om avslag på an- sökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas till allmän förvaltnings- domstol.
Prövningstillstånd krävs vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän för-
valtningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.
7 a §
Bestämmelser om överklagande av myndigheters beslut om sådan behandling av personuppgifter som avses i artikel 2.1 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskydds- förordning.
11 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.
61
Författningsförslag |
SOU 2017:66 |
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för överklagande av be- slut om behandling av personuppgifter som har meddelats före ikraftträdandet.
3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
62
SOU 2017:66 |
Författningsförslag |
1.7Förslag till
lag om ändring i lagen (2005:258) om läkemedelsförteckning
Härigenom föreskrivs i fråga om lagen (2005:258) om läke- medelsförteckning
dels att 8 och 13 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 8 och 13 §§ ska utgå,
dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållande till |
Förhållandet till |
personuppgiftslagen |
annan dataskyddsreglering |
2 § |
|
Personuppgiftslagen (1998:204) |
Denna lag kompletterar Europa- |
gäller vid behandling av person- |
parlamentets och rådets förordning |
uppgifter för läkemedelsförteck- |
(EU) 2016/679 av den 27 april |
ningen, om inget annat följer av |
2016 om skydd för fysiska perso- |
denna lag. |
ner med avseende på behandling |
|
av personuppgifter och om det fria |
|
flödet av sådana uppgifter och om |
|
upphävande av direktiv 95/46/EG |
|
(allmän dataskyddsförordning). |
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.
En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
63
Författningsförslag SOU 2017:66
|
Behandling av känsliga |
|
personuppgifter |
|
4 a § |
|
Enligt artikel 9.3 i Europa- |
|
parlamentets och rådets förord- |
|
ning (EU) 2016/679 får sådana |
|
särskilda kategorier av person- |
|
uppgifter som anges i artikel 9.1 i |
|
samma förordning (känsliga per- |
|
sonuppgifter) endast behandlas av |
|
eller under ansvar av den som |
|
omfattas av tystnadsplikt. |
Information som skall lämnas |
Information som ska lämnas |
självmant |
självmant |
10 §12
1. vem som är personuppgifts- ansvarig,
2. ändamålet med förteck- ningen,
3. vilken typ av uppgifter som ingår i förteckningen,
4. de tystnadsplikts- och säker- hetsbestämmelser som gäller för förteckningen,
5. rätten att ta del av uppgif- ter enligt 11 §,
6. rätten till rättelse av orik- tiga eller missvisande uppgifter,
12 Senaste lydelse 2013:621 (jfr 2013:1023).
64
SOU 2017:66 |
Författningsförslag |
7.rätten till skadestånd vid behandling av personuppgifter i strid med denna lag,
8.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling,
9.vad som gäller i fråga om bevarande och gallring, samt
10.att registreringen inte är frivillig.
4.rätten till skadestånd vid behandling av personuppgifter i strid med denna lag,
5.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling, samt
6.att registreringen inte är frivillig.
Information som skall lämnas |
Information som ska lämnas |
efter ansökan |
efter ansökan |
11 §
Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgifts- lagen (1998:204).
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
65
Författningsförslag |
SOU 2017:66 |
1.8Förslag till
lag om ändring i lagen (2006:351) om genetisk integritet m.m.
Härigenom föreskrivs i fråga om lagen (2006:351) om genetisk integritet m.m. att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till |
Förhållandet till annan |
personuppgiftslagen |
dataskyddsreglering |
1 kap.
4 §
Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av denna, tillämpas per- sonuppgiftslagen (1998:204) vid behandling av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
66
SOU 2017:66 |
Författningsförslag |
1.9Förslag till
lag om ändring i lagen (2006:496) om blodsäkerhet
Härigenom föreskrivs i fråga om lagen (2006:496) om blod- säkerhet
dels att 21 § ska upphöra att gälla, dels att 5 § ska ha följande lydelse,
dels att rubriken närmast före 4 § ska lyda ”Förhållandet till be- stämmelser i annan lagstiftning”.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till bestämmelser |
Förhållandet till bestämmelser |
i annan lag |
i annan lagstiftning |
5 §
Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.
Författningsförslag |
SOU 2017:66 |
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
68
SOU 2017:66 |
Författningsförslag |
1.10Förslag till
lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa
Härigenom föreskrivs i fråga om lagen (2006:1570) om skydd mot internationella hot mot människors hälsa att 12 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
12 §13
Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretess- lagen (2009:400).
Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i person- uppgiftslagen (1998:204). Folk- hälsomyndigheten och andra be- rörda myndigheter, kommuner och landsting får oavsett bestäm- melserna i 33 § personuppgifts- lagen överföra personuppgifter till Världshälsoorganisationen och tredje land för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller del- vis automatiserat, om det är nöd- vändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyl- dighet enligt denna lag.
13 Senaste lydelse 2014:1550.
Författningsförslag |
SOU 2017:66 |
uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller del- vis automatiserat, om det är nöd- vändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyl- dighet enligt denna lag.
Denna lag träder i kraft den 25 maj 2018.
70
SOU 2017:66 |
Författningsförslag |
1.11Förslag till
lag om ändring i lagen (2008:286)
om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
dels att 26 § ska upphöra att gälla, dels att 8 § ska ha följande lydelse,
dels att rubriken närmast före 6 § ska lyda ”Förhållandet till be- stämmelser i annan lagstiftning”.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till bestämmelser |
Förhållandet till bestämmelser |
i annan lag |
i annan lagstiftning |
8 §
Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.
Författningsförslag |
SOU 2017:66 |
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
72
SOU 2017:66 |
Författningsförslag |
1.12Förslag till
lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,
dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,
dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 och 7 §§, 10 kap. 2 § och rubrikerna närmast före 1 kap. 4 § och 8 kap. 7 § ska ha följande lydelse,
dels att rubriken till 10 kap. ska lyda ”Överklagande”,
dels att det ska införas två nya paragrafer, 1 kap. 5 § och 2 kap.
7 a § av följande lydelse. |
|
Nuvarande lydelse |
Föreslagen lydelse |
1kap.
1 §
Denna lag tillämpas vid vård- |
Denna lag tillämpas vid vård- |
givares behandling av person- |
givares behandling av person- |
uppgifter inom hälso- och sjuk- |
uppgifter inom hälso- och sjuk- |
vården. I lagen finns också be- |
vården. Vid behandling av per- |
stämmelser om skyldighet att |
sonuppgifter inom rättspsykiatrisk |
föra patientjournal. |
vård enligt lagen (1991:1129) om |
|
rättspsykiatrisk vård tillämpas dock |
|
inte […]. I lagen finns också |
|
bestämmelser om skyldighet att |
|
föra patientjournal. |
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer. |
|
Förhållandet till |
Förhållandet till |
personuppgiftslagen |
annan dataskyddsreglering |
4 § |
|
Personuppgiftslagen (1998:204) |
Denna lag kompletterar Europa- |
gäller vid sådan behandling av |
parlamentets och rådets förordning |
personuppgifter inom hälso- och |
(EU) 2016/679 av den 27 april |
sjukvården som är helt eller del- |
2016 om skydd för fysiska perso- |
vis automatiserad eller där upp- |
ner med avseende på behandling |
gifterna ingår i eller är avsedda |
av personuppgifter och om det fria |
73
Författningsförslag |
SOU 2017:66 |
att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.
flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid sådan behandling av personupp- gifter inom hälso- och sjukvår- den som är helt eller delvis auto- matiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier.
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personupp- gifter som avses i första stycket, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
5 §
Inom rättspsykiatrisk vård gäller, i stället för vad som anges i 1 kap. 4 §, brottsdatalagen (2018:xx) om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
2 kap.
5 §
Personuppgifter som behand- las för ändamål som anges i 4 § får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
74
SOU 2017:66 Författningsförslag
|
|
|
|
|
|
andra ändamål framgår av arti- |
||||||
|
|
|
|
|
|
kel 5.1 b |
i |
Europaparlamentets |
||||
|
|
|
|
|
|
och |
rådets |
förordning |
(EU) |
|||
|
|
|
|
|
|
2016/679. |
|
|
|
|
||
|
|
|
|
|
7 § |
|
|
|
|
|
|
|
En |
vårdgivare |
får |
behandla |
En |
vårdgivare får behandla |
|||||||
endast |
sådana |
personuppgifter |
endast |
sådana |
personuppgifter |
|||||||
som behövs för de ändamål som |
som behövs för de ändamål som |
|||||||||||
anges i 4 §. Uppgifter om lagöver- |
anges i 4 §. Uppgifter om lagöver- |
|||||||||||
trädelser m.m. som avses i 21 § |
trädelser |
som |
innefattar |
brott, |
||||||||
personuppgiftslagen (1998:204) får |
domar i brottmål, straffprocessu- |
|||||||||||
endast behandlas om det är |
ella tvångsmedel eller administra- |
|||||||||||
absolut nödvändigt för ett sådant |
tiva |
frihetsberövanden (uppgifter |
||||||||||
ändamål. Även en vårdgivare som |
om |
lagöverträdelser) får |
endast |
|||||||||
inte är statlig myndighet, lands- |
behandlas om det är absolut nöd- |
|||||||||||
ting eller kommun får under |
vändigt för ett sådant ändamål. |
|||||||||||
dessa |
förutsättningar |
behandla |
Även en vårdgivare som inte är |
|||||||||
uppgifter |
om |
lagöverträdelser |
statlig myndighet, landsting eller |
|||||||||
m.m. som avses i 21 § person- |
kommun får under dessa förut- |
|||||||||||
uppgiftslagen. |
|
|
|
sättningar behandla uppgifter om |
||||||||
|
|
|
|
|
|
lagöverträdelser. |
|
|||||
|
|
|
|
|
|
7 a § |
|
|
|
|
|
|
|
|
|
|
|
|
Enligt |
artikel 9.3 i Europa- |
|||||
|
|
|
|
|
|
parlamentets och rådets förord- |
||||||
|
|
|
|
|
|
ning (EU) 2016/679 får sådana |
||||||
|
|
|
|
|
|
särskilda kategorier av person- |
||||||
|
|
|
|
|
|
uppgifter som anges i artikel 9.1 i |
||||||
|
|
|
|
|
|
samma förordning (känsliga per- |
||||||
|
|
|
|
|
|
sonuppgifter) endast behandlas av |
||||||
|
|
|
|
|
|
eller under ansvar av den som |
||||||
|
|
|
|
|
|
omfattas av tystnadsplikt. |
|
|||||
|
|
|
|
|
8 § |
|
|
|
|
|
|
|
Känsliga personuppgifter som |
Sådana |
|
känsliga personupp- |
|||||||||
avses |
i 13 § personuppgiftslagen |
gifter som avses i 7 a § eller så- |
||||||||||
(1998:204) |
eller |
uppgifter om |
dana uppgifter om lagöverträ- |
|||||||||
lagöverträdelser m.m. som avses |
delser som avses i 7 § får inte |
|||||||||||
i 21 § samma lag får inte använ- |
användas som sökbegrepp. Inte |
75
Författningsförslag SOU 2017:66
das som sökbegrepp. Inte heller |
heller får uppgifter om att någon |
får uppgifter om att någon fått |
fått bistånd eller varit föremål |
bistånd eller varit föremål för |
för andra insatser inom social- |
andra insatser inom socialtjäns- |
tjänsten eller enligt utlännings- |
ten eller enligt utlänningslagen |
lagen (2005:716) användas som |
(2005:716) användas som sök- |
sökbegrepp. |
begrepp. |
|
Det är trots förbudet i första stycket tillåtet att som sökbegrepp
använda uppgifter om |
|
1. hälsa, eller |
1. hälsa, inklusive genetiska och |
|
biometriska uppgifter och uppgifter |
|
om sexuell läggning, eller |
2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgär- der enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.
7 kap.
3 §
Innan personuppgifter be- handlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas en- ligt 8 kap. 6 §, får information om
1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,
2. i vilken utsträckning per- sonuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och
76
SOU 2017:66 |
Författningsförslag |
Författningsförslag SOU 2017:66
10 §
Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska
gallras när de inte längre behövs för det ändamål som anges i 4 §. |
|
|||||||
En arkivmyndighet inom ett |
En arkivmyndighet inom ett |
|||||||
landsting eller en kommun får |
landsting eller en kommun får |
|||||||
dock föreskriva att personupp- |
dock föreskriva att personupp- |
|||||||
gifter i ett nationellt eller regio- |
gifter i ett nationellt eller regio- |
|||||||
nalt kvalitetsregister |
som |
förs |
nalt |
kvalitetsregister |
som |
förs |
||
inom landstinget eller kommunen |
inom landstinget eller kommunen |
|||||||
får bevaras för historiska, statis- |
får bevaras för arkivändamål av |
|||||||
tiska eller vetenskapliga ändamål. |
allmänt |
intresse, vetenskapliga |
||||||
|
|
|
|
eller |
historiska forskningsända- |
|||
|
|
|
|
mål eller statistiska ändamål. |
|
|||
Om |
regeringen |
eller |
den |
Om |
regeringen |
eller |
den |
|
myndighet regeringen bestämt |
myndighet regeringen bestämt |
|||||||
har meddelat föreskrifter enligt |
har meddelat föreskrifter enligt |
|||||||
7 § andra stycket, får regeringen |
7 § andra stycket, får regeringen |
|||||||
eller myndigheten också före- |
eller myndigheten också före- |
|||||||
skriva |
att personuppgifter |
får |
skriva |
att personuppgifter |
får |
|||
bevaras för historiska, |
statistiska |
bevaras för arkivändamål av all- |
||||||
eller vetenskapliga ändamål. |
|
mänt intresse, vetenskapliga eller |
||||||
|
|
|
|
historiska forskningsändamål eller |
||||
|
|
|
|
statistiska ändamål. |
|
|
8 kap.
6 §
Den som är personuppgifts- ansvarig enligt denna lag ska se till att den registrerade får infor- mation om personuppgiftsbehand- lingen.
Informationen ska innehålla upplysningar om
1.vem som är personuppgifts- ansvarig,
2.ändamålet med behand- lingen,
3.vilka kategorier av uppgifter som behandlas,
78
SOU 2017:66 |
Författningsförslag |
4.den uppgiftsskyldighet som kan följa av lag eller förordning,
5.de sekretess- och säkerhets- bestämmelser som gäller för upp- gifterna och behandlingen,
6.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
7.rätten enligt 5 § att få infor- mation om den direktåtkomst och elektroniska åtkomst som förekommit,
8.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
9.rätten till rättelse och under- rättelse av tredje man enligt 28 § personuppgiftslagen,
10.rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
11.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling,
1.den uppgiftsskyldighet som kan följa av lag eller förordning,
2.de sekretess- och säkerhets- bestämmelser som gäller för upp- gifterna och behandlingen,
3.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
4.rätten enligt 5 § att få infor- mation om den direktåtkomst och elektroniska åtkomst som förekommit,
5.rätten enligt artikel 82 i Europaparlamentets och rådets för- ordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag, samt
6.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling.
12.vad som gäller i fråga om bevarande och gallring, samt
13.huruvida personuppgifts- behandlingen är frivillig eller inte.
I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vil- ken information som ska lämnas i vissa fall.
79
Författningsförslag SOU 2017:66
Andra rättigheter |
Andra rättigheter |
enligt denna lag |
för den enskilde |
7 § |
|
I denna lag finns föreskrifter |
I denna lag finns föreskrifter |
om andra rättigheter för den |
om andra rättigheter för den |
enskilde i 3 kap. 8 §, 4 kap. 4 §, |
enskilde i 3 kap. 8 §, 4 kap. 4 §, |
6 kap. 2 § samt 7 kap. 2 och 3 §§. |
6 kap. 2 § samt 7 kap. 2 och 3 §§. |
|
Ytterligare föreskrifter om rättig- |
|
heter för den enskilde finns i |
|
Europaparlamentets och rådets |
|
förordning (EU) 2016/679. |
10 kap. |
|
Skadestånd och överklagande |
Överklagande |
2 §14
Inspektionen för vård och omsorgs beslut om att avslå en ansö- kan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap.
Vid sådan behandling av per- |
Vid sådan behandling av per- |
sonuppgifter som avses i 1 kap. |
sonuppgifter som avses i 1 kap. |
4 § finns ytterligare bestämmel- |
4 § finns ytterligare bestämmelser |
ser om överklagande i |
om överklagande av myndigheters |
personuppgiftslagen (1998:204). |
beslut i lagen (2018:xx) med kom- |
|
pletterande bestämmelser till EU:s |
|
dataskyddsförordning. |
Övriga beslut enligt denna lag får inte överklagas.
14 Senaste lydelse 2012:954.
80
SOU 2017:66 |
Författningsförslag |
1. Denna lag träder i kraft den 1 maj 2018 i fråga om 1 kap. 1 och 5 §§ och rubriken närmast före 1 kap. 4 §, och i övrigt den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.
3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
81
Författningsförslag |
SOU 2017:66 |
1.13Förslag till
lag om ändring i apoteksdatalagen (2009:367)
Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367) dels att 15 § ska upphöra att gälla,
dels att rubrikerna närmast före 2 och 15 §§ ska utgå,
dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,
dels att rubriken närmast före 3 § ska sättas närmast före 2 §, dels att det ska införas en ny paragraf, 9 a §, och närmast före
9 a § en ny rubrik av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållande till |
Förhållandet till |
personuppgiftslagen |
annan dataskyddsreglering |
5 §
Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.
82
SOU 2017:66 |
Författningsförslag |
9 §
I fråga om behandling av per- sonuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Behandling av känsliga personuppgifter
|
|
|
9 a § |
|
|
|
|
Enligt artikel 9.3 |
i Europa- |
|
|
|
parlamentets och rådets förord- |
|
|
|
|
ning (EU) 2016/679 får sådana |
|
|
|
|
särskilda kategorier av person- |
|
|
|
|
uppgifter som anges i artikel 9.1 i |
|
|
|
|
samma förordning (känsliga per- |
|
|
|
|
sonuppgifter) endast behandlas av |
|
|
|
|
eller under ansvar av den som |
|
|
|
|
omfattas av tystnadsplikt. |
|
|
|
16 § |
|
|
Tillståndshavaren ska se till |
Utöver vad som framgår av |
|||
att den enskilde får information |
artikel 13.1, 13.2, 13.3, 14.1, 14.2 |
|||
om personuppgiftsbehandlingen. |
och 14.4 i Europaparlamentets och |
|||
Informationen |
ska |
innehålla |
rådets förordning (EU) 2016/679 |
|
upplysningar om |
|
|
ska den personuppgiftsansvarige |
|
1. vem som är personuppgifts- |
enligt denna lag till den registre- |
|||
ansvarig, |
|
|
rade lämna information om |
|
2. ändamålen |
med |
behand- |
|
|
lingen, |
|
|
|
|
3. den uppgiftsskyldighet som |
1. den uppgiftsskyldighet som |
|||
kan följa av lag eller förordning, |
kan följa av lag eller förordning, |
|||
4. de tystnadsplikts- och säker- |
2. de tystnadsplikts- och säker- |
|||
hetsbestämmelser |
som |
gäller för |
hetsbestämmelser som gäller för |
|
uppgifterna och behandlingen, |
uppgifterna och behandlingen, |
|||
5. rätten att ta del av uppgif- |
3. rätten enligt |
artikel 82 i |
||
terna enligt 26 § personuppgifts- |
Europaparlamentets och rådets för- |
|||
lagen (1998:204), |
|
|
ordning (EU) 2016/679 och 8 kap. |
83
Författningsförslag |
SOU 2017:66 |
6.rätten enligt 15 § till rättelse av oriktiga eller missvisande upp- gifter,
7.rätten enligt 15 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,
8.vad som gäller i fråga om sökbegrepp,
1 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag, och
4. vad som gäller i fråga om sökbegrepp.
9.vad som gäller i fråga om bevarande, samt
10.huruvida personuppgifts- behandlingen är frivillig eller inte.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
84
SOU 2017:66 |
Författningsförslag |
1.14Förslag till
lag om ändring i lagen (2010:111)
om införande av socialförsäkringsbalken
Härigenom föreskrivs i fråga om lagen (2010:111) om införande av socialförsäkringsbalken att 9 kap. 22 och 23 §§ ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
9 kap.
22 §
Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner en- ligt de upphävda författningarna. Bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har med- delats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens admi- nistration eller föreskrifter som har meddelats i anslutning till den lagen.
23 § |
|
|
Bestämmelserna om skade- |
De upphävda bestämmelserna |
|
stånd i 114 kap. 33 § socialför- |
om skadestånd i |
114 kap. 33 § |
säkringsbalken tillämpas endast |
socialförsäkringsbalken tillämpas |
|
om den omständighet som ett |
endast om den |
omständighet |
yrkande om skadestånd grundas |
som ett yrkande om skadestånd |
85
Författningsförslag |
SOU 2017:66 |
på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna.
grundas på har inträffat efter utgången av november 2003, men före den 25 maj 2018. Har om- ständigheten inträffat före utgången av november 2003, tillämpas de då gällande bestämmelserna.
Denna lag träder i kraft den 25 maj 2018.
86
SOU 2017:66 |
Författningsförslag |
1.15Förslag till
lag om ändring i alkohollagen (2010:1622)
Härigenom föreskrivs i fråga om alkohollagen (2010:1622) att 13 kap. 5 § ska upphöra att gälla.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
87
Författningsförslag |
SOU 2017:66 |
1.16Förslag till
lag om ändring i lagen (2012:263)
om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
dels att 8 § ska upphöra att gälla,
dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till annan lag |
Förhållandet till annan |
|
dataskyddsreglering |
4 §
Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
88
SOU 2017:66 |
Författningsförslag |
1.17Förslag till
lag om ändring i lagen (2012:453)
om register över nationella vaccinationsprogram
Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram
dels att 12 § ska upphöra att gälla,
dels att rubriken närmast före 12 § ska utgå, dels att 3, 6 och 13 §§ ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
3 §15 |
|
Personuppgiftslagen (1998:204) |
Denna lag kompletterar Europa- |
gäller vid behandling av person- |
parlamentets och rådets förordning |
uppgifter i Folkhälsomyndighetens |
(EU) 2016/679 av den 27 april |
verksamhet när det gäller natio- |
2016 om skydd för fysiska perso- |
nella vaccinationsprogram, om |
ner med avseende på behandling |
inte annat följer av denna lag |
av personuppgifter och om det fria |
eller av föreskrifter som har med- |
flödet av sådana uppgifter och om |
delats i anslutning till lagen. |
upphävande av direktiv 95/46/EG |
|
(allmän dataskyddsförordning). |
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
6 § Personuppgifter får behandlas för
1.framställning av statistik,
2.uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt
3.forskning och epidemiologiska undersökningar.
15 Senaste lydelse 2013:637.
89
Författningsförslag |
SOU 2017:66 |
Personuppgifter som behand- las för de ändamål som anges i första stycket får också behand- las för att fullgöra uppgifts- utlämnande som sker i överens- stämmelse med lag eller förord- ning. I övrigt gäller 9 § första stycket d och andra stycket person- uppgiftslagen (1998:204).
Personuppgifter som behand- las för de ändamål som anges i första stycket får också behand- las för att fullgöra uppgifts- utlämnande som sker i överens- stämmelse med lag eller förord- ning. Att personuppgifter som behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamen- tets och rådets förordning (EU) 2016/679.
13 §16
Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.
Informationen ska innehålla upplysningar om
1.vem som är personuppgifts- ansvarig,
2.ändamålen med behand- lingen,
3.den uppgiftsskyldighet som kan följa av lag eller förordning,
4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,
5.rätten att ta del av uppgif- terna enligt 26 § personuppgifts- lagen (1998:204),
6.rätten enligt 12 § till rättelse av oriktiga eller missvisande upp- gifter,
16 Senaste lydelse 2013:637.
90
SOU 2017:66 |
Författningsförslag |
7.rätten enligt 12 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,
8.vad som gäller i fråga om sökbegrepp,
9.vad som gäller i fråga om bevarande, samt
10.att registreringen inte är frivillig.
4.vad som gäller i fråga om sökbegrepp, samt
5.att registreringen inte är frivillig.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
91
Författningsförslag |
SOU 2017:66 |
1.18Förslag till
lag om ändring i lagen (2016:526)
om behandling av personuppgifter i ärenden om licens för läkemedel
Härigenom föreskrivs i fråga om lagen (2016:526) om behand- ling av personuppgifter i ärenden om licens för läkemedel
dels att 20 § ska upphöra att gälla,
dels att rubrikerna närmast före 3 och 20 §§ ska utgå, dels att 4, 9 och 21 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 9 a §, och närmast före 4 och 9 a §§ nya rubriker av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
|
Förhållandet till annan |
|
dataskyddsreglering |
4 §
Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och
92
SOU 2017:66 Författningsförslag
|
|
|
9 § |
|
I fråga om behandling av |
Att personuppgifter som be- |
|||
personuppgifter för annat ända- |
handlas för ändamål som anges i |
|||
mål än vad som anges i 8 § gäller |
8 § även får behandlas för andra |
|||
9 § första |
stycket d och andra |
ändamål framgår av artikel 5.1 b |
||
stycket |
personuppgiftslagen |
i Europaparlamentets och rådets |
||
(1998:204). |
|
|
|
förordning (EU) 2016/679. |
|
|
|
|
Behandling av känsliga |
|
|
|
|
personuppgifter |
|
|
|
|
9 a § |
|
|
|
|
Enligt artikel 9.3 i Europa- |
|
|
|
|
parlamentets och rådets förord- |
|
|
|
|
ning (EU) 2016/679 får sådana |
|
|
|
|
särskilda kategorier av person- |
|
|
|
|
uppgifter som anges i artikel 9.1 i |
|
|
|
|
samma förordning (känsliga per- |
|
|
|
|
sonuppgifter) endast behandlas av |
|
|
|
|
eller under ansvar av den som om- |
|
|
|
|
fattas av tystnadsplikt. |
|
|
|
21 § |
|
Den personuppgiftsansvarige |
Utöver vad som framgår av |
|||
ska se till att den registrerade får |
artikel 13.1, 13.2, 13.3, 14.1, 14.2 |
|||
information |
om |
personuppgifts- |
och 14.4 i Europaparlamentets och |
|
behandlingen. |
|
|
rådets förordning (EU) 2016/679 |
|
Informationen |
ska |
innehålla |
ska den personuppgiftsansvarige |
|
upplysningar om |
|
|
enligt denna lag till den registre- |
|
1. vem som är personuppgifts- |
rade lämna information om |
|||
ansvarig, |
|
|
|
|
2. ändamålen |
med |
behand- |
|
|
lingen, |
|
|
|
|
3. den uppgiftsskyldighet som |
1. den uppgiftsskyldighet som |
|||
kan följa av lag eller förordning, |
kan följa av lag eller förordning, |
|||
4. de sekretess- och säkerhets- |
2. de sekretess- och säkerhets- |
|||
bestämmelser som gäller för upp- |
bestämmelser som gäller för upp- |
|||
gifterna och behandlingen, |
gifterna och behandlingen, |
93
Författningsförslag |
SOU 2017:66 |
5.rätten att ta del av uppgif- terna enligt 26 § personuppgifts- lagen (1998:204),
6.rätten enligt 20 § till rättelse av oriktiga eller missvisande upp- gifter och till skadestånd vid be- handling av personuppgifter i strid med denna lag,
7.vad som gäller i fråga om sökbegränsningar, och
8.vad som gäller i fråga om gallring.
3.rätten enligt artikel 82 i
Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
4.vad som gäller i fråga om sökbegränsningar.
1.Denna lag träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
94
SOU 2017:66 |
Författningsförslag |
1.19Förslag till
förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter
Härigenom föreskrivs i fråga om förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter att 1 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 §17
I denna förordning meddelas föreskrifter om att socialnämnd- erna skall lämna ut sådana per- sonuppgifter som avses i person- uppgiftslagen (1998:204) för sta- tistiska ändamål.
Denna förordning träder i kraft den 25 maj 2018.
17 Senaste lydelse 2001:942.
95
Författningsförslag |
SOU 2017:66 |
1.20Förslag till
förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten
dels att 4 § ska upphöra att gälla,
dels att 1, 2 och 12 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 §18
Denna förordning reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och om- sorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom social- tjänsten.
18 Senaste lydelse 2013:183.
96
SOU 2017:66 |
Författningsförslag |
2 §19
Grundläggande bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (1998:204).
Särskilda bestämmelser om behandling av personuppgifter inom socialtjänsten finns i lagen (2001:454) om behandling av person- uppgifter inom socialtjänsten, i 12 kap. socialtjänstlagen (2001:453) och i lagen (1993:387) om stöd och service till vissa funktionshind- rade.
12 §20
En kommunal myndighet får behandla personuppgifter för
1.handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och be- handling samt annan social service som följer av bestämmelserna i socialtjänstlagen (2001:453) och 2 kap. 7 § lagen (2009:47) om vissa kommunala befogenheter,
2.faderskapsutredningar, utredning om vårdnad av barn, adop- tionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken,
3.handläggning av ärenden och annan verksamhet som följer av bestämmelserna i lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall,
4.handläggning av ärenden om insatser och för särskilda upp- gifter som följer av bestämmelserna i lagen (1993:387) om stöd och service till vissa funktionshindrade,
5.handläggning av ärenden om tillstånd till parkering för rörelse- hindrade,
6.handläggning av ärenden om bistånd som lämnas av social- nämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
7.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,
8.handläggning av ärenden och annan verksamhet inom social- tjänsten som utförs vid kommunal invandrarbyrå,
19Senaste lydelse 2005:129.
20Senaste lydelse 2010:42.
97
Författningsförslag |
SOU 2017:66 |
9.handläggning av ärenden som följer av bestämmelserna i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen (1998:980), samt
10.tillsyn, uppföljning, utvärdering, kvalitetssäkring och admi- nistration av verksamheten.
Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkorts- förordningen får en kommunal myndighet inte behandla andra känsliga personuppgifter än upp- gifter som rör hälsa.
Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkorts- förordningen får en kommunal myndighet inte behandla andra sådana känsliga personuppgifter som avses i 7 § första stycket 2 lagen (2001:454) om behandling av personuppgifter inom social- tjänsten än uppgifter som rör hälsa.
Denna förordning träder i kraft den 1 maj 2018 i fråga om 1 och 1 a §§ och i övrigt den 25 maj 2018.
98
SOU 2017:66 |
Författningsförslag |
1.21Förslag till
förordning om ändring i förordningen (2001:707) om patientregister
hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2001:707) om patientregister hos Socialstyrelsen att 7 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
7 §
Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av orik- tiga eller missvisande uppgifter,
5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,
7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt
8.vad som gäller om beva- rande och gallring av registret.
Författningsförslag |
SOU 2017:66 |
Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
100
SOU 2017:66 |
Författningsförslag |
1.22Förslag till
förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen att 7 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
7 §
Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av orik- tiga eller missvisande uppgifter,
5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,
7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt
8.vad som gäller om beva- rande och gallring av registret.
Författningsförslag |
SOU 2017:66 |
Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
102
SOU 2017:66 |
Författningsförslag |
1.23Förslag till
förordning om ändring i förordningen (2001:709) om cancerregister
hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2001:709) om cancerregister hos Socialstyrelsen att 7 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
7 §
Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av orik- tiga eller missvisande uppgifter,
5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,
7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt
8.vad som gäller om beva- rande och gallring av registret.
Författningsförslag |
SOU 2017:66 |
Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
104
SOU 2017:66 |
Författningsförslag |
1.24Förslag till
förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreslås i fråga om förordningen (2003:766) om be- handling av personuppgifter inom socialförsäkringens administra- tion21
dels att 3 c § ska upphöra att gälla, dels att 8 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
8 §22
Försäkringskassan får meddela föreskrifter i fråga om
1.formerna för tilldelning av behörighet för åtkomst till social- försäkringsdatabasen genom en särskild handling,
2.vilka uppgifter i socialförsäkringsdatabasen Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till och formerna för direktåtkomsten,
4.vilka uppgifter i socialförsäkringsdatabasen Statens tjänste- pensionsverk och det för kommunerna och landstingen gemen- samma organet för administration av personalpensioner får ha direkt- åtkomst till,
5.vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation,
6.vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling till organ som driver för- säkringsrörelse,
7.begränsningar av de sökbegrepp som får användas vid sökning
isocialförsäkringsdatabasen,
8.fastställande av avgifter för utlämnade av uppgifter och hand- lingar från socialförsäkringsdatabasen, om inte utlämnandet är av- giftsfritt till följd av att det sker till en annan myndighet på grund av att det föreligger en sådan skyldighet i lag eller förordning, och
21Senaste lydelse av 3 c § 2010:1723.
22Senaste lydelse 2010:1723.
105
Författningsförslag SOU 2017:66
9. vilka särskilda åtgärder som Försäkringskassan och Pensions- myndigheten ska vidta för att kontrollera efterlevnaden av bestäm- melserna i 114 kap. socialförsäkringsbalken.
Om föreskrifterna enligt första |
Om föreskrifterna enligt första |
||
stycket avser uppgifter som faller |
stycket avser uppgifter som faller |
||
under Pensionsmyndighetens per- |
under Pensionsmyndighetens per- |
||
sonuppgiftsansvar enligt 114 kap. |
sonuppgiftsansvar enligt 114 kap. |
||
6 § andra |
stycket |
socialförsäk- |
6 a § socialförsäkringsbalken ska |
ringsbalken |
ska |
föreskrifterna |
föreskrifterna beslutas i samråd |
beslutas i samråd med Pensions- |
med Pensionsmyndigheten. |
||
myndigheten. |
|
|
1.Denna förordning träder i kraft den 25 maj 2018.
2.Bestämmelsen i 3 c § gäller fortfarande när kommunalt vård- nadsbidrag har lämnats enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.
106
SOU 2017:66 |
Författningsförslag |
1.25Förslag till
förordning om ändring i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen att 6 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
6 §
Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av orik- tiga eller missvisande uppgifter,
5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,
7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen, samt
8.vad som gäller om beva- rande och gallring av registret.
Författningsförslag |
SOU 2017:66 |
Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
108
SOU 2017:66 |
Författningsförslag |
1.26Förslag till
förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården
Härigenom föreskrivs i fråga om förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården att 6 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
6 §
Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av orik- tiga eller missvisande uppgifter,
5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,
7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt
8.vad som gäller om beva- rande och gallring av registret.
Författningsförslag |
SOU 2017:66 |
Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.
Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
110
SOU 2017:66 |
Författningsförslag |
1.27Förslag till
förordning om ändring i förordningen (2006:196) om register över hälso- och sjukvårdspersonal
Härigenom föreskrivs i fråga om förordningen (2006:196) om register över hälso- och sjukvårdspersonal
dels att 9 § ska upphöra att gälla,
dels att rubriken närmast före 9 § ska utgå, dels att 2 och 8 §§ ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
2 §
Personuppgiftslagen (1998:204) gäller utöver denna förordning vid behandlingen av personuppgifter i registret.
8 §
Socialstyrelsen skall på lämp- ligt sätt informera den registre- rade om registret. Informationen skall ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som registret får innehålla samt ge upplysning om
Författningsförslag |
SOU 2017:66 |
1. de sekretess- och säker- hetsbestämmelser som gäller för registret,
1. vilken typ av uppgifter som registret får innehålla,
2. de sekretess- och säker- hetsbestämmelser som gäller för registret,
2.rätten att få information och rättelse enligt personuppgifts- lagen (1998:204),
3.rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning,
4. vad som gäller i fråga om |
4. vad som gäller i fråga om |
||||
sökbegrepp, |
direktåtkomst |
och |
sökbegrepp, |
direktåtkomst |
och |
utlämnande |
av uppgifter |
på |
utlämnande |
av uppgifter |
på |
medium för automatiserad be- |
medium för automatiserad be- |
||||
handling, |
|
|
handling, samt |
|
|
5. om registreringen är frivillig eller inte. |
|
|
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
112
SOU 2017:66 |
Författningsförslag |
1.28Förslag till
förordning om ändring i förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen
Härigenom föreskrivs i fråga om förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen att 6 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
6 §
Den information som Social- styrelsen ska lämna de registre- rade enligt 25 § första stycket c personuppgiftslagen (1998:204) ska omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av orik- tiga eller missvisande uppgifter,
5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,
6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,
7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen, samt
8.vad som gäller om beva- rande och gallring av registret.
Författningsförslag |
SOU 2017:66 |
Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.
Denna förordning träder i kraft den 25 maj 2018.
114
SOU 2017:66 |
Författningsförslag |
1.29Förslag till
förordning om ändring i förordningen
(2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet
med framställning av statistik över kommunalt vårdnadsbidrag
Härigenom föreskrivs i fråga om förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksam- het med framställning av statistik över kommunalt vårdnadsbidrag
dels att 7 § ska upphöra att gälla,
dels att rubriken närmast före 7 § ska utgå,
dels att 1, 3, 4 och 5 §§ och rubriken närmast före 3 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
|
|
|
1 § |
|
|
Denna förordning gäller vid |
Denna förordning gäller vid |
||
helt eller |
delvis automatiserad |
helt eller delvis automatiserad |
|
behandling av personuppgifter i |
behandling av personuppgifter i |
||
Statistiska centralbyråns verksam- |
Statistiska centralbyråns verksam- |
||
het med framställning av statistik |
het med framställning av statistik |
||
över vårdnadsbidrag enligt lagen |
över vårdnadsbidrag enligt |
den |
|
(2008:307) om kommunalt vård- |
upphävda lagen (2008:307) |
om |
|
nadsbidrag. |
kommunalt vårdnadsbidrag. |
|
|
Förhållandet till lagen om |
Förhållandet till annan |
|
|
den officiella statistiken |
lagstiftning |
|
|
och personuppgiftslagen |
|
|
|
|
3 § |
|
|
Bestämmelserna i 14, 15 och |
Denna förordning komplette- |
||
19 §§ lagen (2001:99) om den |
rar Europaparlamentets och rådets |
||
officiella |
statistiken gäller när |
förordning (EU) 2016/679 |
av |
Statistiska centralbyrån behandlar |
den 27 april 2016 om skydd för |
||
personuppgifter för att framställa |
fysiska personer med avseende på |
||
statistik över kommunalt vård- |
behandling av personuppgifter och |
||
nadsbidrag. Om inte annat följer |
om det fria flödet av sådana upp- |
115
Författningsförslag SOU 2017:66
av angivna bestämmelser |
eller |
gifter och om upphävande av |
|||
denna förordning gäller person- |
direktiv 95/46/EG (allmän data- |
||||
uppgiftslagen (1998:204) |
vid |
skyddsförordning). |
|
|
|
Statistiska centralbyråns behand- |
Bestämmelserna i 14, 15 och |
||||
ling av personuppgifterna. |
|
19 §§ lagen (2001:99) om den |
|||
|
|
officiella |
statistiken |
gäller |
när |
|
|
Statistiska |
centralbyrån behand- |
||
|
|
lar personuppgifter för att fram- |
|||
|
|
ställa statistik över |
kommunalt |
||
|
|
vårdnadsbidrag. |
|
|
|
|
|
Lagen (2018:xx) med kom- |
|||
|
|
pletterande bestämmelser till EU:s |
|||
|
|
dataskyddsförordning |
gäller |
vid |
|
|
|
behandling av personuppgifter en- |
|||
|
|
ligt denna förordning, om inte |
|||
|
|
annat följer av angivna bestäm- |
|||
|
|
melser eller denna förordning. |
|
4 §
Behandling av personuppgifter får ske inom ramen för ett upp- drag från regeringen som gäller framställning av statistik över det
kommunala vårdnadsbidraget. |
|
Personuppgifter som behand- |
Personuppgifter som behand- |
las för det ändamål som anges i |
las för ändamål som anges i |
första stycket får också behand- |
första stycket får också behand- |
las för att fullgöra uppgiftsläm- |
las för att fullgöra uppgiftsläm- |
nande som sker i överensstäm- |
nande som sker i överensstäm- |
melse med lag eller förordning. |
melse med lag eller förordning. |
I övrigt gäller 9 § första stycket d |
Att personuppgifter som behand- |
och andra stycket personuppgifts- |
las för ändamål som anges i första |
lagen (1998:204). |
stycket även får behandlas för andra |
|
ändamål framgår av artikel 5.1 b |
|
i Europaparlamentets och rådets |
|
förordning (EU) 2016/679. |
116
SOU 2017:66 Författningsförslag
|
|
5 § |
|
|
|
Utöver vad som följer av 14 § |
Utöver vad som följer av 14 § |
||||
lagen (2001:99) om den offici- |
lagen (2001:99) om den offici- |
||||
ella statistiken |
får Statistiska |
ella statistiken |
får Statistiska |
||
centralbyrån behandla sådana |
centralbyrån |
behandla sådana |
|||
personuppgifter som anges i 2 § |
personuppgifter som anges i den |
||||
förordningen (2009:1421) |
om |
upphävda |
2 § |
förordningen |
|
skyldighet för |
kommuner |
att |
(2009:1421) |
om |
skyldighet för |
lämna statistiska uppgifter |
om |
kommuner att lämna statistiska |
|||
kommunalt vårdnadsbidrag. |
|
uppgifter om kommunalt vård- |
|||
|
|
|
nadsbidrag. |
|
|
Endast sådana uppgifter får behandlas som behövs för de ända- mål som anges i 4 §.
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
117
Författningsförslag |
SOU 2017:66 |
1.30Förslag till
förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län
Härigenom föreskrivs i fråga om förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län
dels att 6 § ska upphöra att gälla,
dels att rubriken närmast före 6 § ska utgå.
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
118
SOU 2017:66 |
Författningsförslag |
1.31Förslag till
förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
Härigenom föreskrivs i fråga om förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmåns- verkets verksamhet i fråga om det statliga tandvårdsstödet
dels att 9 § ska upphöra att gälla,
dels att rubriken närmast före 9 § ska utgå,
dels att 3 och 4 §§ och rubriken närmast före 3 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Förhållandet till |
Förhållandet till |
personuppgiftslagen |
annan dataskyddsreglering |
3 §
Om inte annat följer av denna förordning, gäller personuppgifts- lagen (1998:204) vid Tandvårds- och läkemedelsförmånsverkets be- handling av personuppgifter.
Författningsförslag |
SOU 2017:66 |
4 §
Tandvårds- och läkemedelsförmånsverket får behandla person- uppgifter om det behövs för att:
1.fatta beslut om utformningen av det statliga tandvårdsstödet
ifråga om ersättningsberättigande tandvårdsåtgärder, referenspriser för de ersättningsberättigande åtgärderna samt beloppsgränser och ersättningsgrader inom skyddet mot höga kostnader, och
2.genomföra uppföljning av utvecklingen på tandvårdsområdet.
Personuppgifter som behand- |
Personuppgifter som behand- |
las för de ändamål som anges i |
las för de ändamål som anges i |
första stycket får också behand- |
första stycket får också behand- |
las för att fullgöra uppgiftsläm- |
las för att fullgöra uppgiftsläm- |
nande som sker i överensstäm- |
nande som sker i överensstäm- |
melse med lag eller förordning. |
melse med lag eller förordning. |
I övrigt gäller 9 § första stycket d |
Att personuppgifter som behandlas |
och andra stycket personuppgifts- |
för ändamål som anges i första |
lagen (1998:204). |
stycket även får behandlas för |
|
andra ändamål framgår av arti- |
|
kel 5.1 b i Europaparlamentets och |
|
rådets förordning (EU) 2016/679. |
1.Denna förordning träder i kraft den 25 maj 2018.
2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.
120
SOU 2017:66 |
Författningsförslag |
1.32Förslag till
förordning om ändring i förordningen (2013:413) om kosmetiska produkter
Härigenom föreskrivs i fråga om förordningen (2013:413) om kosmetiska produkter att 1 och 5 §§ och rubriken närmast före 5 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 § Denna förordning är meddelad
1. med stöd av 14 kap. 19 § 1 miljöbalken i fråga om 4 och 6 §§,
2. med stöd av 20 § |
person- |
2. med stöd av 3 kap. 8 § lagen |
uppgiftslagen (1998:204) |
i fråga |
(2018:xx) med kompletterande |
om 5 §, |
|
bestämmelser till EU:s dataskydds- |
|
|
förordning i fråga om 5 §, |
3.med stöd av 8 kap. 7 § regeringsformen i fråga om 8 §,
4.med stöd av 26 kap. 6 § miljöbalken i fråga om 13 och 15 §§,
5.i övrigt med stöd av 14 kap. 8 § miljöbalken.
Undantag |
|
Behandling av personuppgifter |
från personuppgiftslagen |
|
|
|
5 § |
|
Läkemedelsverket får trots |
Läkemedelsverket får utföra |
|
13 § andra stycket personuppgifts- |
de behandlingar av personupp- |
|
lagen (1998:204) utföra de be- |
gifter som rör hälsa och som är |
|
handlingar |
av personuppgifter |
nödvändiga för att fullgöra de |
som rör hälsa och som är nöd- |
skyldigheter som föreskrivs i för- |
|
vändiga för att fullgöra de skyl- |
ordning (EG) nr 1223/2009 samt |
|
digheter som föreskrivs i för- |
i övrigt utföra de behandlingar |
|
ordning (EG) nr 1223/2009 samt |
av personuppgifter som rör hälsa |
|
i övrigt utföra de behandlingar |
i den omfattning behandlingen |
|
av personuppgifter som rör hälsa |
omfattas av Läkemedelsverkets |
|
i den omfattning behandlingen |
tillsynsverksamhet. |
|
omfattas av |
Läkemedelsverkets |
|
tillsynsverksamhet.
121
Författningsförslag |
SOU 2017:66 |
Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som Läkemedelsverket utför för att fullgöra sådana uppgifter som avses i första stycket.
Denna förordning träder i kraft den 25 maj 2018.
122
SOU 2017:66 |
Författningsförslag |
1.33Förslag till
förordning om ändring i läkemedelsförordningen (2015:458)
Härigenom föreskrivs i fråga om läkemedelsförordningen (2015:458) att 3 kap. 13 § och rubriken närmast före 3 kap. 13 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Undantag |
Behandling av personuppgifter |
från personuppgiftslagen |
|
3 kap.
13 §
Läkemedelsverket och inne- havare av ett godkännande eller en registrering för försäljning får trots bestämmelserna i 13 § andra stycket personuppgiftslagen (1998:204) utföra de behand- lingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen (2015:315) eller i denna förord- ning.
Läkemedelsverket är person- uppgiftsansvarigt för behandling av personuppgifter som verket ut- för för att fullgöra en sådan skyl- dighet som avses i första stycket.
Författningsförslag |
SOU 2017:66 |
Läkemedelsverket är person- uppgiftsansvarigt för behandling av personuppgifter som verket ut- för för att fullgöra en sådan skyl- dighet som avses i första stycket.
Denna förordning träder i kraft den 25 maj 2018.
124
SOU 2017:66 |
Författningsförslag |
1.34Förslag till
förordning om upphävande av förordningen (1994:565) om vårdnadsbidragsregister
Härigenom föreskrivs att förordningen (1994:565) om vårdnads- bidragsregister ska upphöra att gälla den 25 maj 2018.
125
Författningsförslag |
SOU 2017:66 |
1.35Förslag till
förordning om upphävande av förordningen (1998:156) med bemyndigande
för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister
Härigenom föreskrivs att förordningen (1998:156) med bemyn- digande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister ska upphöra att gälla den 25 maj 2018.
126
2Utredningsarbetet och betänkandet
2.1Utredningsarbetet
Utredningens utredningsdirektiv (dir. 2016:52) finns intagna som bilaga till detta betänkande.
Utredningen har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Sammanlagt har tre utredningssammanträden hållits. Därutöver har särskilda sammanträden hållits med bl.a. de experter som företräder myndigheter som i dag inte tillämpar en registerförfattning.
Utredningen har vidare gett myndigheter och andra intressenter som på olika sätt påverkas av de många författningar som omfattas av utredningens uppdrag tillfälle att lämna synpunkter. Syftet har varit att säkerställa att förutsättningarna för en ändamålsenlig be- handling av personuppgifter inte försämras, om det går att undvika, och även i övrigt få de berörda aktörernas syn på de författnings- ändringar som utredningen föreslår.
Utredningen har haft kontakter med ett stort antal andra utred- ningar som har haft i uppdrag att på olika sätt anpassa svensk rätt till den nya
Utöver möten i samordningsgruppen har utredningen haft sam- råd eller andra kontakter med företrädare för Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06), Forskningsdatautred-
127
Utredningsarbetet och betänkandet |
SOU 2017:66 |
ningen (U 2016:04), Utbildningsdatautredningen (U 2016:03), Utred- ningen om regleringen av biobanker (S 2016:04) och Totalförsvars- datautredningen (Fö 2016:01).
2.2Betänkandets disposition
Betänkandet är indelat i fyra delar, förutom detta kapitel och för- fattningsförslagen samt sammanfattningen.
Den första delen, som omfattar kapitel
I betänkandets andra del, kapitel
Den tredje delen av betänkandet, som omfattar kapitel
128
SOU 2017:66 |
Utredningsarbetet och betänkandet |
giftsskyldigheter berörs i kapitel 13. I kapitel 14 redogörs för för- fattningar som utredningen bedömt inte behöver finnas kvar. Kapitel- indelningen i denna del är gjord av pedagogiska skäl och respektive författning har placerats i det kapitel den bedömts höra bäst hemma.
Slutligen finns i betänkandets fjärde del, kapitel
Som bilagor till betänkandet har fogats utredningens huvud- direktiv (dir. 2016:52) och dataskyddsförordningen.
129
BAKGRUND
3 Kort om gällande rätt
3.1Europarådet
3.1.1Europakonventionen
Artikel 8 i den europeiska konventionen om skydd för de mänsk- liga rättigheterna och de grundläggande friheterna (Europakonven- tionen) avser rätt till skydd för privat- och familjeliv. Artikeln lyder enligt följande:
1.Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
2.Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till före- byggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Artikel 8 är tillämplig på behandling av personuppgifter men om- fattar inte all slags behandling av personuppgifter – frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonven- tionen tar i första hand sikte på åtgärder av det allmänna.
3.1.2Dataskyddskonventionen
Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före
133
Kort om gällande rätt |
SOU 2017:66 |
dataskyddskonventionen. Dess syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Tillämpningsområdet är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3).
Dataskyddskonventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna
De grundläggande principerna ger ett minimiskydd och bestäm- melserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd än det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat får dock, enligt artikel 12 i kapi- tel II, inte hindra gränsöverskridande överföring av personuppgif- ter till en annan konventionsstat bara av skäl som rör integritets- skydd. Avvikelser kan göras även från minimiskyddet enligt data- skyddskonventionen under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter (arti- kel 9).
Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.
134
SOU 2017:66 |
Kort om gällande rätt |
Dataskyddskonventionen är för närvarande föremål för en över- syn.
3.1.3Rekommendation om skyddet av hälsouppgifter
I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskydds- konventionen. Rekommendationen ersatte en tidigare rekommen- dation avseende medicinska databanker, som hade antagits 1981. Den nya tekniken föranledde nya ställningstaganden.
Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Verksamhet utanför hälso- och sjukvårdssektorn, som omfattas av lämpliga skydds- åtgärder i nationell rätt, omfattas dock inte av rekommendationen. (Princip 2)
Här följer en översiktlig redogörelse för innehållet i rekommen- dationen.
Hälsouppgifter får som huvudregel behandlas endast av sjuk- vårdspersonal med tystnadsplikt och i övrigt i enlighet med lämp- liga säkerhetsåtgärder som ska framgå av nationell rätt. (Princip 3)
Hälsouppgifter ska som huvudregel samlas in från den registre- rade och får behandlas enbart för vissa i rekommendationen an- givna ändamål. Det ska också finnas stöd för behandlingen i lag- stiftning. Ändamålen i rekommendationen avser dels allmänna intressen – folkhälsa, förhindrande av stor fara eller viss brottslig- het samt andra allmänna intressen – och dels enskilda intressen. Hälsouppgifter får behandlas för förebyggande hälso- och sjukvård, diagnosticering och behandling av den registrerade eller anhörig med genetisk anknytning, för att skydda den registrerades eller tredje persons grundläggande intressen, för att uppfylla en kontraktuell skyldighet, för att fastställa, göra gällande eller försvara rättsliga anspråk eller med stöd av samtycke utom då nationell rätt före- skriver att samtycke inte kan lämnas. (Princip
135
Kort om gällande rätt |
SOU 2017:66 |
Ett samtycke till behandling av hälsouppgifter ska vara frivilligt, uttryckt och informerat (princip 6).
För genetiska uppgifter anges särskilt att om de samlats in för förebyggande hälso- och sjukvård, diagnosticering eller behandling av den registrerade eller för forskning, ska uppgifterna behandlas endast för dessa ändamål. Det kan dock finnas överordnade intres- sen som motiverar att genetiska uppgifter används även för andra ändamål; detta under förutsättning att lämpliga säkerhetsåtgärder föreskrivs i lagstiftning. Exempelvis kan genetiska uppgifter be- handlas för forskningsändamål och för att fastställa släktskap inom brottsbekämpande verksamhet. (Princip
Hälsouppgifter får under vissa förutsättningar lämnas ut för ungefär samma ändamål som de uppgifterna ursprungligen fick samlas in för. Utlämnande får ske endast till den som omfattas av sådan tystnadsplikt som gäller sjukvårdspersonal, eller motsvarande tystnadsplikt. Utlämnandet ska också ske med stöd i lagstiftning och utgöra en nödvändig åtgärd i ett demokratiskt samhälle. I vissa fall har den registrerade möjlighet att invända mot utlämnandet. (Princip 7)
Den registrerade ska få information om vilka hälsouppgifter som behandlas om honom eller henne, för vilka ändamål de behandlas, varifrån hälsouppgifterna samlats in, till vilka hälsouppgifterna kan komma att lämnas ut, möjligheten att ta tillbaka ett samtycke, vem som är ansvarig för hälsouppgifterna och möjligheten att ta del av och begära rättelse av hälsouppgifterna. Informationsskyldigheten begränsas dock av vissa angivna undantag. (Princip 5)
Den registrerade ska ha möjlighet att ta del av vilka hälsouppgifter som behandlas om honom eller henne. Begränsningar i rätten att få del av hälsouppgifterna kan göras i lagstiftning om det exempelvis är nödvändigt av skäl som berör allmän säkerhet, om den registre- rade eller en anhörig med genetisk anknytning skulle åsamkas all- varlig skada genom att hälsouppgifterna lämnas ut, eller om uppgif- terna endast behandlas för statistiska eller forskningsrelaterade skäl och det inte finns någon risk för integritetsintrång. (Princip 8.1 och 2)
Oväntade resultat till följd av en genetisk analys ska meddelas den registrerade om nationell rätt inte förbjuder det, om den regi- strerade själv frågat efter resultatet och informationen inte riskerar att skada den registrerade eller annan (princip 8.4).
136
SOU 2017:66 |
Kort om gällande rätt |
Den registrerade ska också ha möjlighet att begära rättelse av felaktiga hälsouppgifter och, om begäran av rättelse avslås, kunna överklaga beslutet om avslag (princip 8.3).
Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse, oavsiktlig förlust samt otillåten tillgång, ändring, utlämnande eller i övrigt otillåten behandling (princip 9). Hälsouppgifter får inte be- varas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna samlats in (princip 10).
Principerna i rekommendationen gäller även överföring av hälso- uppgifter till andra länder. Överföring till länder som inte tillhanda- håller sådant skydd som dataskyddskonventionen och de aktuella rekommendationerna föreskriver, ska i regel inte förekomma. Över- föring kan trots det ske om den registrerade har lämnat samtycke eller det framgår av nationell rätt att överföring ska ske och till- räckliga åtgärder har vidtagits för att tillförsäkra uppgifterna skydd. (Princip 11)
Hälsouppgifter som används för forskningsändamål ska, när det är möjligt, vara anonymiserade. Om anonymisering inte är möjlig, får hälsouppgifter behandlas om samtycke har lämnats, om stöd finns i nationell rätt, eller om användningen av hälsouppgifter i ett avgränsat forskningsprojekt med ett allmänt intresse har tillåtits av en i nationell rätt särskilt utsedd funktion. Det förutsätter dock bl.a. att den registrerade inte uttryckligen motsatt sig behandlingen och att intresset av forskningsprojektet motiverar behandlingen. (Princip 12)
3.1.4Rekommendation om skyddet av personuppgifter som behandlas för ändamål rörande social trygghet
Europarådets ministerkommitté har också antagit en rekommen- dation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål rörande social trygghet.
Rekommendationen är tillämplig på behandling av personupp- gifter för ”social security purposes” (ändamål hänförliga till social
137
Kort om gällande rätt |
SOU 2017:66 |
trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeförmåner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsförmåner och familjeförmåner (princip 1.2).
Här följer en översiktlig redogörelse för innehållet i rekommen- dationen.
Insamling och lagring av personuppgifter ska begränsas till vad som är nödvändigt för att arbetsuppgifter inom de sociala trygg- hetssystemen ska kunna utföras. Är personuppgifterna av känslig natur, får de samlas in om det finns stöd i nationell rätt. Person- uppgifter som rör ras, politiska åsikter eller religiösa eller andra övertygelser får behandlas enbart om det är absolut nödvändigt för administrationen av en viss förmån. (Princip 3.1)
Personuppgifter ska som huvudregel samlas in från den registre- rade men kan även samlas in från andra om det finns stöd för det i nationell rätt. Personuppgifter av känslig natur får samlas in från andra källor än den registrerade endast med stöd av samtycke eller i enlighet med lämpliga säkerhetsåtgärder som ska framgå av natio- nell rätt. (Princip 3.2 och 3)
Personuppgifter som samlats in för ett visst ändamål får be- handlas även för andra ändamål hänförliga till social trygghet (princip 4.1). Utbyte av personuppgifter mellan olika organ inom det sociala trygghetssystemet får ske i den mån det behövs för att arbetsuppgifter ska kunna utföras (princip 4.2). Överföring av per- sonuppgifter över nationsgränser och mellan olika organ inom det sociala trygghetssystemet får också ske om det är nödvändigt för att arbetsuppgifter ska kunna utföras i enlighet med internationella rättsakter (princip 8.1). Till andra organ får uppgifter lämnas ut enbart för ändamål som avser social trygghet eller med stöd av den registrerades samtycke (princip 4.3).
Användningen av nationella identifikationsnummer (person- nummer eller liknande) ska omgärdas av lämpliga säkerhetsåtgärder fastställda i nationell rätt (princip 5.1). Lämpliga tekniska och orga- nisatoriska åtgärder ska vidtas även i övrigt för att personuppgifter ska tillförsäkras säkerhet och sekretess (princip 7.1).
Om inte annat framgår av nationell rätt rörande hälsouppgifter eller personuppgifter inom forskning och statistik, får rätten till
138
SOU 2017:66 |
Kort om gällande rätt |
insyn och möjligheten att begära rättelse inte begränsas förutom om det är nödvändigt för att förhindra bedrägeri eller utnyttjande av det sociala trygghetssystemet eller för skyddet av enskildas fri- och rättigheter. (Princip 6.1)
Personuppgifter får inte lagras under längre tid än vad som är motiverat för ändamålet eller vad som är behövligt med hänsyn till den registrerades intresse. Personuppgifter som endast ska användas för forskning eller statistik ska, om det är möjligt, anonymiseras. Om det inte är möjligt att använda sig av anonymisering, ska andra lämpliga säkerhetsåtgärder vidtas. (Princip 9)
3.2Dataskyddsdirektivet
3.2.1Inledning
Den allmänna regleringen om behandling av personuppgifter inom EU finns för närvarande i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Data- skyddsdirektivet syftar till att garantera en hög och i alla medlems- stater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. Medlemsstaterna bestäm- mer dock själva på vilket sätt dataskyddsdirektivet ska införlivas i den nationella lagstiftningen och de får, inom den ram som anges i dataskyddsdirektivet, närmare precisera villkoren för när behand- ling av personuppgifter får förekomma. Sådana preciseringar får inte hindra det fria flödet av personuppgifter inom unionen.
Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i praktiken övertagits av dataskyddsdirektivet.
1 Här och i det följande används namnet
139
Kort om gällande rätt |
SOU 2017:66 |
vid sidan av dataskyddsdirektivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.2
Dessutom finns en grundläggande bestämmelse om dataskydd i artikel 8 i Europeiska unionens stadga om de grundläggande rättig- heterna (2010/C 83/02), rättighetsstadgan. I artikeln anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
3.2.2Tillämpningsområde
Dataskyddsdirektivet omfattar helt eller delvis automatiserad be- handling av personuppgifter. Även manuell behandling av person- uppgifter omfattas, om personuppgifterna ingår i eller kommer att ingå i ett register. Däremot omfattas inte behandling av personupp- gifter på områden som faller utanför
3.2.3Grundläggande krav och principer
Dataskyddsdirektivet innehåller en rad grundläggande krav på be- handlingen av personuppgifter. Det åligger den registeransvarige (i dataskyddsdirektivet används begreppet registeransvarig, som i sak motsvarar begreppet personuppgiftsansvarig) att säkerställa att kraven efterlevs (artikel 6.2). All behandling av personuppgifter måste vara laglig och korrekt. Personuppgifter får bara samlas in
2
140
SOU 2017:66 |
Kort om gällande rätt |
för särskilda, uttryckligt angivna och berättigade ändamål och sen- are behandling får inte ske på ett sätt som är oförenligt med dessa ändamål (finalitetsprincipen). Personuppgifterna måste vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till ändamålet. Vidare ska personuppgifterna vara rik- tiga och aktuella och alla rimliga åtgärder måste vidtas för att säker- ställa att personuppgifter vid behov utplånas eller rättas. Förvaring av personuppgifter ska ske på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt med hänsyn till ändamålet. (Artikel 6)
Personuppgifter får enligt dataskyddsdirektivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgör- ande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att skydda intressen som är av grundläggande betydelse för den registrerade. Vidare får behand- ling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighets- utövning. Slutligen får personuppgifter behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas (intresseavvägning). (Artikel 7)
3.2.4Känsliga personuppgifter
Vissa särskilda, i dataskyddsdirektivet angivna kategorier av upp- gifter, får som huvudregel inte behandlas. Det gäller sådana upp- gifter som avslöjar den registrerades ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (artikel 8.1). Det finns dock undantag från denna huvudregel. Behandling av sådana personuppgifter får t.ex. ske om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, om behandlingen är nöd- vändig för att fullgöra skyldigheter och rättigheter inom arbets- rätten eller om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ideella verksamheter med politiskt, filosofiskt,
141
Kort om gällande rätt |
SOU 2017:66 |
religiöst eller fackligt syfte kan behandla känsliga personuppgifter om sina medlemmar och personuppgifter kan också behandlas om uppgifterna på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. (Artikel 8.2) Inom hälso- och sjukvården kan känsliga personuppgifter behandlas om det är nödvändigt med hänsyn till vård, behandling, medicinska diagnoser eller administra- tion eller när dessa uppgifter behandlas av någon som omfattas av krav på tystnadsplikt (artikel 8.3).
Medlemsstaterna kan i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag av hän- syn till ett viktigt allmänt intresse (artikel 8.4).
Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning (artikel 8.5).
3.2.5Rättigheter och skyldigheter
Enligt dataskyddsdirektivet ska den registeransvarige informera den registrerade när personuppgifter är föremål för behandling. Den registrerade ska också få en beskrivning av ändamålet med behandlingen samt få annan information som behövs för att den registrerade ska kunna tillvarata sina rättigheter. Information som den registrerade redan känner till behöver inte lämnas. Om person- uppgifterna har samlats in från någon annan än den registrerade, behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. (Artikel 10 och 11)
Den registrerade har även rätt att på begäran få information om huruvida uppgifter som rör honom eller henne behandlas eller inte och information om ändamål, uppgiftskategorier och eventuella mottagare av personuppgifterna (artikel 12 a).
Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med dataskyddsdirektivet rättade, utplå- nade eller blockerade. Om en uppgift rättas ska den registeransva- rige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behöver dock inte ske i de fall där en underrättelse
142
SOU 2017:66 |
Kort om gällande rätt |
visar sig vara omöjlig eller förenad med en oproportionerligt stor ansträngning. (Artikel 12 b)
Medlemsstaterna får föreskriva begränsningar i fråga om bl.a. informationsskyldigheten och rätten att på begäran få tillgång till personuppgifter. En sådan begränsning måste dock vara en nöd- vändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. allmän säkerhet, åtgärder mot brott eller överträdelser av etiska regler, viktiga ekonomiska eller finansiella intressen (inklusive monetära frågor, budgetfrågor och skattefrågor), en
Den registrerade ska enligt dataskyddsdirektivet ha rätt att när som helst, av skäl som rör hans personliga situation, motsätta sig sådan behandling av sina personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsupp- gift av allmänt intresse eller som led i myndighetsutövning alterna- tivt med stöd av en intresseavvägning. Detta gäller dock endast om nationell lagstiftning inte föreskriver något annat. Den register- ansvarige får inte längre behandla uppgifterna om den registrerades invändning är berättigad. (Artikel 14 a)
Den registrerade ska också ha rätt att slippa bli föremål för ett beslut som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma den registrerades personliga egenskaper. Denna rättighet gäller dock inte om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal eller om beslutet tillåts i lagstiftning som innehåller bestämmelser till skydd för den regi- strerades berättigade intressen. (Artikel 15)
Till skydd för den registrerade innehåller dataskyddsdirektivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot för- störing, förlust, ändring eller otillåten spridning (artikel 17).
143
Kort om gällande rätt |
SOU 2017:66 |
3.2.6Tillsynsmyndighet och anmälningsplikt
Enligt dataskyddsdirektivet ska varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som med- lemsstaterna antar till följd av dataskyddsdirektivet. Ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten vid be- handling av personuppgifter är tänkt att ge tillsynsmyndigheten och allmänheten insyn i behandlingarna. Undantag från anmäl- ningsplikten får dock föreskrivas under vissa förutsättningar. Bland annat krävs ingen anmälan om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud (personupp- giftsombud) som ser till att behandlingen av personuppgifter är lagenlig och dessutom upprättar ett register över de behandlingar som utförs av den registeransvarige. (Artikel
3.2.7När uppgifter behandlas i strid med lagstiftningen
Om personuppgifter inte behandlas i enlighet med den nationella lagstiftning som införs till följd av dataskyddsdirektivet, ska det enligt dataskyddsdirektivet finnas möjlighet att föra talan inför domstol. Det ska också finnas möjlighet att få ersättning av den registeransvarige för eventuell skada som uppstått till följd av en otillåten behandling. Medlemsstaterna ska besluta om sanktioner som ska användas vid överträdelse av dataskyddsbestämmelser. (Artikel
3.2.8Överföring till tredjeland
Dataskyddsdirektivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att be- handlas efter överföringen, till ett land utanför EU eller EES (tredjeland), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får per- sonuppgifter föras över till länder vars lagstiftning i och för sig inte
144
SOU 2017:66 |
Kort om gällande rätt |
erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. (Artikel 25 och 26)
3.3Personuppgiftslagen
3.3.1Tillämpningsområdet
I Sverige har dataskyddsdirektivet genomförts genom personupp- giftslagen (1998:204) och ett antal andra författningar som kom- pletterar personuppgiftslagen eller innehåller särreglering i för- hållande till personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 oktober 1998 och ersatte den tidigare gällande datalagen (1973:289).
Personuppgiftslagen är till skillnad från datalagen teknikobero- ende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling av personuppgifter omfattas av personuppgiftslagen, inklusive behand- ling av sådana personuppgifter som framgår av bild eller ljud. En personuppgift är enligt 3 § all slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet.
Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks i samband med att deras person- uppgifter behandlas (1 §). Tillämpningsområdet har dock begrän- sats genom en rad bestämmelser. Personuppgiftslagen är för det första subsidiär i förhållande till annan lagstiftning (2 §), vilket innebär att om det i en annan lag eller i en förordning finns bestäm- melser som avviker från personuppgiftslagen, ska de andra bestäm- melserna gälla. Personuppgiftslagen omfattar inte heller sådan be- handling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges att person- uppgiftslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga
145
Kort om gällande rätt |
SOU 2017:66 |
om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undan- tag från tillämpning av personuppgiftslagen som tar sikte på arki- vering av handlingar (8 § andra stycket).
Personuppgiftslagen innehåller generella regler och omfattar så- väl myndigheter som enskilda. Även verksamheter som faller utan- för unionsrättens område omfattas. Det förutsattes vid lagens till- komst att behov av undantag och preciseringar för speciella områ- den skulle tillgodoses genom särskild lagstiftning.3
3.3.2Hanteringsregler
Personuppgiftslagen ställer inte något krav på tillstånd för in- rättande och förande av personregister eller annan behandling av personuppgifter. I stället innehåller lagen en rad hanteringsregler för behandling av personuppgifter. Regleringen omfattar all an- vändning av personuppgifter oavsett syfte, omfattning och art och oavsett om hanteringen kan betecknas som harmlös eller känslig från integritetssynpunkt. Paragraferna beskriver hur personupp- gifter ska hanteras från det att de samlas in till dess att de utplånas.
Hanteringsreglerna omfattar bl.a. vissa grundläggande krav på behandlingen av personuppgifter, förutsättningar för när behand- ling över huvud taget är tillåten, förutsättningar för att få behandla känsliga personuppgifter, uppgifter om lagöverträdelser och per- sonnummer samt krav på information till den registrerade.
De grundläggande kraven gäller för all strukturerad behandling av personuppgifter (9 §). Personuppgifter ska behandlas på ett korrekt sätt, i enlighet med god sed och bara om det är lagligt. Insamling av personuppgifter får ske enbart för särskilda, uttryck- ligt angivna och berättigade ändamål och de insamlade personupp- gifterna får inte senare behandlas för något ändamål som är ofören- ligt med det ändamål för vilket de samlades in (finalitetsprincipen). Personuppgifter ska vara adekvata och relevanta i förhållande till ändamålet och behandlingen får inte avse fler personuppgifter än
3 Prop. 1997/98:44 s. 40 f.
146
SOU 2017:66 |
Kort om gällande rätt |
vad som är nödvändigt. Uppgifterna ska också vara riktiga och, om det är nödvändigt, aktuella.
I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Personuppgifter får behandlas med samtycke eller om be- handlingen är nödvändig för något av ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller för att åtgärder som den registrerade be- gärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldig- het, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten med stöd av en intresseavvägning.
Känsliga personuppgifter får som huvudregel inte behandlas (13 §). Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller person- uppgifter som rör hälsa eller sexualliv. Vissa undantag görs från för- budet – när den enskilde uttryckligen samtyckt till behandlingen, om behandlingen är nödvändig bl.a. för att skydda vitala intressen hos den registrerade eller någon annan och den registrerade inte kan lämna sitt samtycke, inom hälso- och sjukvården samt för forsk- nings- och statistikändamål
Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan-
147
Kort om gällande rätt |
SOU 2017:66 |
den (21 §). Uppgifter om personnummer och samordningsnummer får behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 §).
I personuppgiftslagen finns det bestämmelser som innebär en skyldighet för den personuppgiftsansvarige att självmant lämna viss information om behandlingen av personuppgifter till den registre- rade. Informationen ska omfatta uppgift om den personuppgifts- ansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Det finns vissa undantag från be- stämmelserna om informationsskyldighet. Information behöver t.ex. inte lämnas om sådant som den registrerade redan känner till. Den personuppgiftsansvarige är också skyldig att efter ansökan en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte samt viss information om be- handlingen.
Personuppgiftslagen innehåller också vissa bestämmelser om säkerheten vid behandlingen av personuppgifter. Den personupp- giftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgär- der för att skydda de personuppgifter som behandlas.
Det är som huvudregel förbjudet att till tredjeland föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Personuppgifts- lagen innehåller dock vissa undantag till detta förbud.
Den personuppgiftsansvarige är skyldig att anmäla all behand- ling av personuppgifter till tillsynsmyndigheten. Anmälningsskyl- digheten gäller dock inte om den personuppgiftsansvarige utser ett personuppgiftsombud.
148
SOU 2017:66 |
Kort om gällande rätt |
3.3.3Ostrukturerat material
Hanteringsreglerna gäller för behandling av personuppgifter i struk- turerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personupp- gifter i ostrukturerat material som löpande text i ordbehandlings- program, i
3.4Registerförfattningar inom Socialdepartementets verksamhetsområde
3.4.1Ett stort antal författningar
Registerförfattningar gäller utöver eller i stället för personuppgifts- lagen. Tanken är att författningarna ska ge berörda personuppgifts- ansvariga ett mer anpassat regelverk när det finns behov av att av- vika från eller komplettera det integritetsskydd som personupp- giftslagen ger.
Den 1 januari 2011 trädde en ny grundlagsbestämmelse, 2 kap. 6 § andra stycket regeringsformen (RF), i kraft. Enligt bestäm- melsen är var och en gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan sam- tycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det stärkta grundlagsskyddet innebär att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag (2 kap. 20 § RF) och under de förutsättningar som anges 2 kap. 21 och 22 §§ RF. Enligt övergångsbestämmel- serna har äldre föreskrifter, som inneburit ett betydande intrång i den personliga integriteten, fortsatt att gälla till och med den 31 december 2015. Fram till dess har också ändringar kunnat göras i dessa föreskrifter.
149
Kort om gällande rätt |
SOU 2017:66 |
Det är inte helt självklart att sådana bestämmelser som finns i registerförfattningar alltid måste anses utgöra sådan reglering som medför ett betydande intrång i den personliga integriteten. Infor- mationshanteringsutredningen (Ju 2011:11) har i sitt betänkande argumenterat för att så inte är fallet.4 I den mån bestämmelserna tillåter ett sådant betydande intrång i den personliga integriteten som avses i grundlagsbestämmelsen, måste dock regleringen ske i lag.
Det kan i sammanhanget noteras att det länge har varit ett ut- talat mål från regering och riksdag att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag, dvs. inte av den generella dataskyddslagstiftningen.5
Behovet av en särskild författningsreglering kan uppstå av olika anledningar. När en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, kan det exempelvis finnas skäl att ge ett uttryckligt stöd i en register- författning. Samma sak gäller när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen. Ibland kan personuppgiftslagens bestämmelser ge upphov till tolkningsproblem, vilket kan ge anled- ning att göra förtydliganden i registerförfattning. Stora och käns- liga uppgiftsmängder kan behöva omgärdas av särskilda begräns- ningar ur ett integritetsperspektiv och ibland kan det finnas anled- ning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.6
Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om behandling av personuppgifter av olika slag. Författningarna skiljer sig åt i fråga om såväl utformning och struktur som syfte. Vissa författningar har som övergripande funktion att utöver personuppgiftslagen sär- reglera behandling av personuppgifter inom vissa särskilda verk- samheter eller myndigheter. Andra författningar avser att reglera register som ska/får föras och som ska/kan ha ett visst innehåll. Det finns också författningar vars främsta syfte inte är att reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör behandling
4SOU 2015:39 s. 185 ff.
5Se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och prop. 1997/98:44 s. 41.
6För en beskrivning och kartläggning av registerförfattningar, se betänkandet Myndighets- datalagen, SOU 2015:39 s.
150
SOU 2017:66 |
Kort om gällande rätt |
av personuppgifter och i den delen utgör särreglering i förhållande till personuppgiftslagen. Vidare finns författningar som reglerar upp- giftsskyldigheter.
3.4.2Lagstiftning som reglerar en verksamhet
Sådana författningar som i förhållande till personuppgiftslagen sär- reglerar behandling av personuppgifter inom vissa verksamheter eller myndigheter utgörs vanligtvis av lagar som kompletteras av förordningar med mer detaljerade bestämmelser. Det finns dock även fristående förordningar som har samma syfte.
Författningarna är ofta uppbyggda på liknande sätt och inne- håller bestämmelser om tillämpningsområde, förhållandet till person- uppgiftslagen, personuppgiftsansvar, primära ändamål för myndig- hetens egen användning av personuppgifter och sekundära ändamål för utlämnande av personuppgifter till externa mottagare, vilka per- sonuppgifter som får behandlas, sökbegrepp, behörighetsbegräns- ningar, direktåtkomst och annat elektroniskt utlämnande, bevar- ande och gallring samt frågor om rättelse, skadestånd och överkla- gande. Alla författningar innehåller dock inte alla typer av bestämmel- ser utan författningarnas omfattning och detaljeringsgrad varierar.
Inom Socialdepartementets verksamhetsområde finns flera för- fattningar som reglerar behandling av personuppgifter inom en viss verksamhet. I samtliga dessa författningar anges att personupp- giftslagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till denna. I några av författningarna anges också i förtydligande syfte att även annan lagstiftning kan gälla före personuppgiftslagen. I fråga om rättelse och skadestånd hänvisas genomgående till personuppgiftslagens bestämmelser. Vissa författningar, t.ex. 114 kap. socialförsäkrings- balken, gäller bara för myndigheter, medan andra, t.ex. patient- datalagen (2008:355), gäller både för myndigheter och enskilda.
I kapitel 10 går utredningen igenom de författningar som regle- rar behandling av personuppgifter inom en viss verksamhet inom Socialdepartementets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Uppräkningen omfattar även några författningar som endast innehåller enstaka bestämmelser om behandling av personuppgifter som på olika sätt anknyter till någon
151
Kort om gällande rätt |
SOU 2017:66 |
av de författningar som reglerar behandling av personuppgifter inom en viss verksamhet. Det rör sig om förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m., förordningen (2008:363) om provtagning för hivinfektion, 112 kap. socialförsäkringsbalken och lagen (2010:111) om införande av socialförsäkringsbalken.
•Förordningen (1985:796) med vissa bemyndiganden för Social- styrelsen att meddela föreskrifter m.m.
•Lagen (2001:454) om behandling av personuppgifter inom social- tjänsten och den anknytande förordningen (2001:637) om be- handling av personuppgifter inom socialtjänsten
•Patientdatalagen (2008:355) och den anknytande patientdata- förordningen (2008:360)
•Förordningen (2008:363) om provtagning för hivinfektion
•Apoteksdatalagen (2009:367) och den anknytande apoteksdata- förordningen (2009:624)
•Förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av sta- tistik över kommunalt vårdnadsbidrag
•112 kap. socialförsäkringsbalken (2010:110)
•114 kap. socialförsäkringsbalken (2010:110) och den anknytande förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
•Lag (2010:111) om införande av socialförsäkringsbalken
•Förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet
•Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel och den anknytande förordningen (2016:533) om behandling av personuppgifter i ärenden om licens för läkemedel
152
SOU 2017:66 |
Kort om gällande rätt |
• Den föreslagna lagen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen (SOU 2014:67)
3.4.3Lagstiftning som reglerar ett register eller en informationssamling
Flera av myndigheterna under Socialdepartementet administrerar register som innehåller stora mängder personuppgifter om många personer. Några exempel är Socialstyrelsen som ansvarar för de olika hälsodataregistren,
Det är vanligt att det i författningarna finns bestämmelser om förhållandet till personuppgiftslagen, betydelsen av den registrerades inställning till behandlingen, personuppgiftsansvar, registrets ända- mål, personuppgifter som får behandlas, sökbegränsningar, direkt- åtkomst, utlämnande på medium för automatiserad behandling, uppgiftsskyldigheter, information som ska lämnas, behörighets- tilldelning, gallring, rättelse och skadestånd.
Av majoriteten av författningarna framgår att personuppgifts- lagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till författningen. I övriga författningar anges inte förhållandet till personuppgiftslagen. I de fall frågan om rättelse och skadestånd har tagits upp, hänvisas genom- gående till personuppgiftslagens bestämmelser. I samtliga författ- ningar anges en myndighet vara personuppgiftsanvarig för registret.
I kapitel 11 går utredningen igenom de författningar som reglerar ett visst register eller en informationssamling inom Socialdeparte- mentets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Förordningen (1992:62) om bevarande av
153
Kort om gällande rätt |
SOU 2017:66 |
registret rörande vissa alkoholbrott m.m. skiljer sig från övriga författningar genom att enbart reglera frågan om bevarande.
•Förordningen (1992:62) om bevarande av registret rörande vissa alkoholbrott m.m.
•Lagen (1996:1156) om receptregister och den anknytande för- ordningen (2009:625) om receptregister
•Lagen (1998:543) om hälsodataregister och följande anknytande förordningar:
–Förordningen (2001:707) om patientregister hos Social- styrelsen
–Förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen
–Förordningen (2001:709) om cancerregister hos Socialstyrelsen
–Förordningen (2005:363) om läkemedelsregister hos Social- styrelsen
–Förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården
–Förordningen (2008:194) om tandhälsoregister hos Social- styrelsen
–Förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län
•Lagen (2005:258) om läkemedelsförteckning och den anknytande förordningen (2009:626) om läkemedelsförteckning
•Förordningen (2006:196) om register över hälso- och sjukvårds- personal
•Lagen (2012:453) om register över nationella vaccinationsprogram
3.4.4Lagstiftning som bland annat reglerar behandling av personuppgifter
Utöver de mer traditionella registerförfattningarna finns många författningar vars främsta syfte inte är att reglera förandet av ett visst register eller annan behandling av personuppgifter men i an-
154
SOU 2017:66 |
Kort om gällande rätt |
slutning till annan verksamhetsreglering också anger vad som gäller i fråga om viss behandling av personuppgifter.
Inom Socialdepartementets verksamhetsområde finns några olika kategorier av författningar som delvis innehåller reglering av behandling av personuppgifter. Det finns några författningar på socialtjänstområdet, som bl. a. innehåller bestämmelser om gallring av personuppgifter. Ett antal författningar som avser hantering av humanbiologiskt material reglerar även vad som gäller ur ett person- uppgiftsperspektiv. Några lagar specificerar vad som gäller i fråga om överföring av personuppgifter till tredjeland medan det i andra lagar finns bestämmelser om register som ska föras. Vissa författ- ningar innehåller bestämmelser om att uppgifter som ska lämnas ut ska eller får överföras elektroniskt. Det finns också exempel på bestämmelser om automatiserade beslut och undantag från för- budet att behandla känsliga personuppgifter. Vissa av de person- uppgiftsrelaterade bestämmelserna riktar sig enbart till myndig- heter, t.ex. bestämmelserna förordningen (2013:413) om kosmetiska produkter, medan andra gäller både för myndigheter och enskilda, t.ex. socialtjänstlagen (2001:453), lagen (2006:496) om blodsäker- het och lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Tobakslagens bestäm- melser riktar sig enbart till enskilda.
I kapitel 12 går utredningen igenom de författningar inom Social- departementets verksamhetsområde vars främsta syfte inte är att reglera behandling av personuppgifter men som ändå innehåller sådana bestämmelser. Nedan följer en uppräkning (i kronologisk ordning) av dessa författningar.
•Förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter
•Lagen (1991:1047) om sjuklön
•Lagen (1993:387) om stöd och service till vissa funktionshindrade och den anknytande förordningen (1993:1090) om stöd och ser- vice till vissa funktionshindrade
•Tobakslagen (1993:581)
•Bostadsbidragsförordningen (1993:739)
•Förordningen (1996:1036) om underhållsstöd
155
Kort om gällande rätt |
SOU 2017:66 |
•Förordningen (1998:562) med vissa bemyndiganden för Försäk- ringskassan
•Förordningen (1998:1340) om inkomstgrundad ålderspension
•Socialtjänstlagen (2001:453) och den anknytande socialtjänst- förordningen (2001:937)
•Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och den anknytande förordningen (2002:746) om biobanker i hälso- och sjukvården m.m.
•Lagen (2006:351) om genetisk integritet m.m.
•Lagen (2006:496) om blodsäkerhet och den anknytande förord- ningen (2006:497) om blodsäkerhet
•Lagen (2006:1570) om skydd mot internationella hot mot män- niskors hälsa
•Förordningen (2008:193) om statligt tandvårdsstöd
•Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga vävnader och celler och den anknytande för- ordningen (2008:414) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler
•Lagen (2009:366) om handel med läkemedel och den ankny- tande förordningen (2009:659) om handel med läkemedel
•Förordningen (2010:425) om ersättning för kostnader för sjuk- lön
•Patientsäkerhetslagen (2010:659) och den anknytande patient- säkerhetsförordningen (2010:1369)
•Alkohollagen (2010:1622)
•Lagen (2012:263) om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga organ och den anknytande förordningen (2012:346) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ
•Förordningen (2013:413) om kosmetiska produkter
•Läkemedelslagen (2015:315) och den anknytande läkemedels- förordningen (2015:458)
156
SOU 2017:66 |
Kort om gällande rätt |
3.4.5Lagstiftning som reglerar uppgiftsskyldigheter
Det finns inom Socialdepartementets verksamhetsområde ett antal författningar som föreskriver olika uppgiftsskyldigheter. Uppgifts- skyldigheterna härrör från myndigheternas stora behov av att ut- byta och inhämta uppgifter från såväl andra myndigheter som en- skilda.
I kapitel 13 tar utredningen upp författningar som innehåller uppgiftsskyldigheter men som i övrigt inte reglerar någon behand- ling av personuppgifter. Författningar som även innehåller bestäm- melser om hur personuppgifter ska lämnas ut – t.ex. automatiserat eller via direktåtkomst – är sådan lagstiftning som avses i kap.
157
4 Dataskyddsförordningen
4.1Inledning
Den 27 april 2016 antogs Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen. Data- skyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivi- sera skyddet för personuppgifter för att förbättra den inre markna- dens funktion och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen baseras till stor del på dataskydds- direktivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, men både förutsätter och möjliggör kompletterande nationella be- stämmelser av olika slag.
I det följande redogörs det först för skillnaderna mellan en EU- förordning och ett
159
Dataskyddsförordningen |
SOU 2017:66 |
4.2Skillnaden mellan en
Det ordinarie lagstiftningsförfarandet inom EU går till på så sätt att Europaparlamentet och rådet på förslag av kommissionen gemensamt antar en
Enligt principen om
En
160
SOU 2017:66 |
Dataskyddsförordningen |
Italien 39/72, EU:C:1973:13, punkt 17, och dom av den 2 februari 1977, Amsterdam Bulb 50/76, EU:C:1977:13, punkt 7.
Om ett
I anslutning till ett nytt
4.3Dataskyddsförordningens innehåll
4.3.1Materiell och territoriell avgränsning
Dataskyddsförordningen är – precis som dataskyddsdirektivet – tillämplig på helt eller delvis automatiserad behandling av person- uppgifter och på manuell behandling av personuppgifter, om upp- gifterna ingår i eller kommer att ingå i ett register. Vissa behand- lingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet. Det rör sig om behandling som sker inom verksamhet som inte omfattas av
161
Dataskyddsförordningen |
SOU 2017:66 |
Behandlingar av personuppgifter som utförs inom brotts- bekämpande verksamhet omfattas i stället av ett särskilt
För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de be- handlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3).
4.3.2Definitioner
Dataskyddsförordningen innehåller i artikel 4 en rad definitioner av olika begrepp som används i dataskyddsförordningen. Här anges några av definitionerna.
Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person (kallad registrerad). Som identifika- torer anges förutom namn, identifikationsnummer, lokaliserings- uppgift eller onlineidentifikatorer även en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, gene- tiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling (av personuppgifter) är en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av per- sonuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utläm- ning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller för- störing.
Profilering är varje form av automatisk behandling av person- uppgifter som består i att dessa personuppgifter används för att
162
SOU 2017:66 |
Dataskyddsförordningen |
bedöma vissa personliga egenskaper hos en fysisk person, i synner- het för att analysera eller förutsäga denna fysiska persons arbets- prestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Register är en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centra- liserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensam eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter. Om ändamålen och medlen för behand- lingen lagts fast i medlemsstaternas nationella rätt, får den natio- nella rätten också peka ut vem som är personuppgiftsansvarig.
Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar person- uppgifter för den personuppgiftsansvariges räkning.
Samtycke är varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Personuppgiftsincident är en säkerhetsincident som leder till oav- siktlig eller olaglig förstöring, förlust eller ändring eller till obehö- rigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Genetiska uppgifter är alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.
Biometriska uppgifter är personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansikts- bilder eller fingeravtrycksuppgifter.
Uppgifter om hälsa är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.
163
Dataskyddsförordningen |
SOU 2017:66 |
4.3.3Grundläggande principer
För all behandling av personuppgifter enligt dataskyddsförordningen gäller samma övergripande principer som enligt dataskyddsdirekti- vet (artikel 5). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga upp- gifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Personuppgifter kan dock under vissa förutsättningar lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt in- tresse, vetenskapliga eller historiska forskningsändamål eller statiska ändamål.
Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som strider mot det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering. (Artikel 5.1 b och 6.4) Av skäl 50 till dataskyddsförordningen fram- går att vid sådan vidarebehandling som inte hindras av finalitets- principen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.
4.3.4Laglig behandling av personuppgifter
För att en behandling av personuppgifter över huvud taget ska vara tillåten, krävs på samma sätt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor måste vara uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutli-
164
SOU 2017:66 |
Dataskyddsförordningen |
gen behandlas med stöd av en intresseavvägning. En nyhet är dock att behandling av personuppgifter som utförs av offentliga myndig- heter när de fullgör sina uppgifter inte får ske med stöd av en intresseavvägning.
Om behandling av personuppgifter ska ske med stöd av sam- tycke från den registrerade, krävs att samtycket är frivilligt. Det ska också vara tydligt vad samtycket avser och det ska ha föregåtts av information från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom kon- kludent handlande och kan när som helst tas tillbaka. (Artikel 7)
Grunden för sådan behandling av personuppgifter som är nöd- vändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (arti- kel 6.1 e) måste fastställas i nationell rätt eller
1 SOU 2017:39 s.
165
Dataskyddsförordningen |
SOU 2017:66 |
Ytterligare ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i den rättsliga grunden. I fråga om be- handling enligt artikel 6.1 e gäller i stället att syftet med behand- lingen ska vara nödvändigt för att utföra en arbetsuppgift av all- mänt intresse eller som ett led i myndighetsutövning.
Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt in- tresse eller som ett led i myndighetsutövning (artikel 6.2). I arti- kel 6.3 anges dessutom att den rättsliga grunden kan innehålla sär- skilda bestämmelser för att anpassa tillämpningen av dataskydds- förordningen. Denna möjlighet ger utrymme för s.k. registerlagstift- ning för bl.a. myndigheter.
4.3.5Känsliga personuppgifter och uppgifter om lagöverträdelser
Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse eller medlemskap i fackförening, genetiska uppgifter, bio- metriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Av dessa kategorier av uppgif- ter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till dataskyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas känsliga person- uppgifter.
Från huvudregeln att känsliga personuppgifter inte får behand- las finns flera undantag angivna (artikel 9.2). Känsliga personupp- gifter kan t.ex. behandlas med stöd av samtycke eller för att upp- gifterna på ett tydligt sätt har offentliggjorts av den registrerade. De kan också behandlas för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal. Samma sak
166
SOU 2017:66 |
Dataskyddsförordningen |
gäller på områdena social trygghet och socialt skydd, vilket är nytt i förhållande till dataskyddsdirektivet. Behandling av känsliga per- sonuppgifter är vidare tillåten om den är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ett annat undantag avser behand- ling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksam- het. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina med- lemmar. Om behandlingen sker på grundval av
Medlemsstaterna har möjlighet att komplettera dataskyddsför- ordningen med ytterligare villkor, även begränsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).
Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning. Till skillnad från vad som gäller enligt dataskyddsdirektivet om- fattas inte friande brottmålsdomar av denna begränsning. Det finns inte heller någon reglering avseende administrativa frihetsberövan- den. (Artikel 10)
167
Dataskyddsförordningen |
SOU 2017:66 |
4.3.6Den registrerades rättigheter
Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige. Informationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur person- uppgifterna kommer att användas. Information som den registre- rade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver infor- mation inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. (Artikel
Den informationsskyldighet som framgår av dataskyddsförord- ningen är betydligt mer omfattande än den som föreskrivs i data- skyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a. att om den personuppgiftsansvarige avser att behandla person- uppgifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig rele- vant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett sam- tycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet, att informationen ska lämnas vid tiden för registreringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kom- munikationen med den registrerade. (Artikel 13 och 14)
Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, be- griplig och lättillgänglig.
Den registrerade kan också begära registerutdrag med informa- tion om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få fel-
168
SOU 2017:66 |
Dataskyddsförordningen |
aktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottag- are (artikel 19).
Personuppgifter som den registrerade tillhandahållit den per- sonuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, allmänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till dataskyddsdirektivet. Om den registrerade invänder mot behand- ling av personuppgifter får den personuppgiftsansvarige inte längre behandla uppgifterna, såvida denne inte kan påvisa tvingande be- rättigade skäl för behandlingen som väger tyngre än den registrera- des intressen, rättigheter och friheter eller om det sker för fastställ- ande, utövande eller försvar av rättsliga anspråk. Om personuppgif- ter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behandling av hans eller hennes personuppgifter. Detta gäller om
169
Dataskyddsförordningen |
SOU 2017:66 |
inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. (Artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestämmelser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.
En ytterligare rättighet för den registrerade är att slippa bli före- mål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt
Dataskyddsförordningen lämnar ett förhållandevis stort hand- lingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom be- stämmelser i sin lagstiftning begränsa omfattningen av de skyldig- heter och rättigheter som anges i artiklarna
Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller sta- tistiska ändamål, får det i
170
SOU 2017:66 |
Dataskyddsförordningen |
rättigheter. Det rör sig om rätten till registerutdrag, rättelse, be- gränsning av behandling och invändning mot behandling. Undan- tag får göras om det krävs för att uppnå ändamålet med behand- lingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begräns- ningar av behandling som skett. (Artikel 89)
4.3.7Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter
Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fast- ställa sina respektive ansvarsområden om dessa inte fastställs genom rättslig reglering (artikel 26).
Om den personuppgiftsansvarige anlitar ett personuppgifts- biträde, ska hanteringen regleras genom avtal eller motsvarande rätts- akt. Personuppgiftsbiträdet får endast behandla personuppgifter på instruktion från den personuppgiftsansvarige, såvida en skyldighet att behandla uppgifter inte framgår av
Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lär inte behöva uppfylla definitionen i artikel 4, men registret ska innehålla kontakt- uppgifter, upplysning om ändamål med behandlingen, en beskriv- ning av kategorier av registrerade och kategorier av personuppgif- ter, upplysning om eventuella mottagare av uppgifterna, eventuell överföring till tredjeland, tidsfrister för radering och en allmän be- skrivning av tekniska och organisatoriska säkerhetsåtgärder. Det är följaktligen inte längre dataskyddsombudets arbetsuppgift att upp- rätta en förteckning över behandlingar (jämför artikel 39 och person- uppgiftsombudets tidigare uppgifter enligt artikel 18 i dataskydds- direktivet).
171
Dataskyddsförordningen |
SOU 2017:66 |
Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säker- ställa en säkerhetsnivå som är lämplig i förhållande till eventuella risker (artikel 32). Detta innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förutsättning att
En nyhet i dataskyddsförordningen är att personuppgiftsinci- denter inom 72 timmar ska anmälas till tillsynsmyndigheten. Den personuppgiftsansvarige är också skyldig att dokumentera alla person- uppgiftsincidenter. (Artikel 33) Även den registrerade ska i vissa fall få information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 34).
För att minska risker med behandling av personuppgifter inne- håller dataskyddsförordningen dessutom bestämmelser om konse- kvensbedömningar och förhandssamråd med tillsynsmyndigheten, som ska tillämpas om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35 och 36).
4.3.8Dataskyddsombud
Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, måste enligt dataskyddsförordningen utnämna dataskyddsombud (artikel 37). Kravet på att ha ett data- skyddsombud omfattar i vissa fall även andra personuppgiftsansva- riga och personuppgiftsbiträden. Ett dataskyddsombud ska i dessa fall utnämnas om en kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska också utnämnas om en kärn- verksamhet består av behandling i stor omfattning av känsliga person- uppgifter och uppgifter om lagöverträdelser. Att det i vissa fall krävs att ett dataskyddsombud utses är en nyhet.
Ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra arbetsuppgif- terna. Arbetsuppgifterna ska utföras självständigt, utan instruktioner
172
SOU 2017:66 |
Dataskyddsförordningen |
från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Som en följd av detta ska dataskyddsombudet också, när det gäller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfi- dentialitet. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Rapporter- ingen ska ske direkt till den högsta förvaltningsnivån. (Artikel 38)
Dataskyddsombudet ska informera och ge råd till berörda samt övervaka efterlevnaden av dataskyddsbestämmelser. Dataskydds- ombudet ska också samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet. (Artikel 39)
4.3.9Överföring av personuppgifter till tredjeland
Personuppgifter får överföras till tredjeland eller en internationell organisation endast under vissa förutsättningar. En sådan förut- sättning är om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå (artikel 45). I avsaknad av ett beslut från kommissionen får personuppgifter överföras till tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder vidtagits och på vill- kor att lagstadgade rättigheter för registrerade och effektiva rätts- medel för registrerade finns tillgängliga (artikel 46). Därutöver anges i dataskyddsförordningen ett antal förhållanden som kan grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49).
4.3.10Tillsynsmyndigheter
Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillämpningen av dataskyddsförordningen (artikel 51). Tillsyns- myndigheten och dess ledamöter ska vara oberoende (artikel
173
Dataskyddsförordningen |
SOU 2017:66 |
Tillsynmyndigheten har också korrigerande befogenheter som bl.a. består av att utfärda varningar, reprimander, förelägganden, införa förbud mot behandling och påföra administrativa sanktionsavgifter. Dessutom kan tillsynsmyndigheter utfärda tillstånd och ge råd (artikel 58).
Tillsynsmyndigheter ska samarbeta med varandra, utbyta rele- vant information och ge varandra bistånd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).
4.3.11När uppgifter behandlas
i strid med dataskyddsförordningen
En registrerad som anser att behandling av personuppgifter avse- ende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad från vad som tidigare varit möjligt enligt dataskydds- direktivet – kunna lämna klagomål till tillsynsmyndigheten och få ett överklagbart beslut (artikel 77 och 78). Den registrerade ska också kunna väcka talan i domstol mot den personuppgiftsansva- rige eller personuppgiftsbiträdet (artikel 79).
Den som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till skadestånd (artikel 82). Ett skadeståndsanspråk kan, i likhet med vad som gäller enligt dataskyddsdirektivet, riktas mot den personuppgifts- ansvarige. Under vissa förutsättningar kan dock skadeståndsanspråk begäras även av ett personuppgiftsbiträde, vilket är nytt i för- hållande till vad som gällt tidigare.
Tillsynsmyndigheten ska enligt en annan nyhet i dataskydds- förordningen kunna påföra s.k. administrativa sanktionsavgifter (artikel 83). Två olika kategorier av överträdelser – uppdelade ut- ifrån bestämmelser som föreskriver rättigheter och skyldigheter – föranleder två olika maxbelopp (artikel 83.4 och 83.5). Medlems- staterna får själva bestämma i vilken utsträckning myndigheter ska kunna påföras administrativa sanktionsavgifter.
Medlemsstaterna ska vidare fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträ- delser som inte är föremål för administrativa sanktionsavgifter (artikel 84).
174
SOU 2017:66 |
Dataskyddsförordningen |
4.3.12Konkurrens med andra rättigheter
Medlemsstaterna ska i lag förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska med- lemsstaterna fastställa undantag eller avvikelser från stora delar av dataskyddsförordningen om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2).
Personuppgifter i allmänna handlingar får lämnas ut av myndig- heter i enlighet med nationell rätt (artikel 86).
4.3.13Övrigt
Hur ett nationellt identifikationsnummer (personnummer) får be- handlas, får medlemsstaterna själva bestämma med beaktande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen (artikel 87).
För behandling av personuppgifter i anställningsförhållanden, får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av anställdas rättigheter och fri- heter (artikel 88).
Dataskyddsförordningen innehåller också bl.a. bestämmelser om uppförandekoder och certifiering (artikel
175
5 Pågående översynsarbete
5.1Dataskyddsutredningen
Dataskyddsutredningen1 har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.2 I maj 2017 överläm- nade utredningen betänkandet ”Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning”3, som bl.a. innehåller förslag till en ny lag – dataskyddslagen – med anknytande förordning som ska ersätta personuppgiftslagen och personuppgiftsförord- ningen. I uppdraget har inte ingått att se över någon sektorsspecifik reglering om behandling av personuppgifter och inte heller att analysera eller beskriva vilka förändringar som dataskyddsförord- ningen i sig innebär.
Dataskyddslagen föreslås i tillämpliga delar, utöver dataskydds- förordningens tillämpningsområde, även gälla behandling av person- uppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av EU:s gemen- samma utrikes- och säkerhetspolitik. Lagen förslås vara subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestäm- melserna om tryck- och yttrandefrihet. Ett undantag från vissa av dataskyddsförordningens bestämmelser föreslås dessutom gälla för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Den föreslagna dataskyddslagen innehåller bestämmelser som förtydligar hur rättsliga förpliktelser och arbetsuppgifter av allmänt
1Ju 2016:04.
2Dir. 2016:15.
3SOU 2017:39.
177
Pågående översynsarbete |
SOU 2017:66 |
intresse eller som ett led i myndighetsutövning fastställs i enlighet med svensk rätt.
Eftersom vissa undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter förutsätter stöd i nationell rätt, föreslås dataskyddslagen innehålla sådant stöd när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Därutöver föreslås ett undantag för viss be- handling av känsliga personuppgifter hos myndigheter. Stödet för behandling av känsliga personuppgifter föreslås förenas med olika restriktioner. För att andra än myndigheter ska få behandla person- uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, föreslås ett krav på uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Uppgifter om person- nummer eller samordningsnummer föreslås även fortsättningsvis få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Personuppgifter som behandlas enbart för arkivändamål av all- mänt intresse eller statistiska ändamål får enligt Dataskyddsutred- ningens förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen rörande statistik- uppgifter gäller, till skillnad från vad som gäller i fråga om arkive- rade uppgifter, även för myndigheter.
Dataskyddslagen föreslås inte innehålla någon straff- eller vites- bestämmelse, men den administrativa sanktionsavgift som tillsyns- myndigheten enligt dataskyddsförordningen kan ta ut av ett före- tag eller andra enskilda som bryter mot dataskyddsregleringen, före- slås också kunna tas ut av en myndighet. Datainspektionen föreslås vara tillsynsmyndighet. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen föreslås gälla vid tillsyn över efterlevnaden av bestämmelserna i alla författningar som kompletterar dataskydds- förordningen.
Rätten till skadestånd enligt dataskyddsförordningen föreslås, utöver vid överträdelser av dataskyddsförordningens bestämmelser, gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
178
SOU 2017:66 |
Pågående översynsarbete |
Dataskyddslagen föreslås också innehålla bl.a. vissa begränsningar i fråga om rätten till information och registerutdrag, bestämmelser om Datainspektionens klagomålshantering, bestämmelser om över- klagande och en tystnadsplikt för dataskyddsombud inom den pri- vata sektorn.
Dataskyddslagen föreslås träda i kraft den 25 maj 2018. Person- uppgiftslagen är dock tänkt att även fortsättningsvis gälla i den utsträckning som det i en annan lag eller förordning finns bestäm- melser som innehåller hänvisningar till den lagen. Äldre föreskrifter föreslås också fortfarande gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet, för överkla- gande av beslut som har meddelats med stöd av äldre föreskrifter, för överträdelser som har skett före ikraftträdandet och i fråga om skadestånd för skada som har orsakats före ikraftträdandet.
5.2Utredningen om 2016 års dataskyddsdirektiv
Utredningen om 2016 års dataskyddsdirektiv4 har till uppdrag5 att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt och har i april 2017 lämnat ett delbetänkande med förslag till en brottsdatalag.6
Brottsdatalagen är tänkt att tillämpas vid behandling av person- uppgifter som utförs av myndigheter som har till uppgift att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen ska också gälla för behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet. Myndigheter som har sådana arbets- uppgifter betecknas behöriga myndigheter. Det som blir avgörande för om lagen är tillämplig är alltså dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med be- handlingen. Dataskyddsförordningen är inte tillämplig på sådan behandling av personuppgifter som omfattas av brottsdatalagen. Alla myndigheter som kommer att tillämpa brottsdatalagen kommer även att tillämpa dataskyddsförordningen i de delar av verksamheten som inte omfattas av brottsdatalagens tillämpningsområde. Brotts-
4Ju 2016:06.
5Dir. 2016:21.
6SOU 2017:29.
179
Pågående översynsarbete |
SOU 2017:66 |
datalagen föreslås vara generellt tillämplig – men subsidiär – inom sitt tillämpningsområde. Registerförfattningar som omfattar samma tillämpningsområde kommer att gälla utöver brottsdatalagen.
Personuppgifter föreslås få behandlas med stöd av den rättsliga grunden att behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Personupp- gifter föreslås också få behandlas om behandlingen krävs för diarie- föring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Känsliga personuppgifter rörande en viss person föreslås få be- handlas om uppgifter om personen redan behandlas och det är absolut nödvändigt för ändamålet med behandlingen. Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter föreslås dock få behandlas enbart om det är särskilt föreskrivet. Sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska vara förbjudna. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslås en särskild sekretessregel som innebär att absolut sekretess gäller för uppgifter i sådana sammanställningar.
Brottsdatalagen föreslås också innehålla bestämmelser om bl.a. definitioner, grundläggande krav på behandling, längsta tid för be- handling, automatiserade beslut, personuppgiftsansvarigas skyldig- heter i fråga om bl.a. säkerhet och anmälan om personuppgifts- incidenter, enskildas rättigheter i form av bl.a. information och rättelse, tillsynsmyndighetens befogenheter, administrativa sank- tionsavgifter, skadestånd, rättsmedel och överföring till tredjeland.
Brottsdatalagen föreslås träda i kraft den 1 maj 2018.
5.3Övrigt översynsarbete med anledning av dataskyddsförordningen
Utöver de utredningar som nämnts ovan har ytterligare ett antal olika utredningar haft i uppdrag – och vissa arbetar fortfarande med
– att anpassa svensk rätt till EU:s dataskyddsreform. Det rör sig bl.a. om Utredningen om kameraövervakning – brottsbekämpning
180
SOU 2017:66 |
Pågående översynsarbete |
och integritetsskydd7, Utredningen om dataskydd vid Rättsmedicinal- verket8, Utbildningsdatautredningen9, Forskningsdatautredningen10 och Utredningen om regleringen av biobanker11.
Det bedrivs dessutom ett omfattande arbete internt inom Reger- ingskansliet med att anpassa författningar till dataskyddsförord- ningen.
5.4Förslaget till myndighetsdatalag
Regeringen gav i oktober 2011 en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen – de sektors- eller myndighets- specifika lagar och förordningar som kompletterar personuppgifts- lagen och innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Utredningen, som antog namnet Informationshanteringsutredningen, lämnade sitt slut- betänkande i april 2015 (SOU 2015:39), dvs. innan man inom EU kom överens om dataskyddsförordningen.
Uppdraget hade sin bakgrund i att det i olika sammanhang framförts kritik mot registerlagstiftningen för att vara ett svåröver- blickbart och splittrat rättsområde med bristande enhetlighet i fråga om struktur och normtekniska lösningar. Lagstiftningen ansågs till viss del inte heller vara tillräckligt anpassad till annan lagstiftning av central betydelse för myndigheternas informationshantering, så- som tryckfrihetsförordningens bestämmelser om allmänna hand- lingar och offentlighets- och sekretesslagen (2009:400).
Informationshanteringsutredningen har inte gjort några om- prövningar av tidigare avvägningar mellan effektivitetssträvanden och skyddet för enskildas personliga integritet utan har fokuserat på att förtydliga gällande rätt genom att föreslå en ny lag – myndig- hetsdatalagen. Den föreslagna lagen liknar befintliga registerförfatt- ningar men innehåller bestämmelser som är tänkta att gälla gene- rellt för alla statliga och kommunala myndigheters behandling av personuppgifter, frånsett den brottsbekämpande sektorn.
7Ju 2015:14, tilläggsdir. 2016:54, SOU 2017:55.
8Ju 2016:18, dir. 2016:75.
9U 2016:03, dir. 2016:63, SOU 2017:49.
10U 2016:04, dir. 2016:65, delbetänkande SOU 2017:50.
11S 2016:04, dir. 2016:41, delbetänkande SOU 2017:40.
181
Pågående översynsarbete |
SOU 2017:66 |
Den föreslagna lagen är utformad som en renodlad generell dataskyddsreglering som bara tar sikte på frågor om skydd för person- uppgifter som uppstår i myndigheternas elektroniska informations- hantering. Behov av sektors- eller myndighetsspecifika särregler, som har sin grund i speciella omständigheter som rör just den aktuella myndigheten eller verksamheten, bedöms kunna tas in i en kompletterande förordning. Lagen ska även kunna kompletteras med bilagor. På detta sätt är det tänkt att skapa ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållan- den som kan regleras generellt och förhållanden där fortsatta sär- regler behöver finnas. Informationshanteringsutredningen utesluter dock inte att det i vissa fall kan bedömas vara mer lämpligt med särreglering i separat författning som gäller utöver den nya lagen.
182
GENERELLA ÖVERVÄGANDEN
6 Allmänna utgångspunkter
6.1Behandling som i dag är laglig
ska kunna fortsätta men författningsstöd för annat bör inte införas nu
Utredningens bedömning: Utgångspunkten bör vara att be- handling av personuppgifter som i dag är laglig ska kunna fort- sätta. Författningsstöd för behandling av personuppgifter som inte är laglig i dag bör inte införas nu.
Avvägningar och bedömningar som redan gjorts bör godtas och inte göras om.
Utredningsuppdraget är omfattande och utredningstiden kort. Det gör att det inte är möjligt att på alla de olika områden som upp- draget omfattar göra ingående avvägningar mellan integritetsskyd- det och andra intressen. Det i sin tur innebär att utredningen i stor utsträckning måste stödja sig på de avvägningar som redan gjorts.
Datainspektionens expert i utredningen har framfört i huvudsak följande. Utredningen bör göra en kartläggning av nuläget avseende sådan behandling av personuppgifter som sker i verksamheter som omfattas av de författningar som ingår i utredningens översyn. Kart- läggningen bör avse bl.a. teknisk utveckling, digitalisering, nya sam- arbetsformer och det ökade antalet aktörer inom exempelvis hälso- och sjukvården och socialtjänsten. Resultatet av kartläggningen kan sedan utgöra underlag för en ny konsekvensbedömning där en analys av om utvecklingen lett till nya risker för den personliga integrite- ten kan ingå. Regleringen bör sedan anpassas efter en analys av hur dessa eventuella nya risker kan minimeras. En fördel med detta till- vägagångssätt skulle vara att utredningens bedömningar kan utgöra en del av den konsekvensbedömning den personuppgiftsansvarige i
185
Allmänna utgångspunkter |
SOU 2017:66 |
vissa fall är skyldig att göra enligt artikel 35 i dataskyddsförord- ningen.
Utredningen är medveten om att det har skett en viss utveck- ling, bl.a. på det tekniska området, sedan flertalet av författningarna tillkom och instämmer i att det inom i vart fall vissa områden hade varit bra med en sådan översyn som förespråkas. Utredningstiden medger dock inte en så omfattande översyn. Det kan inte heller anses ingå i utredningens uppdrag att göra andra anpassningar av författningarna än sådana som föranleds av dataskyddsförordningen. Tidigare gjorda avvägningar måste därför vara utgångspunkten för utredningens bedömningar.
Dessa avvägningar har, när det gäller områden som täcks av registerförfattningar, gjorts efter ingående analyser av respektive område och med mindre tidspress än vad utredningen är utsatt för. Avvägningarna har också varit föremål för remiss- och riksdags- behandling och, oftast, granskning av Lagrådet.
Även på de områden som inte täcks av en registerförfattning kan det sägas att det redan har gjorts en tyst avvägning som innebär att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga för verksamheten och inte för långtgående för integritetsskyddet. I vissa fall finns det också utredningsförslag som inte (ännu) har genomförts, t.ex. SOU 2014:67 om behandling av personuppgifter inom verksam- heten för Inspektionen för socialförsäkringen, som nämns i utred- ningsdirektiven, och SOU 2007:48 och SOU 2015:84, båda om för- fattningsreglering av donationsregistret.
Det är inte några ofullkomligheter i lagstiftningen, eller ifråga- satta integritetskränkningar, som har föranlett utredningsuppdraget utan enbart den kommande nya
Av dessa skäl anser utredningen att en utgångspunkt vid över- synen bör vara att behandling som, enligt utredningens bedömning, i dag är laglig ska kunna fortsätta. Det innebär att översynen av respektive område i första hand inriktas på att undersöka om data- skyddsförordningen innebär att något som i dag är lagligt inte kommer att kunna ske med befintlig författningsreglering. Om så är fallet, blir nästa steg att undersöka om dataskyddsförordningen
186
SOU 2017:66 |
Allmänna utgångspunkter |
medger att det finns ett nationellt författningsstöd för det som är lagligt i dag och, om det är så, utforma förslag till ett sådant för- fattningsstöd som helst ska utformas enhetligt i förhållande till andra registerförfattningar.
Redan av utredningsdirektiven framgår att den korta utred- ningstiden gör att möjligheterna att utreda och föreslå materiella ändringar är begränsade. Utredningen anser därför att en utgångs- punkt vid översynen bör vara att lämpligheten av att införa författ- ningsstöd för mera eller annat än det som enligt utredningens bedömning är lagligt i dag inte ska utredas. Översynen ska alltså begränsas till att analysera vilket författningsstöd som kan behövas