Dataskydd inom Socialdepartementets verksamhetsområde

– en anpassning till EU:s dataskyddsförordning

Betänkande av Socialdataskyddsutredningen

Stockholm 2017

SOU 2017:66

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN 978-91-38-24659-7

ISSN 0375-250X

Till statsrådet och chefen för Socialdepartementet

Genom beslut den 16 juni 2016 bemyndigade regeringen statsrådet Annika Strandhäll att tillkalla en särskild utredare med uppdrag att analysera konsekvenserna av EU:s s.k. dataskyddsförordning för behandlingen av personuppgifter inom Socialdepartementets verksam- hetsområde och föreslå författningsändringar till följd av dataskydds- förordningen. Från och med samma dag förordnade Annika Strandhäll ordföranden i Arbetsdomstolen Sören Öman som särskild utredare.

Som sakkunniga i utredningen förordnades den 19 september 2016 departementssekreteraren Niclas Fogelström (Socialdepartementet), ämnesrådet Jimmy Järvenpää (Socialdepartementet), kanslirådet tidigare departementssekreteraren Caroline Nilsson (Socialdeparte- mentet) och departementssekreteraren Annika Remaeus (Social- departementet). Som experter förordnades samma dag chefen Peter Andrén (Försäkringskassan), chefsjuristen Catarina Eklundh Ahlgren (Inspektionen för socialförsäkringen), chefsjuristen Anette Enberg (Myndigheten för familjerätt och föräldraskaps- stöd), biträdande chefsjuristen Bo Granath (Folkhälsomyndig- heten), juristen Ulrika Holfelt (Inspektionen för vård och omsorg), avdelningsdirektören Suzanne Isberg (Datainspektionen), juristen Ulrika Marusarz (Socialstyrelsen), stabschefen och chefsjuristen Karin Nylén (Myndigheten för vård- och omsorgsanalys) och juristen Anne Vilval (Pensionsmyndigheten).

Som sekreterare i utredningen har arbetat verksjuristen Hélène Runsten från och med den 8 augusti 2016 och hovrättsassessorn Jonna Wiborn från och med den 1 september 2016. Jur. stud. Ebba Hagelroth har kontrollerat hänvisningarna i betänkandet.

Utredningen (S 2016:05) har antagit namnet Socialdataskydds- utredningen.

Härmed får utredningen överlämna betänkandet Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning.

Utredningsarbetet fortsätter enligt tilläggsdirektiven dir. 2017:67.

Stockholm i augusti 2017

Sören Öman

/Hélène Runsten

Jonna Wiborn

Innehåll

Sammanfattning ................................................................

27

1

Författningsförslag.....................................................

41

1.1

Förslag till lag om ändring i socialförsäkringsbalken ...........

41

1.2Förslag till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för

Inspektionen för socialförsäkringen......................................

49

1.3Förslag till lag om ändring i lagen (1996:1156) om

receptregister...........................................................................

52

1.4Förslag till lag om ändring i lagen (1998:543) om

hälsodataregister......................................................................

55

1.5Förslag till lag om ändring i lagen (2001:454) om

behandling av personuppgifter inom socialtjänsten .............

56

1.6Förslag till lag om ändring i lagen (2002:297) om

biobanker i hälso- och sjukvården m.m.................................

59

1.7Förslag till lag om ändring i lagen (2005:258) om

läkemedelsförteckning............................................................

63

1.8Förslag till lag om ändring i lagen (2006:351) om

genetisk integritet m.m...........................................................

66

1.9Förslag till lag om ändring i lagen (2006:496) om

blodsäkerhet ............................................................................

67

1.10 Förslag till lag om ändring i lagen (2006:1570) om

 

skydd mot internationella hot mot människors hälsa ..........

69

5

Innehåll

SOU 2017:66

1.11

Förslag till lag om ändring i lagen (2008:286) om

 

 

kvalitets- och säkerhetsnormer vid hantering av

 

 

mänskliga vävnader och celler................................................

71

1.12

Förslag till lag om ändring i patientdatalagen

 

 

(2008:355) ...............................................................................

73

1.13

Förslag till lag om ändring i apoteksdatalagen

 

 

(2009:367) ...............................................................................

82

1.14

Förslag till lag om ändring i lagen (2010:111) om

 

 

införande av socialförsäkringsbalken ....................................

85

1.15

Förslag till lag om ändring i alkohollagen (2010:1622)........

87

1.16

Förslag till lag om ändring i lagen (2012:263) om

 

 

kvalitets- och säkerhetsnormer vid hantering av

 

 

mänskliga organ......................................................................

88

1.17

Förslag till lag om ändring i lagen (2012:453) om

 

 

register över nationella vaccinationsprogram .......................

89

1.18Förslag till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för

läkemedel.................................................................................

92

1.19Förslag till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att

lämna statistiska uppgifter .....................................................

95

1.20Förslag till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom

socialtjänsten...........................................................................

96

1.21 Förslag till förordning om ändring i förordningen

 

(2001:707) om patientregister hos Socialstyrelsen...............

99

1.22Förslag till förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos

Socialstyrelsen.......................................................................

101

1.23 Förslag till förordning om ändring i förordningen

 

(2001:709) om cancerregister hos Socialstyrelsen..............

103

6

SOU 2017:66

Innehåll

1.24

Förslag till förordning om ändring i förordningen

 

 

(2003:766) om behandling av personuppgifter inom

 

 

socialförsäkringens administration ......................................

105

1.25

Förslag till förordning om ändring i förordningen

 

 

(2005:363) om läkemedelsregister hos Socialstyrelsen.......

107

1.26Förslag till förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser

 

inom den kommunala hälso- och sjukvården......................

109

1.27

Förslag till förordning om ändring i förordningen

 

 

(2006:196) om register över hälso- och

 

 

sjukvårdspersonal..................................................................

111

1.28

Förslag till förordning om ändring i förordningen

 

 

(2008:194) om tandhälsoregister hos Socialstyrelsen.........

113

1.29

Förslag till förordning om ändring i förordningen

 

 

(2009:1422) om behandling av personuppgifter i

 

 

Statistiska centralbyråns verksamhet med framställning

 

 

av statistik över kommunalt vårdnadsbidrag.......................

115

1.30Förslag till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över

 

läkemedel som lämnats ut från apotek i Jämtlands län.......

118

1.31

Förslag till förordning om ändring i förordningen

 

 

(2011:306) om behandling av personuppgifter i

 

 

Tandvårds- och läkemedelsförmånsverkets verksamhet

 

 

i fråga om det statliga tandvårdsstödet................................

119

1.32

Förslag till förordning om ändring i förordningen

 

 

(2013:413) om kosmetiska produkter .................................

121

1.33

Förslag till förordning om ändring i

 

 

läkemedelsförordningen (2015:458)....................................

123

1.34

Förslag till förordning om upphävande av förordningen

 

 

(1994:565) om vårdnadsbidragsregister...............................

125

1.35

Förslag till förordning om upphävande av förordningen

 

 

(1998:156) med bemyndigande för Datainspektionen

 

 

att meddela säkerhetsföreskrifter för

 

 

socialförsäkringsregister.......................................................

126

7

Innehåll

SOU 2017:66

2

Utredningsarbetet och betänkandet ...........................

127

2.1

Utredningsarbetet ................................................................

127

2.2

Betänkandets disposition .....................................................

128

BAKGRUND

....................................................................

131

3

Kort om gällande rätt ...............................................

133

3.1

Europarådet...........................................................................

133

 

3.1.1 ............................................

Europakonventionen

133

 

3.1.2 .....................................

Dataskyddskonventionen

133

3.1.3Rekommendation om skyddet av

hälsouppgifter........................................................

135

3.1.4Rekommendation om skyddet av

 

personuppgifter som behandlas för ändamål

 

 

rörande social trygghet .........................................

137

3.2 Dataskyddsdirektivet ...........................................................

139

3.2.1

Inledning................................................................

139

3.2.2

Tillämpningsområde .............................................

140

3.2.3

Grundläggande krav och principer.......................

140

3.2.4

Känsliga personuppgifter......................................

141

3.2.5

Rättigheter och skyldigheter ................................

142

3.2.6

Tillsynsmyndighet och anmälningsplikt..............

144

3.2.7När uppgifter behandlas i strid med

 

lagstiftningen.........................................................

144

3.2.8

Överföring till tredjeland......................................

144

3.3 Personuppgiftslagen .............................................................

145

3.3.1

Tillämpningsområdet............................................

145

3.3.2

Hanteringsregler ...................................................

146

3.3.3

Ostrukturerat material..........................................

149

3.4Registerförfattningar inom Socialdepartementets

verksamhetsområde..............................................................

149

3.4.1

Ett stort antal författningar..................................

149

3.4.2

Lagstiftning som reglerar en verksamhet ............

151

3.4.3Lagstiftning som reglerar ett register

eller en informationssamling ................................

153

8

SOU 2017:66

Innehåll

3.4.4Lagstiftning som bland annat reglerar

 

 

behandling av personuppgifter .............................

154

 

3.4.5

Lagstiftning som reglerar uppgiftsskyldigheter...

157

4

Dataskyddsförordningen ...........................................

159

4.1

Inledning................................................................................

159

4.2Skillnaden mellan en EU-förordning

och ett EU-direktiv...............................................................

160

4.3 Dataskyddsförordningens innehåll......................................

161

4.3.1

Materiell och territoriell avgränsning...................

161

4.3.2

Definitioner ...........................................................

162

4.3.3

Grundläggande principer ......................................

164

4.3.4

Laglig behandling av personuppgifter ..................

164

4.3.5Känsliga personuppgifter och uppgifter om

 

lagöverträdelser......................................................

166

4.3.6

Den registrerades rättigheter ................................

168

4.3.7Personuppgiftsansvarigas och

 

 

personuppgiftsbiträdens skyldigheter..................

171

 

4.3.8

Dataskyddsombud.................................................

172

 

4.3.9

Överföring av personuppgifter till tredjeland .....

173

 

4.3.10

Tillsynsmyndigheter..............................................

173

 

4.3.11

När uppgifter behandlas i strid med

 

 

 

dataskyddsförordningen .......................................

174

 

4.3.12

Konkurrens med andra rättigheter .......................

175

 

4.3.13

Övrigt.....................................................................

175

5

Pågående översynsarbete .........................................

177

5.1

Dataskyddsutredningen........................................................

177

5.2

Utredningen om 2016 års dataskyddsdirektiv ....................

179

5.3Övrigt översynsarbete med anledning av

dataskyddsförordningen.......................................................

180

5.4 Förslaget till myndighetsdatalag ..........................................

181

9

Innehåll

SOU 2017:66

GENERELLA ÖVERVÄGANDEN .........................................

183

6

Allmänna utgångspunkter .........................................

185

6.1Behandling som i dag är laglig ska kunna fortsätta men

författningsstöd för annat bör inte införas nu....................

185

6.2Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir

 

tydligare.................................................................................

188

7

Konsekvenserna av att dataskyddsförordningen börjar

 

 

tillämpas ................................................................

191

7.1

Inledning ...............................................................................

191

7.2Personuppgifter kommer inte att kunna behandlas med

stöd av missbruksregeln .......................................................

192

7.3Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning

 

minskar..................................................................................

193

7.4

Rättslig grund för behandling av personuppgifter .............

194

7.5

Känsliga personuppgifter .....................................................

195

7.6Färre uppgifter omfattas av de begränsningar som gäller

 

för uppgifter om lagöverträdelser m.m.................................

196

7.7

Utökade rättigheter för den registrerade............................

196

7.8

Personuppgiftsincidenter ska anmälas ................................

198

7.9

Konsekvensbedömning........................................................

198

7.10

Skyldighet att utse dataskyddsombud.................................

198

7.11

Sanktioner .............................................................................

199

8

Verksamheter som inte har en registerförfattning.........

201

10

SOU 2017:66

Innehåll

9

Allmänt om befintliga bestämmelser .........................

203

9.1

Inledning................................................................................

203

9.2Det är tillåtet att begränsa myndigheters möjligheter till

behandling och utöka deras skyldigheter ............................

203

9.3Nationella bestämmelser för att anpassa tillämpningen

 

av bestämmelserna i dataskyddsförordningen ....................

205

9.4

Registerförfattningarnas syfte..............................................

207

9.5

Registerförfattningarnas tillämpningsområde.....................

208

9.6Registerförfattningarnas förhållande till annan

 

dataskyddsreglering ..............................................................

210

9.7

Personuppgiftsansvar............................................................

213

9.8

Begreppet allmänt intresse ...................................................

215

 

9.8.1

Bestämmelser om allmänt intresse i

 

 

 

dataskyddsförordningen och

 

 

 

dataskyddsdirektivet..............................................

215

 

9.8.2

Att bedriva verksamhet som ska finnas i

 

 

 

enlighet med internationella rättighetsstadgor

 

 

 

är ett viktigt allmänt intresse ................................

219

 

9.8.3

Redan gjorda bedömningar av allmänt intresse

 

 

 

har alltjämt giltighet ..............................................

221

9.9

Principer för behandling av personuppgifter ......................

222

9.10

Rättslig grund för behandling av personuppgifter..............

224

 

9.10.1

Laglig behandling av personuppgifter vid

 

 

 

rättslig förpliktelse, allmänt intresse och

 

 

 

myndighetsutövning..............................................

224

 

9.10.2

Samtycke som rättslig grund ................................

229

 

9.10.3

Finalitetsprincipen.................................................

232

9.11

Känsliga personuppgifter......................................................

235

 

9.11.1

Förbud mot att behandla känsliga

 

 

 

personuppgifter och möjligheterna till

 

 

 

undantag.................................................................

235

11

Innehåll

SOU 2017:66

9.11.2Undantag vid fullgörande av skyldigheter och

rättigheter inom arbetsrätten och på områdena

 

social trygghet och socialt skydd .........................

238

9.11.3 Undantag för viktiga allmänna intressen.............

239

9.11.4Undantag för hälso- och sjukvård samt social

 

 

omsorg ...................................................................

243

 

9.11.5

Undantag för folkhälsoområdet...........................

248

 

9.11.6 Fler uppgifter blir känsliga personuppgifter .......

249

9.12

Uppgifter om lagöverträdelser.............................................

252

9.13

Personnummer .....................................................................

256

9.14

Överföring till tredjeland.....................................................

257

9.15

Den registrerades rättigheter ...............................................

261

 

9.15.1 Utökade rättigheter för registrerade....................

261

 

9.15.2

Begränsningar av rättigheter.................................

276

9.16

Säkerhetsåtgärder..................................................................

281

 

9.16.1 Den generella regleringen om

 

 

 

säkerhetsåtgärder/skyddsåtgärder........................

281

9.16.2Bestämmelser om säkerhetsåtgärder

i registerförfattningar............................................

285

9.17 Gallring och bevarande.........................................................

292

9.17.1Den generella regleringen om gallring

 

 

och bevarande ........................................................

292

 

9.17.2

Överväganden ........................................................

295

9.18

Tillsyn

....................................................................................

298

9.19

Sanktioner .............................................................................

299

 

9.19.1 .............................................................

Skadestånd

299

 

9.19.2 .........................

Administrativa sanktionsavgifter

302

 

9.19.3 ........................................................

Straff och vite

306

9.20

Överklagande av beslut som fattats av en myndighet

 

 

i egenskap ..................................av personuppgiftsansvarig

306

9.21

Uppgiftsskyldigheter............................................................

309

9.22

Barns personuppgifter..........................................................

311

12

SOU 2017:66 Innehåll

SÄRSKILDA ÖVERVÄGANDEN OCH FÖRSLAG ...................

315

10

Författningar som reglerar en verksamhet...................

317

10.1

Patientdatalagen (2008:355).................................................

317

 

10.1.1

Lagens tillämpningsområde ..................................

317

 

10.1.2

Lagens syfte ...........................................................

320

 

10.1.3 Förhållandet till annan dataskyddsreglering........

321

10.1.4Tillämpningsområdet för kapitlet med grundläggande bestämmelser om behandling

av personuppgifter.................................................

322

10.1.5Rätten att invända mot behandling av

 

personuppgifter .....................................................

323

10.1.6

Samtycke som grund för behandlingen................

325

10.1.7

Ändamål och grund för behandling av

 

 

personuppgifter .....................................................

326

10.1.8

Personuppgiftsansvar ............................................

328

10.1.9

Personuppgifter som får behandlas......................

329

10.1.10

Känsliga personuppgifter ......................................

330

10.1.11

Sökbegränsningar ..................................................

331

10.1.12

Skyldigheten att föra patientjournal.....................

333

10.1.13

Säkerhetsåtgärder...................................................

337

10.1.14

Upplysningsbestämmelser och allmän

 

 

bestämmelse om utlämnande................................

342

10.1.15

Sammanhållen journalföring.................................

343

10.1.16

Nationella och regionala kvalitetsregister............

350

10.1.17

Rättigheter för den enskilde .................................

362

10.1.18

Omhändertagande och återlämnande av

 

 

patientjournaler......................................................

368

10.1.19

Skadestånd..............................................................

369

10.1.20

Överklagande.........................................................

370

10.2 Patientdataförordningen (2008:360) ...................................

371

10.3 Förordningen (1985:796) med vissa bemyndiganden för

 

Socialstyrelsen att meddela föreskrifter m.m......................

371

10.4 Förordningen (2008:363) om provtagning för

 

hivinfektion ...........................................................................

372

13

Innehåll

SOU 2017:66

10.5 Apoteksdatalagen (2009:367) ..............................................

372

10.5.1

Lagens tillämpningsområde..................................

372

10.5.2 Krav på behandling, hantering och förvaring ......

373

10.5.3

Förhållandet till annan dataskyddsreglering........

373

10.5.4Den enskildes inställning till behandling av

personuppgifter.....................................................

374

10.5.5 Personuppgiftsansvar............................................

376

10.5.6Ändamål och grund för behandling av

personuppgifter.....................................................

376

10.5.7Känsliga personuppgifter och uppgifter om

 

lagöverträdelser .....................................................

379

10.5.8

Säkerhetsåtgärder ..................................................

380

10.5.9

Gallring ..................................................................

381

10.5.10

Rättelse och skadestånd........................................

381

10.5.11

Information som ska lämnas självmant ...............

381

10.6 Apoteksdataförordningen (2009:624).................................

383

10.7 Lagen (2016:526) om behandling av personuppgifter

 

i ärenden om licens för läkemedel .......................................

383

10.7.1

Lagens tillämpningsområde..................................

383

10.7.2

Förhållandet till annan dataskyddsreglering........

384

10.7.3

Krav på behandling................................................

384

10.7.4Rätten att invända mot behandling av

personuppgifter.....................................................

385

10.7.5 Personuppgiftsansvar............................................

386

10.7.6Ändamål och grund för behandling av

 

personuppgifter.....................................................

387

10.7.7

Känsliga personuppgifter......................................

388

10.7.8

Säkerhetsåtgärder ..................................................

390

10.7.9

Uppgiftsskyldigheter ............................................

390

10.7.10

Gallring ..................................................................

391

10.7.11

Rättelse och skadestånd........................................

391

10.7.12

Information som ska lämnas självmant ...............

392

10.8 Förordningen (2016:533) om behandling av

 

personuppgifter i ärenden om licens för läkemedel ...........

394

10.9 Lagen (2001:454) om behandling av personuppgifter

 

inom socialtjänsten...............................................................

394

10.9.1

Lagens tillämpningsområde..................................

394

14

SOU 2017:66

 

Innehåll

10.9.2

Förhållandet till annan dataskyddsreglering........

396

10.9.3

Ändamål och grund för behandling av

 

 

personuppgifter .....................................................

396

10.9.4

Rätten att invända mot behandling av

 

 

personuppgifter .....................................................

397

10.9.5

Personnummer, känsliga personuppgifter

 

 

och uppgifter om lagöverträdelser........................

399

10.9.6

Upplysningsbestämmelse......................................

402

10.9.7

Rättelse och skadestånd ........................................

402

10.9.8

Överklagande.........................................................

403

10.9.9

Bemyndiganden .....................................................

404

10.10 Förordningen (2001:637) om behandling av

 

personuppgifter inom socialtjänsten ...................................

405

10.10.1

Förordningens tillämpningsområde.....................

405

10.10.2

Upplysningsbestämmelser ....................................

406

10.10.3

Personuppgiftsansvar ............................................

407

10.10.4

Ändamål och grund för behandling av

 

 

personuppgifter .....................................................

407

10.10.5

Känsliga personuppgifter ......................................

408

10.10.6

Säkerhetsåtgärder...................................................

409

10.10.7

Uppgiftsskyldigheter.............................................

410

10.10.8

Överföring av personuppgifter till tredjeland .....

410

10.10.9

Bemyndiganden .....................................................

411

10.11Förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt

vårdnadsbidrag ......................................................................

412

10.11.1

Förordningens tillämpningsområde.....................

412

10.11.2

Personuppgiftsansvar ............................................

412

10.11.3 Förhållandet till annan dataskyddsreglering........

413

10.11.4 Ändamål och grund för behandling av

 

 

personuppgifter .....................................................

414

10.11.5 Personuppgifter som får behandlas......................

415

10.11.6 Rätten att invända mot behandling av

 

 

personuppgifter .....................................................

417

10.11.7

Rättelse och skadestånd ........................................

418

15

Innehåll

SOU 2017:66

10.12 112 kap. socialförsäkringsbalken .........................................

418

10.12.1

Beslut genom automatiserad behandling.............

418

10.13 114 kap. socialförsäkringsbalken .........................................

419

10.13.1

Kapitlets tillämpningsområde...............................

419

10.13.2

Rätten att invända mot behandling av

 

 

personuppgifter.....................................................

420

10.13.3

Förhållandet till annan dataskyddsreglering........

422

10.13.4

Personuppgiftsansvar............................................

422

10.13.5

Ändamål och grund för behandling av

 

 

personuppgifter.....................................................

422

10.13.6

Känsliga personuppgifter och uppgifter om

 

 

lagöverträdelser .....................................................

425

10.13.7

Sökbegränsningar ..................................................

427

10.13.8

Säkerhetsåtgärder ..................................................

430

10.13.9

Överföring av personuppgifter till tredjeland .....

431

10.13.10

Information som ska lämnas på begäran .............

432

10.13.11

Gallring ..................................................................

434

10.13.12

Avgifter..................................................................

434

10.13.13

Rättelse och skadestånd........................................

436

10.13.14

Tystnadsplikt.........................................................

437

10.13.15

Överklagande ........................................................

437

10.14Förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens

administration.......................................................................

438

10.15 Lagen (2010:111) om införande av

 

socialförsäkringsbalken ........................................................

440

10.16 Förordningen (2011:306) om behandling av

 

personuppgifter i Tandvårds- och

 

läkemedelsförmånsverkets verksamhet i fråga om

 

det statliga tandvårdsstödet .................................................

441

10.16.1

Förordningens tillämpningsområde.....................

441

10.16.2

Personuppgiftsansvar............................................

441

10.16.3 Förhållandet till annan dataskyddsreglering........

442

10.16.4 Ändamål och grund för behandling av

 

 

personuppgifter.....................................................

442

10.16.5 Personuppgifter som får behandlas......................

444

16

SOU 2017:66

 

Innehåll

10.16.6 Rätten att invända mot behandling av

 

 

personuppgifter .....................................................

446

10.16.7

Säkerhetsåtgärder...................................................

448

10.16.8 Information som ska lämnas på begäran..............

448

10.16.9

Rättelse och skadestånd ........................................

450

10.17Förslag som lämnats i betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen

(SOU 2014:67)......................................................................

450

10.17.1 Uppdraget ..............................................................

450

10.17.2Förslag till lag om behandling av personuppgifter inom verksamheten för

 

 

Inspektionen för socialförsäkringen ....................

450

 

10.17.3

Övriga författningsförslag ....................................

462

11

Författningar som reglerar ett register

 

 

eller en informationssamling.....................................

465

11.1

Lagen (1996:1156) om receptregister..................................

465

 

11.1.1

Inledning ................................................................

465

 

11.1.2

Förande av receptregistret ....................................

465

 

11.1.3

Förhållandet till annan dataskyddsreglering........

466

11.1.4Den enskildes inställning till behandling av

personuppgifter .....................................................

466

11.1.5 Personuppgiftsansvar ............................................

468

11.1.6Ändamål och grund för behandling av

 

personuppgifter .....................................................

468

11.1.7

Personuppgifter som får behandlas......................

470

11.1.8

Säkerhetsåtgärder...................................................

472

11.1.9

Uppgiftsskyldigheter.............................................

472

11.1.10

Gallring...................................................................

473

11.1.11

Information som ska lämnas självmant................

473

11.1.12

Upplysningsbestämmelse......................................

475

11.1.13

Rättelse och skadestånd ........................................

476

11.1.14

Avgifter ..................................................................

476

11.1.15

Bemyndigande .......................................................

476

11.2 Förordningen (2009:625) om receptregister.......................

477

17

Innehåll

SOU 2017:66

11.3 Lagen (2005:258) om läkemedelsförteckning.....................

477

11.3.1

Inledning................................................................

477

11.3.2 Skyldighet att föra register ...................................

478

11.3.3

Personuppgiftsansvar............................................

478

11.3.4 Förhållandet till annan dataskyddsreglering........

478

11.3.5Rätten att invända mot behandling av

personuppgifter.....................................................

479

11.3.6Ändamål och grund för behandling av

 

personuppgifter.....................................................

480

11.3.7

Personuppgifter som får behandlas......................

482

11.3.8

Säkerhetsåtgärder ..................................................

484

11.3.9

Återkallelse av samtycke.......................................

484

11.3.10

Bevarande och gallring..........................................

485

11.3.11

Information som ska lämnas självmant ...............

486

11.3.12

Information som ska lämnas på begäran .............

487

11.3.13

Upplysningsbestämmelse .....................................

488

11.3.14

Rättelse och skadestånd........................................

489

11.3.15

Avgifter..................................................................

489

11.4 Förordningen (2009:626) om läkemedelsförteckning .......

490

11.5 Förordningen (2006:196) om register över hälso- och

 

sjukvårdspersonal .................................................................

490

11.5.1

Skyldighet att föra register ...................................

490

11.5.2

Förhållandet till annan dataskyddsreglering........

491

11.5.3Rätten att invända mot behandling av

personuppgifter.....................................................

491

11.5.4 Personuppgiftsansvar............................................

492

11.5.5Ändamål och grund för behandling av

 

personuppgifter.....................................................

492

11.5.6

Personuppgifter som får behandlas......................

493

11.5.7

Säkerhetsåtgärder ..................................................

494

11.5.8

Uppgiftsskyldigheter ............................................

494

11.5.9

Information som ska lämnas självmant ...............

495

11.5.10

Rättelse och skadestånd........................................

496

11.6 Lagen (1998:543) om hälsodataregister och tillhörande

 

förordningar..........................................................................

497

11.6.1

Bemyndiganden.....................................................

497

11.6.2

Förande av hälsodataregister ................................

498

18

SOU 2017:66

 

Innehåll

11.6.3

Personuppgiftsansvar ............................................

498

11.6.4

Förhållandet till annan dataskyddsreglering........

499

11.6.5

Ändamål och grund för behandling av

 

 

personuppgifter .....................................................

499

11.6.6

Personuppgifter som får behandlas......................

501

11.6.7

Rätten att invända mot behandling av

 

 

personuppgifter .....................................................

503

11.6.8

Säkerhetsåtgärder...................................................

504

11.6.9

Uppgiftsskyldighet................................................

504

11.6.10

Upplysningsbestämmelse......................................

505

11.6.11

Rättelse och skadestånd ........................................

506

11.6.12

Information som ska lämnas självmant................

506

11.7 Lagen (2012:453) om register över nationella

 

vaccinationsprogram.............................................................

508

11.7.1

Lagens tillämpningsområde ..................................

508

11.7.2

Förhållandet till annan dataskyddsreglering........

508

11.7.3Rätten att invända mot behandling av

personuppgifter .....................................................

509

11.7.4 Personuppgiftsansvar ............................................

510

11.7.5Ändamål och grund för behandling av

 

 

personuppgifter .....................................................

511

 

11.7.6

Personuppgifter som får behandlas......................

512

 

11.7.7

Uppgiftsskyldighet................................................

514

 

11.7.8

Säkerhetsåtgärder...................................................

514

 

11.7.9

Upplysningsbestämmelse......................................

515

 

11.7.10

Rättelse och skadestånd ........................................

516

 

11.7.11

Information som ska lämnas självmant................

516

11.8

Förordningen (1992:62) om bevarande av registret

 

 

rörande vissa alkoholbrott m.m. ..........................................

518

12

Författningar som bl.a. reglerar behandling av

 

 

personuppgifter.......................................................

521

12.1Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och förordningen (2002:746) om biobanker

i hälso- och sjukvården m.m.................................................

521

12.1.1

Inledning ................................................................

521

12.1.2

Register över biobanker ........................................

522

19

Innehåll

SOU 2017:66

12.1.3 Skyldigheten att dokumentera i patientjournal...

526

12.1.4

Utlämnande av journalhandling ...........................

528

12.1.5

Uppgiftsskyldighet ...............................................

531

12.1.6

PKU-registret........................................................

532

12.1.7

Rättelse och skadestånd........................................

537

12.1.8

Tillsyn ....................................................................

537

12.1.9

Överklagande ........................................................

538

12.2 Lagen (2006:351) om genetisk integritet m.m. ..................

539

12.2.1

Inledning................................................................

539

12.2.2 Förhållandet till annan dataskyddsreglering........

540

12.2.3 Skyldigheten att föra journal och bevarande.......

540

12.2.4

Uppgiftsskyldigheter ............................................

543

12.3 Lagen (2006:496) om blodsäkerhet och förordningen

 

(2006:497) om blodsäkerhet................................................

543

12.3.1

Inledning................................................................

543

12.3.2 Förhållandet till annan dataskyddsreglering........

544

12.3.3Register som förs av den som har tillstånd att

bedriva blodverksamhet........................................

544

12.3.4Register som förs av Inspektionen för vård

 

och omsorg............................................................

550

12.3.5

Rättelse och skadestånd........................................

554

12.3.6

Uppgiftsskyldighet ...............................................

554

12.4Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och förordningen (2008:414) om kvalitets- och

säkerhetsnormer vid hantering av mänskliga vävnader

 

och celler ...............................................................................

555

12.4.1

Inledning................................................................

555

12.4.2 Förhållandet till annan dataskyddsreglering........

555

12.4.3

Register som förs av vävnadsinrättning...............

556

12.4.4Register som förs av Inspektionen för vård

 

och omsorg............................................................

563

12.4.5

Rättelse och skadestånd........................................

566

12.4.6

Uppgiftsskyldigheter ............................................

567

20

SOU 2017:66 Innehåll

12.5 Lagen (2012:263) om kvalitets- och säkerhetsnormer

 

 

vid hantering av mänskliga organ och förordningen

 

 

(2012:346) om kvalitets- och säkerhetsnormer vid

 

 

hantering av mänskliga organ...............................................

568

 

12.5.1

Inledning ................................................................

568

 

12.5.2 Förhållandet till annan dataskyddsreglering........

568

 

12.5.3

Register ..................................................................

569

 

12.5.4

Rättelse och skadestånd ........................................

572

 

12.5.5

Uppgiftsskyldigheter.............................................

572

12.6

Patientsäkerhetslagen (2010:659) och

 

 

patientsäkerhetsförordningen (2010:1369).........................

573

 

12.6.1

Inledning ................................................................

573

 

12.6.2

Register ..................................................................

574

 

12.6.3

Uppgiftsskyldigheter.............................................

578

12.7 Lagen (2009:366) om handel med läkemedel och

 

 

förordningen (2009:659) om handel med läkemedel..........

579

 

12.7.1

Inledning ................................................................

579

 

12.7.2 Elektroniskt system för direktåtkomst................

579

 

12.7.3

Avgifter ..................................................................

580

 

12.7.4

Uppgiftsskyldigheter.............................................

581

 

12.7.5 Skyldighet att lämna ut uppgifter elektroniskt....

581

 

12.7.6 Skyldighet att föra register....................................

583

12.8

Läkemedelslagen (2015:315) och

 

 

läkemedelsförordningen (2015:458)....................................

583

 

12.8.1

Inledning ................................................................

583

 

12.8.2

System för säkerhetsövervakning.........................

584

 

12.8.3

Personuppgiftsansvar ............................................

584

 

12.8.4

Känsliga personuppgifter ......................................

585

 

12.8.5

Hälsodataregister...................................................

590

 

12.8.6

Uppgiftsskyldigheter.............................................

591

12.9 Förordningen (2013:413) om kosmetiska produkter.........

592

 

12.9.1

Inledning ................................................................

592

 

12.9.2

Känsliga personuppgifter ......................................

592

 

12.9.3

Personuppgiftsansvar ............................................

594

21

Innehåll

SOU 2017:66

12.10 Lagen (2006:1570) om skydd mot internationella hot

 

mot människors hälsa...........................................................

594

12.10.1

Inledning................................................................

594

12.10.2

Upplysningsbestämmelse .....................................

595

12.10.3

Känsliga personuppgifter......................................

595

12.10.4

Överföring till tredjeland......................................

598

12.11 Tobakslagen (1993:581).......................................................

599

12.12 Alkohollagen (2010:1622) ...................................................

600

12.12.1

Inledning................................................................

600

12.12.2

Register ..................................................................

601

12.12.3

Rättelse och skadestånd........................................

603

12.12.4

Uppgiftsskyldigheter ............................................

603

12.13 Socialtjänstlagen (2001:453) och

 

socialtjänstförordningen (2001:937)...................................

604

12.13.1

Inledning................................................................

604

12.13.2

Behandling av personuppgifter.............................

605

12.13.3

Register över verksamheter ..................................

606

12.13.4

Säkerhetsåtgärder ..................................................

607

12.13.5

Information och rättelse.......................................

608

12.13.6

Uppgiftsskyldigheter ............................................

610

12.13.7

Gallring ..................................................................

610

12.14Lagen (1993:387) om stöd och service till vissa funktionshindrade och förordningen (1993:1090) om

stöd och service till vissa funktionshindrade ......................

611

12.14.1

Inledning................................................................

611

12.14.2

Krav på dokumentation ........................................

612

12.14.3

Säkerhetsåtgärder ..................................................

613

12.14.4

Information och rättelse.......................................

613

12.14.5

Uppgiftsskyldighet ...............................................

615

12.14.6

Register över verksamheter ..................................

615

12.14.7

Gallring ..................................................................

617

12.15 Förordningen (1981:1370) om skyldighet för

 

socialnämnderna att lämna statistiska uppgifter.................

618

12.16 Förordningen (2010:425) om ersättning för kostnader

 

för sjuklön.............................................................................

619

22

SOU 2017:66

Innehåll

12.17

Förordningen (1998:562) med vissa bemyndiganden för

 

 

Försäkringskassan.................................................................

620

12.18

Lagen (1991:1047) om sjuklön.............................................

621

12.19

Bostadsbidragsförordningen (1993:739).............................

622

12.20

Förordningen (1996:1036) om underhållsstöd...................

623

12.21

Förordningen (1998:1340) om inkomstgrundad

 

 

ålderspension.........................................................................

624

12.22

Förordningen (2008:193) om statligt tandvårdsstöd..........

626

13

Författningar med uppgiftsskyldigheter ......................

629

14

Obsoleta författningar ..............................................

631

14.1

Förordningen (1994:565) om vårdnadsbidragsregister ......

631

14.2Förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för

 

socialförsäkringsregister.......................................................

633

AVSLUTANDE DEL ..........................................................

635

15

Ikraftträdande och övergångsbestämmelser ................

637

15.1

Ikraftträdande .......................................................................

637

15.2

Övergångsbestämmelser.......................................................

639

 

15.2.1

Regleringen i dataskyddsförordningen ................

639

 

15.2.2

Överklagande av myndighetsbeslut......................

640

 

15.2.3

Skadestånd..............................................................

641

 

15.2.4

Övriga övergångsbestämmelser............................

642

16

Konsekvenser av att utredningens förslag genomförs ...

643

16.1

Inledning................................................................................

643

16.2

Uppdraget och de ändringar som föreslås...........................

644

16.3

Konsekvenser enligt kommittéförordningen......................

646

16.4

Konsekvenser för den personliga integriteten ....................

647

23

Innehåll

SOU 2017:66

17

Författningskommentar ............................................

649

17.1

Förslaget till lag om ändring i socialförsäkringsbalken......

649

17.2Förslaget till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för

 

Inspektionen för socialförsäkringen ...................................

650

17.3

Förslaget till lag om ändring i lagen (1996:1156) om

 

 

receptregister ........................................................................

650

17.4

Förslaget till lag om ändring i lagen (1998:543) om

 

 

hälsodataregister ...................................................................

651

17.5

Förslaget till lag om ändring i lagen (2001:454) om

 

 

behandling av personuppgifter inom socialtjänsten...........

651

17.6

Förslaget till lag om ändring i lagen (2002:297) om

 

 

biobanker i hälso- och sjukvården m.m. .............................

651

17.7

Förslaget till lag om ändring i lagen (2005:258) om

 

 

läkemedelsförteckning .........................................................

652

17.8

Förslaget till lag om ändring i lagen (2006:351) om

 

 

genetisk integritet m.m. .......................................................

652

17.9

Förslaget till lag om ändring i lagen (2006:496) om

 

 

blodsäkerhet..........................................................................

652

17.10

Förslaget till lag om ändring i lagen (2006:1570) om

 

 

skydd mot internationella hot mot människors hälsa........

652

17.11

Förslaget till lag om ändring i lagen (2008:286) om

 

 

kvalitets- och säkerhetsnormer vid hantering av

 

 

mänskliga vävnader och celler..............................................

653

17.12

Förslaget till lag om ändring i patientdatalagen

 

 

(2008:355) .............................................................................

653

17.13

Förslaget till lag om ändring i apoteksdatalagen

 

 

(2009:367) .............................................................................

654

17.14

Förslaget till lag om ändring i lagen (2010:111) om

 

 

införande av socialförsäkringsbalken ..................................

654

17.15 Förslaget till lag om ändring i alkohollagen (2010:1622)...

654

24

SOU 2017:66

Innehåll

17.16

Förslaget till lag om ändring i lagen (2012:263) om

 

 

kvalitets- och säkerhetsnormer vid hantering av

 

 

mänskliga organ ....................................................................

654

17.17

Förslaget till lag om ändring i lagen (2012:453) om

 

 

register över nationella vaccinationsprogram......................

655

17.18Förslaget till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för

läkemedel...............................................................................

655

17.19Förslaget till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att

lämna statistiska uppgifter....................................................

655

17.20Förslaget till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom

 

socialtjänsten .........................................................................

656

17.21

Förslaget till förordning om ändring i förordningen

 

 

(2001:707) om patientregister hos Socialstyrelsen .............

656

17.22

Förslaget till förordning om ändring i förordningen

 

 

(2001:708) om medicinskt födelseregister hos

 

 

Socialstyrelsen.......................................................................

656

17.23

Förslaget till förordning om ändring i förordningen

 

 

(2001:709) om cancerregister hos Socialstyrelsen ..............

656

17.24Förslaget till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom

 

socialförsäkringens administration ......................................

657

17.25

Förslaget till förordning om ändring i förordningen

 

 

(2005:363) om läkemedelsregister hos Socialstyrelsen.......

657

17.26

Förslaget till förordning om ändring i förordningen

 

 

(2006:94) om register hos Socialstyrelsen över insatser

 

 

inom den kommunala hälso- och sjukvården......................

657

17.27Förslaget till förordning om ändring i förordningen (2006:196) om register över hälso- och

sjukvårdspersonal..................................................................

657

25

Innehåll

SOU 2017:66

17.28

Förslaget till förordning om ändring i förordningen

 

 

(2008:194) om tandhälsoregister hos Socialstyrelsen ........

658

17.29

Förslaget till förordning om ändring i förordningen

 

 

(2009:1422) om behandling av personuppgifter i

 

 

Statistiska centralbyråns verksamhet med framställning

 

 

av statistik över kommunalt vårdnadsbidrag ......................

658

17.30Förslaget till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över

läkemedel som lämnats ut från apotek i Jämtlands län ......

658

17.31Förslaget till förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet

 

i fråga om det statliga tandvårdsstödet................................

659

17.32

Förslaget till förordning om ändring i förordningen

 

 

(2013:413) om kosmetiska produkter.................................

659

17.33

Förslaget till förordning om ändring i

 

 

läkemedelsförordningen (2015:458) ...................................

659

17.34

Förslaget till förordning om upphävande av

 

 

förordningen (1994:565) om vårdnadsbidragsregister.......

659

17.35Förslaget till förordning om upphävande av förordningen (1998:156) med bemyndigande för

Datainspektionen att meddela säkerhetsföreskrifter för

 

socialförsäkringsregister.......................................................

660

Referenser.......................................................................

661

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2016:52...........................................

667

Bilaga 2

Dataskyddsförordningen.............................................

679

26

Sammanfattning

EU:s dataskyddsförordning blir tillämplig i Sverige den 25 maj 2018 och ersätter då personuppgiftslagen. Utredningen har inför det sett över registerförfattningarna inom Socialdepartementets verksam- hetsområde. Utredningens målsättning, eller utgångspunkt, har varit att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. Den målsättningen har uppnåtts efter en ingående analys av både dataskyddsförordningen och registerförfattningarna. Utred- ningens förslag, som i huvudsak är av författningsteknisk karaktär, inskränker alltså inte nuvarande möjligheter att behandla person- uppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Å andra sidan föreslås inte heller författningsstöd för sådan behandling som inte är laglig i dag.

Dataskyddsförordningen

EU har beslutat om en förordning – den s.k. dataskyddsförordningen

– som utgör en ny generell reglering för behandling av person- uppgifter inom EU. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vid samma tidpunkt kommer personuppgifts- lagen att upphävas. Dataskyddsförordningen är direkt tillämplig och dess bestämmelser är tvingande. Nationell lagstiftning på området kommer därför endast att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen.

Dataskyddsutredningen har föreslagit en ny lag – dataskydds- lagen – som, om förslaget leder till lagstiftning, kommer att inne- hålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå.

27

Sammanfattning

SOU 2017:66

Det har sedan över ett år tillbaka dessutom pågått ett omfatt- ande arbete med att anpassa befintliga registerförfattningar till data- skyddsförordningen. Registerförfattningarna kommer att komplettera dataskyddsförordningen på verksamhetsspecifik nivå. Den före- slagna dataskyddslagen kommer att vara subsidiär i förhållande till registerförfattningarna och är tillämplig i verksamheter som om- fattas av en särskild registerförfattning endast om inget annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den.

Socialdataskyddsutredningen har haft i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.

I det följande sammanfattas de viktigaste bedömningarna och förslagen i betänkandet.

Utgångspunkter för översynen

En utgångspunkt för utredningen har varit att de personuppgifts- ansvariga ska kunna fortsätta att behandla personuppgifter på samma sätt som de får i dag. Det innebär att översynen har inriktats på att undersöka om behandling som i dag är laglig kommer att kunna ske när dataskyddsförordningen ska tillämpas.

Konsekvenser för verksamheter som inte har en registerförfattning

När personuppgiftslagen upphävs försvinner möjligheten att be- handla personuppgifter med stöd av den s.k. missbruksregeln (5 a § personuppgiftslagen). Någon motsvarande regel finns inte i data- skyddsförordningen.

Offentliga myndigheter får enligt dataskyddsförordningen inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina arbetsuppgifter, vilket lär innefatta de arbetsuppgifter de utför inom den myndighetsspecifika verksamheten. Möjlighet- erna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar därmed.

28

SOU 2017:66

Sammanfattning

Det har inte framkommit att några myndigheter eller verksam- heter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Utredningen har dock genom tilläggsdirektiv fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om be- handling av personuppgifter för Myndigheten för vård- och omsorgs- analys. Det uppdraget ska redovisas senast den 15 januari 2018.

Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen

Medlemsstaternas nationella lagstiftning får enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen för såväl myndigheter som enskilda när det gäller behandling av person- uppgifter som är tillåten enligt artikel 6.1 c eller e. Det innebär att det är möjligt att i registerförfattningarna närmare reglera förutsätt- ningarna för behandling när behandlingen är nödvändig

för att fullgöra en rättslig förpliktelse,

för att utföra en arbetsuppgift av allmänt intresse, eller

för att utföra en arbetsuppgift som ett led i den personuppgifts- ansvariges myndighetsutövning.

Därutöver hindrar dataskyddsförordningen inte att medlemsstaterna i nationell rätt inför mer restriktiva bestämmelser än enligt data- skyddsförordningen för sina egna myndigheters behandling av per- sonuppgifter eller ålägger dem utökade skyldigheter.

Registerförfattningarnas tillämpningsområde

Nationell lagstiftning som kompletterar dataskyddsförordningen kan ha både ett vidare och ett snävare tillämpningsområde än dataskydds- förordningen. Bestämmelser om registerförfattningars tillämpnings- område behöver därför i regel inte ändras med anledning av data- skyddsförordningen. Patientdatalagen, lagen om behandling av per-

29

Sammanfattning

SOU 2017:66

sonuppgifter inom socialtjänsten och den tillhörande förordningen om behandling av personuppgifter inom socialtjänsten omfattar dock viss behandling av personuppgifter som syftar till att verk- ställa straffrättsliga påföljder, såsom rättspsykiatrisk vård och ung- domsvård. Sådan behandling omfattas inte av dataskyddsförord- ningen utan av det nya dataskyddsdirektivet som i Sverige föreslås bli genomfört genom en ny brottsdatalag. Utredningen föreslår därför att lagen om behandling av personuppgifter inom social- tjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Patientdatalagen föreslås däremot gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård.

Rättslig grund för behandling av personuppgifter

Ändamål

Behandling av personuppgifter är laglig enligt dataskyddsförord- ningen endast om och i den mån åtminstone ett av villkoren i arti- kel 6.1 i dataskyddsförordningen är uppfyllt. Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i arti- kel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen.

I registerförfattningar anges ofta de ändamål för vilka person- uppgifter får behandlas. Utredningen har konstaterat att de ända- mål som anges i de registerförfattningar som setts över grundar sig på rättsliga förpliktelser eller arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning. Ändamålen har därmed stöd i dataskyddsförordningen och kan behållas.

Nya krav på den rättsliga grunden

Det har i och med dataskyddsförordningen tillkommit vissa nya krav på de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den person- uppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste grunden fastställas i nationell rätt eller

30

SOU 2017:66

Sammanfattning

EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning gäller i stället att syftet med behandlingen ska vara nödvändigt för ändamålet. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste slut- ligen också uppfylla ett mål av allmänt intresse och vara proportio- nell mot det legitima mål som eftersträvas.

Myndighetsutövning måste alltid ha stöd i författning och rätts- liga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. Arbetsuppgifter av allmänt intresse härrör från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar eller regeringsbeslut. Är den rättsliga grunden inte fastställd i annan författning, är den dessutom i vart fall fastställd genom registerförfattningens ända- målsbestämmelser. Utredningen bedömer därför att kravet på att grunden ska vara fastställd genomgående är uppfyllt.

Syftet med en behandling av personuppgifter med anledning av en rättslig förpliktelse kan enligt utredningens bedömning framgå av en registerförfattning eller av exempelvis den författning som reglerar själva verksamheten. För arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning får det förutsättas att tidi- gare bedömningar av lagligt stöd för behandling av personuppgifter även innefattat ett ställningstagande till att syftet med behandlingen för det aktuella ändamålet också är nödvändigt för ändamålet.

Även kravet på att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste upp- fylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas får anses vara uppfyllt genom tidigare ställningstaganden.

31

Sammanfattning

SOU 2017:66

Samtycke

Samtycke utgör enligt både dataskyddsdirektivet och dataskydds- förordningen en rättslig grund för behandling av personuppgifter. Utredningen har funnit att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan behållas.

Finalitetsprincipen

Utredningens utgångspunkt är att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget. Det krävs därför att det är tydligt att de uppräknade ändamålen i registerförfattningarna inte är uttömmande när så har gällt tidigare. Utredningen behåller därför i sina förslag bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.

Känsliga personuppgifter och uppgifter om lagöverträdelser

Nya kategorier av känsliga personuppgifter

Det har i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter – genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Att nya kategorier lagts till de befintliga innebär att det kommer att vara fler uppgifter som kategoriseras som käns- liga och som därmed omfattas av artikel 9 i dataskyddsförordningen. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.

Bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande defini- tion får behandlas bör avse alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör där-

32

SOU 2017:66

Sammanfattning

emot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Utredningen har dock i två fall, när det gäller patientdatalagen och läkemedelsförordningen, föreslagit förtydliganden som innebär att viss behandling av de nytillkomna kategorierna av känsliga personuppgifter ska vara tillåten även i fortsättningen. Detta eftersom det bedömts nödvändigt för en ändamålsenlig behandling av personuppgifter i de aktuella verksam- heterna.

Tillåten behandling av känsliga personuppgifter

Utredningen bedömer att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av ett vik- tigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet är för- enliga med artikel 9.2 g i dataskyddsförordningen. I ett fall, när det gäller läkemedelsförordningen, har dock regleringen inte bedömts leva upp till det nya kravet på att det ska finnas bestämmelser om lämpliga skyddsåtgärder i den nationella lagstiftningen. Utredningen har därför föreslagit en begränsning som innebär att behandling av de där aktuella personuppgifterna endast får ske för angivna ändamål.

Viss behandling av känsliga personuppgifter – enligt lagen om blodsäkerhet, lagen om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga vävnader och celler, lagen om skydd mot inter- nationella hot mot människors hälsa samt lagen om register över nationella vaccinationsprogram – som tidigare tillåtits med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet har utredningen bedömt vara tillåten med stöd av det s.k. folk- hälsoundantaget i artikel 9.2 i i dataskyddsförordningen.

Även bestämmelser i registerförfattningar som tillåter behand- ling av känsliga personuppgifter inom hälso- och sjukvården samt inom social omsorg, såsom socialtjänst, är förenliga med dataskydds- förordningen. Sådana bestämmelser bör dock kompletteras med en bestämmelse som påminner om det nya kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnads- plikt.

33

Sammanfattning

SOU 2017:66

Uppgifter om lagöverträdelser

Nuvarande bestämmelser i registerförfattningarna om uppgifter om lagöverträdelser omfattar, utöver vad som gäller enligt dataskydds- förordningen, även uppgifter om friande brottmålsdomar och admi- nistrativa frihetsberövanden och innebär oftast restriktioner för behandlingen. Att dessa uppgifter, som omfattas av motsvarande bestämmelse i dataskyddsdirektivet, inte omfattas av dataskydds- förordningens reglering gör det möjligt att ta bort sådana restrik- tioner. Det är dock enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter i större utsträckning än de hittills har bedömts ha behov av bara därför att dataskyddsförordningen gör det möjligt. Med stöd av möjligheten att införa nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bör även de begränsningar för uppgifter om lagöverträdelser som inte omfattas av artikel 10 i dataskyddsförordningen behållas.

Personnummer

Bestämmelser om att personnummer får registreras, t.ex. i en data- bas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor för behandlingen av personnum- mer enligt artikel 87 i dataskyddsförordningen. Det behöver därför inte iakttas några sådana lämpliga skyddsåtgärder som krävs enligt samma artikel. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor, är de bestämmelser som redan finns i register- författningarna att anse som lämpliga skyddsåtgärder.

Överföring till tredjeland

Dataskyddsförordningens bestämmelser om överföring till tredje- land är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredje- land. En nationell bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild,

34

SOU 2017:66

Sammanfattning

bestämmelse som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning. Bestämmelserna i registerförfattningarna som anger när överföring av personuppgifter till tredjeland är tillåten har bedömts förenliga med dataskyddsförordningen och behöver därför inte ändras.

Rättigheter och skyldigheter

Nya rättigheter och skyldigheter

Det är utredningens övergripande bedömning att de nya rättigheter för registrerade och de nya skyldigheter för personuppgiftsansva- riga som dataskyddsförordningen medför normalt sett inte kan anses så betungande för de personuppgiftsansvariga att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av gene- rellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen.

Rätt att göra invändningar

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av person- uppgifter avseende honom eller henne som grundar sig på allmänt intresse, myndighetsutövning eller en intresseavvägning.

Flera registerförfattningar innehåller bestämmelser som begränsar rätten att göra invändningar. Utredningen har i fråga om sådana be- stämmelser gjort en prövning av om begränsningen är tillåten enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsförord- ningen i förhållande till varje enskild registerförfattning. Prövning- arna har lett till slutsatsen att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett.

35

Sammanfattning

SOU 2017:66

Information till registrerade

Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behand- lingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Rättelse

Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna i person- uppgiftslagen om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Automatiserade beslut

Utredningen bedömer att artikel 22.1 i dataskyddsförordningen omfattar enbart beslut som grundas på automatiserad behandling och inkluderar profilering. I den mån det inom Socialdepartemen- tets verksamhetsområde förekommer sådana beslut, krävs att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut om- fattas enligt utredningens tolkning inte av artikel 22 i dataskydds- förordningen, och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande ska regleras särskilt.

36

SOU 2017:66

Sammanfattning

Säkerhetsåtgärder

Bestämmelser om säkerhetsåtgärder/skyddsåtgärder som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rätts- lig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Myndigheter kan vidare genom nationell lag åläggas krav på säkerhetsåtgärder utan hinder av data- skyddsförordningen. Vid viss behandling av känsliga personupp- gifter krävs det dessutom att skyddsåtgärder regleras i nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdel- ser som inte utförs under kontroll av en myndighet.

Gallring

Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande kan behållas under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.

Formuleringar i registerförfattningarna om bevarande av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock ändras till att avse arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med formuleringen i dataskyddsförordningen. Enligt utred- ningens bedömning innebär omformuleringen inte någon skillnad i sak.

Tillsyn

Av Dataskyddsutredningens förslag till dataskyddslag framgår att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar data- skyddsförordningen. Det behövs därför inte några särskilda be-

37

Sammanfattning

SOU 2017:66

stämmelser om tillsyn i de registerförfattningar som omfattas av översynen.

Sanktioner

Skadestånd

Bestämmelserna i dataskyddsförordningen om skadestånd är direkt tillämpliga även på sådan behandling av personuppgifter som om- fattas av en registerförfattnings tillämpningsområde, under förut- sättning att det rör sig om sådan behandling som också omfattas av dataskyddsförordningen. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna om skadestånd i personuppgifts- lagen bör därför upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Sanktionsavgifter

I artikel 83 i dataskyddsförordningen finns en uttömmande upp- räkning av när det är möjligt att utfärda sanktionsavgifter. Efter- som endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter påföras endast vid överträdelser av sådana nationella bestämmelser. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en över- trädelse av dataskyddsförordningens bestämmelser, är det dock enligt utredningens bedömning möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförord- ningen. Utredningen bedömer att det inte finns något behov av bestämmelser om administrativa sanktionsavgifter i registerförfatt- ningarna.

Överklagande

Dataskyddsutredningen har föreslagit att dataskyddslagen ska inne- hålla en bestämmelse om överklagande av personuppgiftsansvariga myndigheters beslut. Den bestämmelsen kommer att vara tillämplig även inom registerförfattningarnas tillämpningsområde, på samma

38

SOU 2017:66

Sammanfattning

sätt som personuppgiftslagens bestämmelser är det i dag. Något skäl att reglera överklagandemöjligheten på annat sätt än vad Data- skyddsutredningen föreslagit har inte framkommit. Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör därför upphävas. I de fall register- författningen även innehåller överklagandebestämmelser avseende andra beslut än sådana som berör behandling av personuppgifter bör det dock införas en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

Uppgiftsskyldigheter

För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen alternativt omfattas av ett tillåtet undantag från den principen. De bestämmelser om uppgiftsskyldig- het som finns inom Socialdepartementets verksamhetsområde är därmed lika tillåtna enligt dataskyddsförordningen som enligt data- skyddsdirektivet. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.

Barns personuppgifter

Utredningen har tänkt på barnens rättigheter enligt barnkonven- tionen när förslagen skrivits. Det behövs inte några nya bestämmel- ser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.

Författningar som bör upphävas

Utredningen har kommit fram till att två av de författningar som ingått i översynen, förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att med- dela säkerhetsföreskrifter för socialförsäkringsregister, är obsoleta,

39

Sammanfattning

SOU 2017:66

överspelade. De författningarna bör därför inte anpassas till data- skyddsförordningen utan i stället upphävas.

Ikraftträdande och övergångsbestämmelser

Författningsändringar till följd av dataskyddsförordningen bör träda i kraft den 25 maj 2018, medan författningsändringar till följd av den föreslagna brottsdatalagen bör träda i kraft den 1 maj 2018. Utredningen föreslår att övergångsbestämmelser införs avseende bestämmelser om överklagande och skadestånd.

Konsekvenser

Utredningens förslag leder inte till att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Skydds- åtgärden innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inga konsekvenser. Däremot får förstås den direkt tillämpliga dataskyddsförordningen konsekvenser, vilka är generella för alla verksamheter i Sverige och beskrivs översiktligt.

40

1 Författningsförslag

1.1Förslag till

lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken dels att 114 kap. 33 § ska upphöra att gälla,

dels att rubriken närmast före 114 kap. 33 § ska utgå,

dels att 114 kap. 1, 6, 10, 11, 12, 13, 15, 16, 27, 29, 30, 31 och 36 §§ och rubriken närmast före 114 kap. 6 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 a §, och närmast före 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

114 kap.

1 §1

I detta kapitel finns allmänna bestämmelser i 2–5 §§.

Vidare finns bestämmelser om

 

– personuppgiftslagen och per-

– förhållandet till annan data-

sonuppgiftsansvar i 6 §,

skyddsreglering i 6 §,

 

– personuppgiftsansvar i 6 a §,

– ändamål för behandling av personuppgifter i 7–10 §§,

– behandling av känsliga personuppgifter m.m. i 11–13 §§,

– behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

– tilldelning av behörighet i 17 §,

– direktåtkomst i 18–23 §§,

– utlämnande på medium för automatisk behandling i 24–26 a §§,

– sökbegrepp i 27 och 28 §§,

1 Senaste lydelse 2012:935.

41

Författningsförslag SOU 2017:66

överföring

av

personupp-

överföring

av

personupp-

gifter till tredje land i 29 §,

 

gifter till tredjeland i 29 §,

– information i 30 §,

 

 

 

 

– gallring i 31 §,

 

 

 

 

 

– avgifter i 32 §,

 

 

 

 

 

– rättelse och skadestånd i 33 §,

 

 

 

– kontrollverksamhet i 34 §,

 

 

 

– tystnadsplikt i 35 §, och

 

 

 

 

– överklagande i 36 §.

 

 

 

 

Personuppgiftslagen

 

 

Förhållandet till annan

och personuppgiftsansvar

 

dataskyddsreglering

 

 

 

 

 

6 §

 

 

Personuppgiftslagen (1998:204)

Bestämmelserna i detta kapitel

gäller vid behandling av person-

kompletterar Europaparlamentets

uppgifter inom socialförsäkringens

och rådets förordning (EU)

administration,

om

inte annat

2016/679 av den 27 april 2016

följer av detta kapitel eller före-

om skydd för fysiska personer

skrifter som meddelas med stöd

med avseende på behandling av

av kapitlet eller av personupp-

personuppgifter och om det fria

giftslagen. Med

socialförsäkring-

flödet av sådana uppgifter och om

ens administration avses i detta

upphävande av direktiv 95/46/EG

kapitel Försäkringskassan

och

(allmän dataskyddsförordning).

Pensionsmyndigheten.

 

Lagen (2018:xx) med kom-

En myndighet inom social-

pletterande bestämmelser till EU:s

försäkringens

administration

är

dataskyddsförordning gäller vid

personuppgiftsansvarig för

den

behandling av personuppgifter en-

behandling

av

personuppgifter

ligt detta kapitel, om inte annat

som den utför.

 

 

 

följer av detta kapitel eller före-

 

 

 

 

 

skrifter som har meddelats med

 

 

 

 

 

stöd av kapitlet.

 

 

 

 

 

 

 

Personuppgiftsansvar

 

 

 

 

 

6 a §

 

 

 

 

 

 

 

Med socialförsäkringens admi-

 

 

 

 

 

nistration avses i detta kapitel

 

 

 

 

 

administration

hos

Försäkrings-

 

 

 

 

 

kassan och Pensionsmyndigheten.

42

SOU 2017:66 Författningsförslag

 

 

 

 

 

En myndighet inom social-

 

 

 

 

 

försäkringens administration

är

 

 

 

 

 

personuppgiftsansvarig för den be-

 

 

 

 

 

handling

av personuppgifter

som

 

 

 

 

 

den utför.

 

 

 

 

 

 

10 §

 

 

I fråga om behandling av

Att personuppgifter som be-

personuppgifter för annat ända-

handlas för ändamål som anges i

mål än vad som anges i 7–9 §§

7 § även får behandlas för andra

gäller

9 §

första stycket d

och

ändamål framgår av artikel 5.1 b

andra stycket personuppgiftslagen

i Europaparlamentets och rådets

(1998:204).

 

 

 

förordning (EU) 2016/679.

 

 

 

 

 

11 §

 

 

Känsliga

personuppgifter

som

Sådana särskilda kategorier av

avses

i 13 § personuppgiftslagen

personuppgifter som anges i arti-

(1998:204)

(känsliga

person-

kel 9.1 i Europaparlamentets och

uppgifter) får behandlas om upp-

rådets förordning (EU) 2016/679

gifterna lämnats till en myndig-

(känsliga

personuppgifter)

får

het

inom

socialförsäkringens

behandlas om uppgifterna läm-

administration i ett ärende eller

nats till en myndighet inom

är nödvändiga för handläggning

socialförsäkringens administra-

av ett ärende. Känsliga person-

tion i ett ärende eller är nöd-

uppgifter får vidare

behandlas

vändiga för handläggning av ett

för något av de ändamål som

ärende. Känsliga personuppgif-

anges i 7 § första stycket 1 samt

ter får vidare behandlas för

8 och 9 §§ om det är nödvändigt

något av de ändamål som anges i

med hänsyn till ändamålet.

 

7 § första stycket 1 samt 8 och

 

 

 

 

 

9 §§ om det är nödvändigt med

 

 

 

 

 

hänsyn till ändamålet.

 

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som

43

Uppgifter om lagöverträdel- ser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihets- berövanden (uppgifter om lag- överträdelser) får behandlas om uppgifterna lämnats till en myn- dighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lag- överträdelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får uppgifter om lagöver- trädelser behandlas som enligt 15 § får behandlas i socialförsäk- ringsdatabasen.

Författningsförslag

SOU 2017:66

behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

12 §

Uppgifter om lagöverträdel- ser m.m. som avses i 21 § person- uppgiftslagen (1998:204) får be- handlas om uppgifterna lämnats till en myndighet inom social- försäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen be- handlas som enligt 15 § får be- handlas i socialförsäkringsdata- basen.

Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som be- handlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

44

I 15 § finns särskilda bestäm- melser om behandling i social- försäkringsdatabasen av sådana känsliga personuppgifter som avses i 11 § första stycket och sådana uppgifter om lagöverträ- delser som avses i 12 § första stycket.

SOU 2017:66

Författningsförslag

13 §

I 15 § finns särskilda bestäm- melser om behandling i social- försäkringsdatabasen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de begränsningar som följer av 7 och 14 §§, identifierings- och adress-

uppgifter behandlas i socialförsäkringsdatabasen.

 

 

Känsliga personuppgifter eller

Sådana

känsliga

personupp-

uppgifter

om

lagöverträdelser

gifter som

avses i

11 §

första

m.m. som avses i 21 § person-

stycket eller sådana uppgifter om

uppgiftslagen (1998:204) får ut-

lagöverträdelser som avses i 12 §

över vad som anges i 16 § be-

första stycket får, utöver vad som

handlas

i

socialförsäkringsdata-

anges i 16 §, behandlas i social-

basen bara om det särskilt anges

försäkringsdatabasen

bara

om

i lag eller förordning. För sådan

det särskilt anges i lag eller för-

behandling gäller de begräns-

ordning. För sådan

behandling

ningar

som följer

av 11

och

gäller de begränsningar som följer

12 §§.

Regeringen

eller

den

av 11

och 12 §§.

Regeringen

myndighet som regeringen be-

eller den myndighet som reger-

stämmer

meddelar

föreskrifter

ingen bestämmer meddelar före-

om ytterligare begränsningar för

skrifter om ytterligare begräns-

vilka uppgifter som får behand-

ningar för vilka uppgifter som

las i socialförsäkringsdatabasen.

får behandlas i socialförsäkrings-

 

 

 

 

 

 

databasen.

 

 

 

 

 

 

 

 

16 §

 

 

 

 

Uppgifter i en handling som

Uppgifter i en handling som

kommit in i ett ärende får be-

kommit in i ett ärende får be-

handlas

i

socialförsäkringsdata-

handlas

i socialförsäkringsdata-

basen även om de utgör känsliga

basen även om de utgör sådana

personuppgifter

eller uppgifter

känsliga

personuppgifter

som

om lagöverträdelser

m.m. som

avses i

11 § första stycket

eller

45

Författningsförslag

SOU 2017:66

avses i 21 § personuppgiftslagen

(1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialför- säkringsdatabasen, om uppgif- terna är nödvändiga för ärendets handläggning.

sådana uppgifter om lagöverträ- delser som avses i 12 § första stycket. Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialför- säkringsdatabasen, om uppgif- terna är nödvändiga för ärendets handläggning.

 

 

27 §

 

 

Känsliga personuppgifter eller

Sådana

känsliga

personupp-

uppgifter

om

lagöverträdelser

gifter som

avses i

11 § första

m.m. som avses i 21 § person-

stycket eller sådana uppgifter om

uppgiftslagen (1998:204) får inte

lagöverträdelser som avses i 12 §

användas

som

sökbegrepp vid

första stycket får inte användas

sökning i socialförsäkringsdata-

som sökbegrepp vid sökning i

basen.

 

 

socialförsäkringsdatabasen.

Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upp- rättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sök- begrepp som får användas.

29 §

Överföring av personuppgifter

Personuppgifter får föras över

till tredje land på grund av åtagan-

till tredjeland på grund av åtagan-

den i avtal om social trygghet

den i avtal om social trygghet

som Sverige ingått med andra

som Sverige ingått med andra

stater får ske utan hinder av 33 §

stater.

personuppgiftslagen (1998:204).

 

30 §

Personuppgifter i handlingar

Personuppgifter i handlingar

som kommit in i ett ärende eller

som kommit in i ett ärende eller

upprättats i ett ärende behöver

upprättats i ett ärende behöver

inte tas med i information

inte tas med i sådan information

enligt 26 § personuppgiftslagen

som avses i artikel 15 i Europa-

46

Bestämmelser om överklag- ande finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Andra beslut enligt detta kapi- tel än sådana som får överklagas enligt de bestämmelser som avses i första stycket får inte överklagas.
47
Personuppgifter som behand- las automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndig- het som regeringen bestämmer meddelar föreskrifter om att upp- gifter får bevaras för arkivända- mål av allmänt intresse, veten- skapliga eller historiska forsknings- ändamål eller statistiska ändamål.

SOU 2017:66

Författningsförslag

(1998:204) om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den regi- strerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska begränsningen i 26 § personupp- giftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

parlamentets och rådets förord- ning (EU) 2016/679 om den registrerade tagit del av hand- lingens innehåll. Av informa- tionen ska det dock framgå vilka sådana handlingar som behand- las. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.

31 §

Personuppgifter som behand- las automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndig- het som regeringen bestämmer meddelar föreskrifter om att upp- gifter får bevaras för historiska, statistiska eller vetenskapliga ända- mål.

36 §

I fråga om överklagande av beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) tillämpas bestämmel- serna i den lagen. Andra beslut enligt detta kapitel får inte över- klagas.

Författningsförslag

SOU 2017:66

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som har meddelats före ikraftträdandet.

48

SOU 2017:66

Författningsförslag

1.2Förslag till

ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten

för Inspektionen för socialförsäkringen

Härigenom föreslås i fråga om förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för social- försäkringen

dels att 5 och 17 §§ ska tas bort,

dels att rubrikerna närmast före 5 och 17 §§ ska tas bort,

dels att 2, 3, 7, 8, 15 och 16 §§ och rubriken närmast före 3 § ska ha följande lydelse.

Tidigare föreslagen lydelse

Utredningens förslag till lydelse

 

 

 

2 §

 

Behandling av personuppgifter som är tillåten enligt denna lag

får utföras även om den enskilde motsätter sig behandlingen.

 

Första stycket gäller inte om

Första stycket gäller inte om

personuppgifter samlas in direkt

personuppgifter samlas in direkt

från den enskilde. I sådant fall

från den enskilde. I sådant fall

får

personuppgifter

behandlas

får personuppgifter behandlas

endast om den enskilde har

endast om den enskilde har

lämnat sitt uttryckliga samtycke

lämnat sitt uttryckliga samtycke

till

behandlingen.

Bestämmel-

till behandlingen.

serna i 12 §

personuppgiftslagen

 

(1998:204)

om återkallelse av

 

lämnat samtycke tillämpas på mot-

 

svarande sätt vid behandling av

 

personuppgifter enligt denna lag.

 

Förhållandet till

 

Förhållandet till

personuppgiftslagen

 

annan dataskyddsreglering

 

 

 

3 §

 

Personuppgiftslagen (1998:204)

Denna lag kompletterar Europa-

gäller vid behandling av person-

parlamentets och rådets förordning

uppgifter inom verksamheten vid

(EU) 2016/679 av den 27 april

inspektionen om inte annat följer

2016 om skydd för fysiska perso-

49

Sådana särskilda kategorier av personuppgifter som anges i arti- kel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) och personuppgifter om lagöverträdel- ser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihets- berövanden får behandlas om uppgifterna har lämnats i ett
Personuppgifter får behand- las för att fullgöra ett utläm- nande av uppgifter som sker i överensstämmelse med lag eller förordning. Att personuppgifter som behandlas för ändamål som anges i 6 § även får behandlas för andra ändamål framgår av arti- kel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

Författningsförslag

SOU 2017:66

av denna lag eller föreskrifter som har meddelats med stöd av denna lag.

ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

7 §

Personuppgifter får behand- las för att fullgöra ett utläm- nande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

8 §

Känsliga personuppgifter en- ligt 13 § personuppgiftslagen (1998:204) och personuppgifter som avses i 21 § samma lag får behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handlägg- ningen av ett sådant ärende.

50

Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte reger- ingen eller den myndighet som regeringen bestämmer har med- delat föreskrifter eller i ett en- skilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål.
51
Sådan information som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 behöver inte omfatta en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.

SOU 2017:66

Författningsförslag

tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.

15 §

Information som ska lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.

16 §

Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte reger- ingen eller den myndighet som regeringen bestämmer har med- delat föreskrifter eller i ett en- skilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål.

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

Författningsförslag

SOU 2017:66

1.3Förslag till

lag om ändring i lagen (1996:1156) om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om recept- register2

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubriken närmast före 3 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till

personuppgiftslagen3

annan dataskyddsreglering

3 §4

Personuppgiftslagen (1998:204) gäller för behandling av person- uppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i an- slutning till denna lag.

2Senaste lydelse av 24 § 2009:370.

3Senaste lydelse 2009:370.

4Senaste lydelse 2009:370.

52

SOU 2017:66 Författningsförslag

 

7 §5

 

 

 

 

 

 

I fråga om behandling av per-

Att personuppgifter som be-

sonuppgifter

i receptregistret för

handlas för ändamål som anges i

annat ändamål än vad som anges

6 § även får behandlas för andra

i 6 § gäller 9 § första stycket d och

ändamål framgår av artikel 5.1 b

andra stycket personuppgiftslagen

i Europaparlamentets och

rådets

(1998:204).

 

förordning (EU) 2016/679.

 

 

20 §6

 

 

 

 

 

 

E-hälsomyndigheten ska se till

Utöver vad som framgår av

att den enskilde får information

artikel 13.1, 13.2, 13.3, 14.1, 14.2

om personuppgiftsbehandlingen.

och 14.4 i Europaparlamentets och

Informationen ska innehålla

rådets förordning (EU) 2016/679

upplysningar om

ska den personuppgiftsansvarige

1. vem som är personuppgifts-

enligt denna lag till den registre-

ansvarig,

 

rade lämna information om

 

 

2. ändamålen med registret,

 

 

 

 

 

 

 

3. vilka uppgifter registret får

1. vilka uppgifter registret får

innehålla,

 

innehålla,

 

 

 

 

 

4. de tystnadsplikts- och säker-

2. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för

hetsbestämmelser

som gäller

för

registret,

 

registret,

 

 

 

 

 

5. rätten att ta del av uppgifter

3. rätten

enligt

artikel 82 i

enligt 26 §

personuppgiftslagen

Europaparlamentets

och

rådets

(1998:204),

 

förordning

(EU)

2016/679

och

6. rätten till rättelse av orik-

8 kap.

1 §

lagen

(2018:xx) med

tiga eller missvisande uppgifter

kompletterande bestämmelser

till

enligt 24 §,

 

EU:s

dataskyddsförordning

till

7. rätten till skadestånd enligt

skadestånd

vid

behandling

av

24 §,

 

personuppgifter i strid med denna

 

 

lag,

 

 

 

 

 

 

8. de begränsningar i fråga

4. de begränsningar i

fråga

om sökbegrepp och bevarande av

om sökbegrepp som gäller för

uppgifter som gäller för registret,

registret, och

 

 

 

 

och

 

 

 

 

 

 

 

 

5Senaste lydelse 2009:370.

6Senaste lydelse 2013:1021.

53

Författningsförslag

SOU 2017:66

9. att registreringen inte är frivillig med undantag för ända- mål enligt 6 § första stycket 2 och 8.

5. att registreringen inte är frivillig med undantag för ända- mål enligt 6 § första stycket 2 och 8.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

54

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

SOU 2017:66

Författningsförslag

1.4Förslag till

lag om ändring i lagen (1998:543) om hälsodataregister

Härigenom föreskrivs i fråga om lagen (1998:543) om hälso- dataregister

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

2 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas person- uppgiftslagen (1998:204) vid be- handling av personuppgifter för hälsodataregister.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

55

Lagen tillämpas inte vid be- handling av personuppgifter
1. hos domstolar,
2. för forsknings- och stati- stikändamål, eller
3. som utförs av behöriga myn- digheter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).
Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personuppgifter inom social- tjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.

Författningsförslag

SOU 2017:66

1.5Förslag till

lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behand- ling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4, 7 och 7 a §§ och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §7

Denna lag tillämpas vid be- handling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en struktu- rerad samling av personuppgif- ter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.

3 §

Lagen tillämpas inte vid be- handling av personuppgifter hos domstolar. Den tillämpas inte heller vid behandling av person- uppgifter för forsknings- och statistikändamål.

7 Senaste lydelse 2003:136.

56

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

SOU 2017:66 Författningsförslag

Förhållandet till

Förhållandet till

personuppgiftslagen m.m.

annan dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har med- delats med stöd av denna lag eller annars av 2 § personuppgifts- lagen.

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga personuppgifter som

2. sådana särskilda kategorier

avses i 13 § personuppgiftslagen

av personuppgifter som anges i

(1998:204), samt

artikel 9.1 i Europaparlamentets och

 

rådets förordning (EU) 2016/679

 

(känsliga personuppgifter), samt

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verk- samheten.

Enligt artikel 9.3 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 får känsliga

57

Författningsförslag SOU 2017:66

 

personuppgifter endast behandlas

 

av eller under ansvar av den som

 

omfattas av tystnadsplikt.

7 a §

I sammanställningar av per-

I sammanställningar av per-

sonuppgifter får det inte tas in

sonuppgifter får det inte tas in

känsliga personuppgifter eller

sådana känsliga personuppgifter

uppgifter i övrigt om ömtåliga

som avses i 7 § första stycket 2

personliga förhållanden.

eller uppgifter i övrigt om öm-

 

tåliga personliga förhållanden.

Undantag från första stycket gäller för

1.uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,

2.uppföljning, utvärdering och kvalitetssäkring,

3.tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,

4.administration som bedrivs av Statens institutionsstyrelse centralt, och

5.verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall.

Uppgift som avslöjar medlemskap i fackförening får aldrig tas in.

1.Denna lag träder i kraft den 1 maj 2018 i fråga om 1 och 3 §§ och i övrigt den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som har meddelats före ikraftträdandet.

3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

58

En journalhandling inom en- skild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått till- gång till kodat humanbiologiskt material från den patienten en- ligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga per- sonuppgifter finns föreskrifter i
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) och forsknings- datalagen (2018:xx).
59

SOU 2017:66

Författningsförslag

1.6Förslag till

lag om ändring i lagen (2002:297)

om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubriken närmast före 6 kap. 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 kap. 7 a § av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 kap.

4 a §8

En journalhandling inom en- skild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått till- gång till kodat humanbiologiskt material från den patienten en- ligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga per- sonuppgifter finns föreskrifter i personuppgiftslagen (1998:204).

8 Senaste lydelse 2008:358.

Författningsförslag SOU 2017:66

Skadestånd m.m. Skadestånd

6 kap.

2 §9

Huvudmannen för biobanken

Huvudmannen för biobanken

skall ersätta en enskild provgivare

ska ersätta en enskild provgivare

för den skada eller kränkning av

för den skada eller kränkning av

den personliga integriteten som

den personliga integriteten som

ett förfarande med vävnadspro-

ett förfarande med vävnadspro-

ver i strid med denna lag har

ver i strid med denna lag har

orsakat honom eller henne.

orsakat honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personupp-

 

 

 

giftslagen (1998:204) om rättelse

 

 

 

och skadestånd gäller vid behand-

 

 

 

ling av personuppgifter enligt denna

 

 

 

lag eller föreskrifter som har med-

 

 

 

delats med stöd av lagen.

 

 

 

3 §10

 

 

Inspektionen för vård och

Inspektionen

för vård och

omsorg utövar tillsyn över att

omsorg utövar tillsyn över att

denna lag och föreskrifter som

denna lag och föreskrifter som

har meddelats i anslutning till

har meddelats i anslutning till

lagen följs. Den myndighet som

lagen följs. Den myndighet som

är tillsynsmyndighet enligt per-

är tillsynsmyndighet enligt lagen

sonuppgiftslagen (1998:204) ut-

(2018:xx)

med

kompletterande

övar dock tillsyn över den be-

bestämmelser till EU:s dataskydds-

handling som sker av person-

förordning

utövar dock tillsyn

uppgifter.

över den behandling som sker av

 

personuppgifter.

 

Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut hand- lingar, prover och annat material som rör verksamheten samt att

9Ändringen innebär bl.a. att tredje stycket tas bort.

10Senaste lydelse 2012:947.

60

SOU 2017:66

Författningsförslag

lämna de upplysningar om verksamheten som inspektionen behö- ver för sin tillsyn.

Inspektionen för vård och omsorg får förelägga den som bedri- ver verksamheten att lämna ut vad som begärs. Ett beslut om före- läggande får förenas med vite.

7 §11

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspek- tionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte överklagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på an- sökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän för-

valtningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

7 a §

Bestämmelser om överklagande av myndigheters beslut om sådan behandling av personuppgifter som avses i artikel 2.1 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskydds- förordning.

11 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

61

Författningsförslag

SOU 2017:66

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av be- slut om behandling av personuppgifter som har meddelats före ikraftträdandet.

3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

62

SOU 2017:66

Författningsförslag

1.7Förslag till

lag om ändring i lagen (2005:258) om läkemedelsförteckning

Härigenom föreskrivs i fråga om lagen (2005:258) om läke- medelsförteckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållande till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

2 §

Personuppgiftslagen (1998:204)

Denna lag kompletterar Europa-

gäller vid behandling av person-

parlamentets och rådets förordning

uppgifter för läkemedelsförteck-

(EU) 2016/679 av den 27 april

ningen, om inget annat följer av

2016 om skydd för fysiska perso-

denna lag.

ner med avseende på behandling

 

av personuppgifter och om det fria

 

flödet av sådana uppgifter och om

 

upphävande av direktiv 95/46/EG

 

(allmän dataskyddsförordning).

Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

63

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgifts- ansvarige enligt denna lag till den registrerade lämna information om
1. vilken typ av uppgifter som ingår i förteckningen,
2. de tystnadsplikts- och säker- hetsbestämmelser som gäller för förteckningen,
3. rätten att ta del av uppgif- ter enligt 11 §,

Författningsförslag SOU 2017:66

 

Behandling av känsliga

 

personuppgifter

 

4 a §

 

Enligt artikel 9.3 i Europa-

 

parlamentets och rådets förord-

 

ning (EU) 2016/679 får sådana

 

särskilda kategorier av person-

 

uppgifter som anges i artikel 9.1 i

 

samma förordning (känsliga per-

 

sonuppgifter) endast behandlas av

 

eller under ansvar av den som

 

omfattas av tystnadsplikt.

Information som skall lämnas

Information som ska lämnas

självmant

självmant

10 §12

E-hälsomyndigheten ska se till att den registrerade får informa- tion om läkemedelsförteckningen. Informationen ska innehålla upp- lysningar om

1. vem som är personuppgifts- ansvarig,

2. ändamålet med förteck- ningen,

3. vilken typ av uppgifter som ingår i förteckningen,

4. de tystnadsplikts- och säker- hetsbestämmelser som gäller för förteckningen,

5. rätten att ta del av uppgif- ter enligt 11 §,

6. rätten till rättelse av orik- tiga eller missvisande uppgifter,

12 Senaste lydelse 2013:621 (jfr 2013:1023).

64

Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i artikel 15 i Europa- parlamentets och rådets förord- ning (EU) 2016/679.

SOU 2017:66

Författningsförslag

7.rätten till skadestånd vid behandling av personuppgifter i strid med denna lag,

8.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling,

9.vad som gäller i fråga om bevarande och gallring, samt

10.att registreringen inte är frivillig.

4.rätten till skadestånd vid behandling av personuppgifter i strid med denna lag,

5.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling, samt

6.att registreringen inte är frivillig.

Information som skall lämnas

Information som ska lämnas

efter ansökan

efter ansökan

11 §

Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgifts- lagen (1998:204).

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

65

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Författningsförslag

SOU 2017:66

1.8Förslag till

lag om ändring i lagen (2006:351) om genetisk integritet m.m.

Härigenom föreskrivs i fråga om lagen (2006:351) om genetisk integritet m.m. att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till annan

personuppgiftslagen

dataskyddsreglering

1 kap.

4 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av denna, tillämpas per- sonuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag träder i kraft den 25 maj 2018.

66

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
67

SOU 2017:66

Författningsförslag

1.9Förslag till

lag om ändring i lagen (2006:496) om blodsäkerhet

Härigenom föreskrivs i fråga om lagen (2006:496) om blod- säkerhet

dels att 21 § ska upphöra att gälla, dels att 5 § ska ha följande lydelse,

dels att rubriken närmast före 4 § ska lyda ”Förhållandet till be- stämmelser i annan lagstiftning”.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till bestämmelser

Förhållandet till bestämmelser

i annan lag

i annan lagstiftning

5 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Författningsförslag

SOU 2017:66

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

68

Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:xx) med komplette- rande bestämmelser till EU:s data- skyddsförordning. Folkhälsomyn- digheten och andra berörda myn- digheter, kommuner och lands- ting får överföra personuppgifter till Världshälsoorganisationen och tredjeland för att fullgöra sin
69

SOU 2017:66

Författningsförslag

1.10Förslag till

lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

Härigenom föreskrivs i fråga om lagen (2006:1570) om skydd mot internationella hot mot människors hälsa att 12 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

12 §13

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretess- lagen (2009:400).

Bestämmelser om skydd mot kränkning av en enskilds person- liga integritet genom behandling av personuppgifter finns i person- uppgiftslagen (1998:204). Folk- hälsomyndigheten och andra be- rörda myndigheter, kommuner och landsting får oavsett bestäm- melserna i 33 § personuppgifts- lagen överföra personuppgifter till Världshälsoorganisationen och tredje land för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller del- vis automatiserat, om det är nöd- vändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyl- dighet enligt denna lag.

13 Senaste lydelse 2014:1550.

Författningsförslag

SOU 2017:66

uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller del- vis automatiserat, om det är nöd- vändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyl- dighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

70

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
71

SOU 2017:66

Författningsförslag

1.11Förslag till

lag om ändring i lagen (2008:286)

om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla, dels att 8 § ska ha följande lydelse,

dels att rubriken närmast före 6 § ska lyda ”Förhållandet till be- stämmelser i annan lagstiftning”.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till bestämmelser

Förhållandet till bestämmelser

i annan lag

i annan lagstiftning

8 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Författningsförslag

SOU 2017:66

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

72

SOU 2017:66

Författningsförslag

1.12Förslag till

lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 och 7 §§, 10 kap. 2 § och rubrikerna närmast före 1 kap. 4 § och 8 kap. 7 § ska ha följande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas två nya paragrafer, 1 kap. 5 § och 2 kap.

7 a § av följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

1kap.

1 §

Denna lag tillämpas vid vård-

Denna lag tillämpas vid vård-

givares behandling av person-

givares behandling av person-

uppgifter inom hälso- och sjuk-

uppgifter inom hälso- och sjuk-

vården. I lagen finns också be-

vården. Vid behandling av per-

stämmelser om skyldighet att

sonuppgifter inom rättspsykiatrisk

föra patientjournal.

vård enligt lagen (1991:1129) om

 

rättspsykiatrisk vård tillämpas dock

 

inte […]. I lagen finns också

 

bestämmelser om skyldighet att

 

föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Förhållandet till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

4 §

Personuppgiftslagen (1998:204)

Denna lag kompletterar Europa-

gäller vid sådan behandling av

parlamentets och rådets förordning

personuppgifter inom hälso- och

(EU) 2016/679 av den 27 april

sjukvården som är helt eller del-

2016 om skydd för fysiska perso-

vis automatiserad eller där upp-

ner med avseende på behandling

gifterna ingår i eller är avsedda

av personuppgifter och om det fria

73

Personuppgifter som behand- las för ändamål som anges i 4 § får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Att personuppgifter som behandlas för ändamål som anges i 4 § även får behandlas för

Författningsförslag

SOU 2017:66

att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid sådan behandling av personupp- gifter inom hälso- och sjukvår- den som är helt eller delvis auto- matiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier.

Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personupp- gifter som avses i första stycket, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

5 §

Inom rättspsykiatrisk vård gäller, i stället för vad som anges i 1 kap. 4 §, brottsdatalagen (2018:xx) om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

2 kap.

5 §

Personuppgifter som behand- las för ändamål som anges i 4 § får också behandlas för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

74

SOU 2017:66 Författningsförslag

 

 

 

 

 

 

andra ändamål framgår av arti-

 

 

 

 

 

 

kel 5.1 b

i

Europaparlamentets

 

 

 

 

 

 

och

rådets

förordning

(EU)

 

 

 

 

 

 

2016/679.

 

 

 

 

 

 

 

 

 

7 §

 

 

 

 

 

 

En

vårdgivare

får

behandla

En

vårdgivare får behandla

endast

sådana

personuppgifter

endast

sådana

personuppgifter

som behövs för de ändamål som

som behövs för de ändamål som

anges i 4 §. Uppgifter om lagöver-

anges i 4 §. Uppgifter om lagöver-

trädelser m.m. som avses i 21 §

trädelser

som

innefattar

brott,

personuppgiftslagen (1998:204) får

domar i brottmål, straffprocessu-

endast behandlas om det är

ella tvångsmedel eller administra-

absolut nödvändigt för ett sådant

tiva

frihetsberövanden (uppgifter

ändamål. Även en vårdgivare som

om

lagöverträdelser) får

endast

inte är statlig myndighet, lands-

behandlas om det är absolut nöd-

ting eller kommun får under

vändigt för ett sådant ändamål.

dessa

förutsättningar

behandla

Även en vårdgivare som inte är

uppgifter

om

lagöverträdelser

statlig myndighet, landsting eller

m.m. som avses i 21 § person-

kommun får under dessa förut-

uppgiftslagen.

 

 

 

sättningar behandla uppgifter om

 

 

 

 

 

 

lagöverträdelser.

 

 

 

 

 

 

 

7 a §

 

 

 

 

 

 

 

 

 

 

 

Enligt

artikel 9.3 i Europa-

 

 

 

 

 

 

parlamentets och rådets förord-

 

 

 

 

 

 

ning (EU) 2016/679 får sådana

 

 

 

 

 

 

särskilda kategorier av person-

 

 

 

 

 

 

uppgifter som anges i artikel 9.1 i

 

 

 

 

 

 

samma förordning (känsliga per-

 

 

 

 

 

 

sonuppgifter) endast behandlas av

 

 

 

 

 

 

eller under ansvar av den som

 

 

 

 

 

 

omfattas av tystnadsplikt.

 

 

 

 

 

 

8 §

 

 

 

 

 

 

Känsliga personuppgifter som

Sådana

 

känsliga personupp-

avses

i 13 § personuppgiftslagen

gifter som avses i 7 a § eller så-

(1998:204)

eller

uppgifter om

dana uppgifter om lagöverträ-

lagöverträdelser m.m. som avses

delser som avses i 7 § får inte

i 21 § samma lag får inte använ-

användas som sökbegrepp. Inte

75

Innan personuppgifter be- handlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.

Författningsförslag SOU 2017:66

das som sökbegrepp. Inte heller

heller får uppgifter om att någon

får uppgifter om att någon fått

fått bistånd eller varit föremål

bistånd eller varit föremål för

för andra insatser inom social-

andra insatser inom socialtjäns-

tjänsten eller enligt utlännings-

ten eller enligt utlänningslagen

lagen (2005:716) användas som

(2005:716) användas som sök-

sökbegrepp.

begrepp.

 

Det är trots förbudet i första stycket tillåtet att som sökbegrepp

använda uppgifter om

 

1. hälsa, eller

1. hälsa, inklusive genetiska och

 

biometriska uppgifter och uppgifter

 

om sexuell läggning, eller

2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgär- der enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

7 kap.

3 §

Innan personuppgifter be- handlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas en- ligt 8 kap. 6 §, får information om

1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2. i vilken utsträckning per- sonuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

76

3. vilka kategorier av mottag- are som personuppgifter kan komma att lämnas ut till.
Om det inte är möjligt att lämna informationen innan person- uppgiftsbehandlingen påbörjas, ska den lämnas så snart som möj- ligt därefter.
8 §
Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitets- register.
En enskilds personnummer eller namn får behandlas i ett natio- nellt eller regionalt kvalitetsregister endast om det inte är till- räckligt för ändamål som anges i 4 § att använda kodade person- uppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
Känsliga personuppgifter som Uppgifter om hälsa får be- avses i 13 § personuppgiftslagen handlas i nationella och regionala (1998:204) och som inte rör hälsa kvalitetsregister. Andra sådana samt uppgifter om lagöverträdel- känsliga personuppgifter som av- ser m.m. som avses i 21 § samma ses i 2 kap. 7 a § patientdatalagen lag får behandlas endast om reger- får behandlas i nationella och ingen eller den myndighet som regionala kvalitetsregister endast regeringen bestämmer i enskilda om regeringen eller den myndighet fall medger det. som regeringen bestämmer i en-
skilda fall medger det. Sådana uppgifter om lagöverträdelser som avses i 2 kap. 7 § får behandlas i nationella och regionala kvalitets- register endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Enligt artikel 9.3 i Europa- parlamentets och rådets förord- ning (EU) 2016/679 får sådana känsliga personuppgifter som av- ses i 2 kap. 7 a § endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.
77

SOU 2017:66

Författningsförslag

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registre- rade lämna information om

Författningsförslag SOU 2017:66

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska

gallras när de inte längre behövs för det ändamål som anges i 4 §.

 

En arkivmyndighet inom ett

En arkivmyndighet inom ett

landsting eller en kommun får

landsting eller en kommun får

dock föreskriva att personupp-

dock föreskriva att personupp-

gifter i ett nationellt eller regio-

gifter i ett nationellt eller regio-

nalt kvalitetsregister

som

förs

nalt

kvalitetsregister

som

förs

inom landstinget eller kommunen

inom landstinget eller kommunen

får bevaras för historiska, statis-

får bevaras för arkivändamål av

tiska eller vetenskapliga ändamål.

allmänt

intresse, vetenskapliga

 

 

 

 

eller

historiska forskningsända-

 

 

 

 

mål eller statistiska ändamål.

 

Om

regeringen

eller

den

Om

regeringen

eller

den

myndighet regeringen bestämt

myndighet regeringen bestämt

har meddelat föreskrifter enligt

har meddelat föreskrifter enligt

7 § andra stycket, får regeringen

7 § andra stycket, får regeringen

eller myndigheten också före-

eller myndigheten också före-

skriva

att personuppgifter

får

skriva

att personuppgifter

får

bevaras för historiska,

statistiska

bevaras för arkivändamål av all-

eller vetenskapliga ändamål.

 

mänt intresse, vetenskapliga eller

 

 

 

 

historiska forskningsändamål eller

 

 

 

 

statistiska ändamål.

 

 

8 kap.

6 §

Den som är personuppgifts- ansvarig enligt denna lag ska se till att den registrerade får infor- mation om personuppgiftsbehand- lingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgifts- ansvarig,

2.ändamålet med behand- lingen,

3.vilka kategorier av uppgifter som behandlas,

78

SOU 2017:66

Författningsförslag

4.den uppgiftsskyldighet som kan följa av lag eller förordning,

5.de sekretess- och säkerhets- bestämmelser som gäller för upp- gifterna och behandlingen,

6.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7.rätten enligt 5 § att få infor- mation om den direktåtkomst och elektroniska åtkomst som förekommit,

8.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

9.rätten till rättelse och under- rättelse av tredje man enligt 28 § personuppgiftslagen,

10.rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,

11.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling,

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de sekretess- och säkerhets- bestämmelser som gäller för upp- gifterna och behandlingen,

3.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

4.rätten enligt 5 § att få infor- mation om den direktåtkomst och elektroniska åtkomst som förekommit,

5.rätten enligt artikel 82 i Europaparlamentets och rådets för- ordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag, samt

6.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad be- handling.

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgifts- behandlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vil- ken information som ska lämnas i vissa fall.

79

Författningsförslag SOU 2017:66

Andra rättigheter

Andra rättigheter

enligt denna lag

för den enskilde

7 §

I denna lag finns föreskrifter

I denna lag finns föreskrifter

om andra rättigheter för den

om andra rättigheter för den

enskilde i 3 kap. 8 §, 4 kap. 4 §,

enskilde i 3 kap. 8 §, 4 kap. 4 §,

6 kap. 2 § samt 7 kap. 2 och 3 §§.

6 kap. 2 § samt 7 kap. 2 och 3 §§.

 

Ytterligare föreskrifter om rättig-

 

heter för den enskilde finns i

 

Europaparlamentets och rådets

 

förordning (EU) 2016/679.

10 kap.

Skadestånd och överklagande

Överklagande

2 §14

Inspektionen för vård och omsorgs beslut om att avslå en ansö- kan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighets- och sekretesslagen (2009:400).

Vid sådan behandling av per-

Vid sådan behandling av per-

sonuppgifter som avses i 1 kap.

sonuppgifter som avses i 1 kap.

4 § finns ytterligare bestämmel-

4 § finns ytterligare bestämmelser

ser om överklagande i 51–53 §§

om överklagande av myndigheters

personuppgiftslagen (1998:204).

beslut i lagen (2018:xx) med kom-

 

pletterande bestämmelser till EU:s

 

dataskyddsförordning.

Övriga beslut enligt denna lag får inte överklagas.

14 Senaste lydelse 2012:954.

80

SOU 2017:66

Författningsförslag

1. Denna lag träder i kraft den 1 maj 2018 i fråga om 1 kap. 1 och 5 §§ och rubriken närmast före 1 kap. 4 §, och i övrigt den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

3.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

81

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrif- ter som har meddelats med stöd av lagen.

Författningsförslag

SOU 2017:66

1.13Förslag till

lag om ändring i apoteksdatalagen (2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367) dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §, dels att det ska införas en ny paragraf, 9 a §, och närmast före

9 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållande till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

5 §

Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

82

Att personuppgifter som be- handlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

SOU 2017:66

Författningsförslag

9 §

I fråga om behandling av per- sonuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Behandling av känsliga personuppgifter

 

 

 

9 a §

 

 

 

 

Enligt artikel 9.3

i Europa-

 

 

 

parlamentets och rådets förord-

 

 

 

ning (EU) 2016/679 får sådana

 

 

 

särskilda kategorier av person-

 

 

 

uppgifter som anges i artikel 9.1 i

 

 

 

samma förordning (känsliga per-

 

 

 

sonuppgifter) endast behandlas av

 

 

 

eller under ansvar av den som

 

 

 

omfattas av tystnadsplikt.

 

 

16 §

 

Tillståndshavaren ska se till

Utöver vad som framgår av

att den enskilde får information

artikel 13.1, 13.2, 13.3, 14.1, 14.2

om personuppgiftsbehandlingen.

och 14.4 i Europaparlamentets och

Informationen

ska

innehålla

rådets förordning (EU) 2016/679

upplysningar om

 

 

ska den personuppgiftsansvarige

1. vem som är personuppgifts-

enligt denna lag till den registre-

ansvarig,

 

 

rade lämna information om

2. ändamålen

med

behand-

 

 

lingen,

 

 

 

 

3. den uppgiftsskyldighet som

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

kan följa av lag eller förordning,

4. de tystnadsplikts- och säker-

2. de tystnadsplikts- och säker-

hetsbestämmelser

som

gäller för

hetsbestämmelser som gäller för

uppgifterna och behandlingen,

uppgifterna och behandlingen,

5. rätten att ta del av uppgif-

3. rätten enligt

artikel 82 i

terna enligt 26 § personuppgifts-

Europaparlamentets och rådets för-

lagen (1998:204),

 

 

ordning (EU) 2016/679 och 8 kap.

83

Författningsförslag

SOU 2017:66

6.rätten enligt 15 § till rättelse av oriktiga eller missvisande upp- gifter,

7.rätten enligt 15 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

8.vad som gäller i fråga om sökbegrepp,

1 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag, och

4. vad som gäller i fråga om sökbegrepp.

9.vad som gäller i fråga om bevarande, samt

10.huruvida personuppgifts- behandlingen är frivillig eller inte.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

84

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner en- ligt de upphävda författningarna. De upphävda bestämmelserna i 114 kap. 33 § balken om skade- stånd på grund av behandling en- ligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse be- handling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom social- försäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.

SOU 2017:66

Författningsförslag

1.14Förslag till

lag om ändring i lagen (2010:111)

om införande av socialförsäkringsbalken

Härigenom föreskrivs i fråga om lagen (2010:111) om införande av socialförsäkringsbalken att 9 kap. 22 och 23 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9 kap.

22 §

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner en- ligt de upphävda författningarna. Bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har med- delats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens admi- nistration eller föreskrifter som har meddelats i anslutning till den lagen.

23 §

 

Bestämmelserna om skade-

De upphävda bestämmelserna

stånd i 114 kap. 33 § socialför-

om skadestånd i

114 kap. 33 §

säkringsbalken tillämpas endast

socialförsäkringsbalken tillämpas

om den omständighet som ett

endast om den

omständighet

yrkande om skadestånd grundas

som ett yrkande om skadestånd

85

Författningsförslag

SOU 2017:66

på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna.

grundas på har inträffat efter utgången av november 2003, men före den 25 maj 2018. Har om- ständigheten inträffat före utgången av november 2003, tillämpas de gällande bestämmelserna.

Denna lag träder i kraft den 25 maj 2018.

86

SOU 2017:66

Författningsförslag

1.15Förslag till

lag om ändring i alkohollagen (2010:1622)

Härigenom föreskrivs i fråga om alkohollagen (2010:1622) att 13 kap. 5 § ska upphöra att gälla.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

87

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Författningsförslag

SOU 2017:66

1.16Förslag till

lag om ändring i lagen (2012:263)

om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

dels att 8 § ska upphöra att gälla,

dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till annan lag

Förhållandet till annan

 

dataskyddsreglering

4 §

Om inget annat följer av denna lag eller föreskrifter som har med- delats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

88

SOU 2017:66

Författningsförslag

1.17Förslag till

lag om ändring i lagen (2012:453)

om register över nationella vaccinationsprogram

Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 3, 6 och 13 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §15

Personuppgiftslagen (1998:204)

Denna lag kompletterar Europa-

gäller vid behandling av person-

parlamentets och rådets förordning

uppgifter i Folkhälsomyndighetens

(EU) 2016/679 av den 27 april

verksamhet när det gäller natio-

2016 om skydd för fysiska perso-

nella vaccinationsprogram, om

ner med avseende på behandling

inte annat följer av denna lag

av personuppgifter och om det fria

eller av föreskrifter som har med-

flödet av sådana uppgifter och om

delats i anslutning till lagen.

upphävande av direktiv 95/46/EG

 

(allmän dataskyddsförordning).

Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

6 § Personuppgifter får behandlas för

1.framställning av statistik,

2.uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt

3.forskning och epidemiologiska undersökningar.

15 Senaste lydelse 2013:637.

89

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registre- rade lämna information om
1. den uppgiftsskyldighet som kan följa av lag eller förordning,
2. de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt artikel 82 i Europaparlamentets och rådets för- ordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

Författningsförslag

SOU 2017:66

Personuppgifter som behand- las för de ändamål som anges i första stycket får också behand- las för att fullgöra uppgifts- utlämnande som sker i överens- stämmelse med lag eller förord- ning. I övrigt gäller 9 § första stycket d och andra stycket person- uppgiftslagen (1998:204).

Personuppgifter som behand- las för de ändamål som anges i första stycket får också behand- las för att fullgöra uppgifts- utlämnande som sker i överens- stämmelse med lag eller förord- ning. Att personuppgifter som behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamen- tets och rådets förordning (EU) 2016/679.

13 §16

Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1.vem som är personuppgifts- ansvarig,

2.ändamålen med behand- lingen,

3.den uppgiftsskyldighet som kan följa av lag eller förordning,

4.de tystnadsplikts- och säker- hetsbestämmelser som gäller för uppgifterna och behandlingen,

5.rätten att ta del av uppgif- terna enligt 26 § personuppgifts- lagen (1998:204),

6.rätten enligt 12 § till rättelse av oriktiga eller missvisande upp- gifter,

16 Senaste lydelse 2013:637.

90

SOU 2017:66

Författningsförslag

7.rätten enligt 12 § till skade- stånd vid behandling av person- uppgifter i strid med denna lag,

8.vad som gäller i fråga om sökbegrepp,

9.vad som gäller i fråga om bevarande, samt

10.att registreringen inte är frivillig.

4.vad som gäller i fråga om sökbegrepp, samt

5.att registreringen inte är frivillig.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

91

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Författningsförslag

SOU 2017:66

1.18Förslag till

lag om ändring i lagen (2016:526)

om behandling av personuppgifter i ärenden om licens för läkemedel

Härigenom föreskrivs i fråga om lagen (2016:526) om behand- ling av personuppgifter i ärenden om licens för läkemedel

dels att 20 § ska upphöra att gälla,

dels att rubrikerna närmast före 3 och 20 §§ ska utgå, dels att 4, 9 och 21 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 4 och 9 a §§ nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

Förhållandet till annan

 

dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och E-hälsomyndighetens behandling av personuppgifter i verksamhet som rör ärenden om ansökan om licens för läkemedel, om inte annat följer av denna lag eller föreskrif- ter som meddelas i anslutning till denna lag.

92

SOU 2017:66 Författningsförslag

 

 

 

9 §

I fråga om behandling av

Att personuppgifter som be-

personuppgifter för annat ända-

handlas för ändamål som anges i

mål än vad som anges i 8 § gäller

8 § även får behandlas för andra

9 § första

stycket d och andra

ändamål framgår av artikel 5.1 b

stycket

personuppgiftslagen

i Europaparlamentets och rådets

(1998:204).

 

 

 

förordning (EU) 2016/679.

 

 

 

 

Behandling av känsliga

 

 

 

 

personuppgifter

 

 

 

 

9 a §

 

 

 

 

Enligt artikel 9.3 i Europa-

 

 

 

 

parlamentets och rådets förord-

 

 

 

 

ning (EU) 2016/679 får sådana

 

 

 

 

särskilda kategorier av person-

 

 

 

 

uppgifter som anges i artikel 9.1 i

 

 

 

 

samma förordning (känsliga per-

 

 

 

 

sonuppgifter) endast behandlas av

 

 

 

 

eller under ansvar av den som om-

 

 

 

 

fattas av tystnadsplikt.

 

 

 

21 §

Den personuppgiftsansvarige

Utöver vad som framgår av

ska se till att den registrerade får

artikel 13.1, 13.2, 13.3, 14.1, 14.2

information

om

personuppgifts-

och 14.4 i Europaparlamentets och

behandlingen.

 

 

rådets förordning (EU) 2016/679

Informationen

ska

innehålla

ska den personuppgiftsansvarige

upplysningar om

 

 

enligt denna lag till den registre-

1. vem som är personuppgifts-

rade lämna information om

ansvarig,

 

 

 

 

2. ändamålen

med

behand-

 

lingen,

 

 

 

 

3. den uppgiftsskyldighet som

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

kan följa av lag eller förordning,

4. de sekretess- och säkerhets-

2. de sekretess- och säkerhets-

bestämmelser som gäller för upp-

bestämmelser som gäller för upp-

gifterna och behandlingen,

gifterna och behandlingen,

93

Författningsförslag

SOU 2017:66

5.rätten att ta del av uppgif- terna enligt 26 § personuppgifts- lagen (1998:204),

6.rätten enligt 20 § till rättelse av oriktiga eller missvisande upp- gifter och till skadestånd vid be- handling av personuppgifter i strid med denna lag,

7.vad som gäller i fråga om sökbegränsningar, och

8.vad som gäller i fråga om gallring.

3.rätten enligt artikel 82 i

Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

4.vad som gäller i fråga om sökbegränsningar.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

94

I denna förordning meddelas föreskrifter om att socialnämnd- erna ska lämna ut sådana per- sonuppgifter som avses i Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) för statistiska ändamål.

SOU 2017:66

Författningsförslag

1.19Förslag till

förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter

Härigenom föreskrivs i fråga om förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter att 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §17

I denna förordning meddelas föreskrifter om att socialnämnd- erna skall lämna ut sådana per- sonuppgifter som avses i person- uppgiftslagen (1998:204) för sta- tistiska ändamål.

Denna förordning träder i kraft den 25 maj 2018.

17 Senaste lydelse 2001:942.

95

Denna förordning reglerar, om inte annat anges i 1 a §, be- handlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och om- sorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom social- tjänsten.
1 a §
Denna förordning gäller inte vid behandling av personuppgifter som utförs av behöriga myndig- heter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).

Författningsförslag

SOU 2017:66

1.20Förslag till

förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten

dels att 4 § ska upphöra att gälla,

dels att 1, 2 och 12 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §18

Denna förordning reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och om- sorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom social- tjänsten.

18 Senaste lydelse 2013:183.

96

SOU 2017:66

Författningsförslag

2 §19

Grundläggande bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (1998:204).

Särskilda bestämmelser om behandling av personuppgifter inom socialtjänsten finns i lagen (2001:454) om behandling av person- uppgifter inom socialtjänsten, i 12 kap. socialtjänstlagen (2001:453) och i lagen (1993:387) om stöd och service till vissa funktionshind- rade.

12 §20

En kommunal myndighet får behandla personuppgifter för

1.handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och be- handling samt annan social service som följer av bestämmelserna i socialtjänstlagen (2001:453) och 2 kap. 7 § lagen (2009:47) om vissa kommunala befogenheter,

2.faderskapsutredningar, utredning om vårdnad av barn, adop- tionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken,

3.handläggning av ärenden och annan verksamhet som följer av bestämmelserna i lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall,

4.handläggning av ärenden om insatser och för särskilda upp- gifter som följer av bestämmelserna i lagen (1993:387) om stöd och service till vissa funktionshindrade,

5.handläggning av ärenden om tillstånd till parkering för rörelse- hindrade,

6.handläggning av ärenden om bistånd som lämnas av social- nämnd enligt lagstiftning om mottagande av asylsökande m.fl.,

7.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

8.handläggning av ärenden och annan verksamhet inom social- tjänsten som utförs vid kommunal invandrarbyrå,

19Senaste lydelse 2005:129.

20Senaste lydelse 2010:42.

97

Författningsförslag

SOU 2017:66

9.handläggning av ärenden som följer av bestämmelserna i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen (1998:980), samt

10.tillsyn, uppföljning, utvärdering, kvalitetssäkring och admi- nistration av verksamheten.

Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkorts- förordningen får en kommunal myndighet inte behandla andra känsliga personuppgifter än upp- gifter som rör hälsa.

Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkorts- förordningen får en kommunal myndighet inte behandla andra sådana känsliga personuppgifter som avses i 7 § första stycket 2 lagen (2001:454) om behandling av personuppgifter inom social- tjänsten än uppgifter som rör hälsa.

Denna förordning träder i kraft den 1 maj 2018 i fråga om 1 och 1 a §§ och i övrigt den 25 maj 2018.

98

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) ska den person- uppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling.
99

SOU 2017:66

Författningsförslag

1.21Förslag till

förordning om ändring i förordningen (2001:707) om patientregister

hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2001:707) om patientregister hos Socialstyrelsen att 7 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 §

Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av orik- tiga eller missvisande uppgifter,

5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,

7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt

8.vad som gäller om beva- rande och gallring av registret.

Författningsförslag

SOU 2017:66

Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

100

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) ska den person- uppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling.
101

SOU 2017:66

Författningsförslag

1.22Förslag till

förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen att 7 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 §

Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av orik- tiga eller missvisande uppgifter,

5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,

7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt

8.vad som gäller om beva- rande och gallring av registret.

Författningsförslag

SOU 2017:66

Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

102

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) ska den person- uppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling.
103

SOU 2017:66

Författningsförslag

1.23Förslag till

förordning om ändring i förordningen (2001:709) om cancerregister

hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2001:709) om cancerregister hos Socialstyrelsen att 7 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 §

Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av orik- tiga eller missvisande uppgifter,

5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,

7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt

8.vad som gäller om beva- rande och gallring av registret.

Författningsförslag

SOU 2017:66

Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

104

SOU 2017:66

Författningsförslag

1.24Förslag till

förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Härigenom föreslås i fråga om förordningen (2003:766) om be- handling av personuppgifter inom socialförsäkringens administra- tion21

dels att 3 c § ska upphöra att gälla, dels att 8 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

8 §22

Försäkringskassan får meddela föreskrifter i fråga om

1.formerna för tilldelning av behörighet för åtkomst till social- försäkringsdatabasen genom en särskild handling,

2.vilka uppgifter i socialförsäkringsdatabasen Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till och formerna för direktåtkomsten,

4.vilka uppgifter i socialförsäkringsdatabasen Statens tjänste- pensionsverk och det för kommunerna och landstingen gemen- samma organet för administration av personalpensioner får ha direkt- åtkomst till,

5.vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation,

6.vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling till organ som driver för- säkringsrörelse,

7.begränsningar av de sökbegrepp som får användas vid sökning

isocialförsäkringsdatabasen,

8.fastställande av avgifter för utlämnade av uppgifter och hand- lingar från socialförsäkringsdatabasen, om inte utlämnandet är av- giftsfritt till följd av att det sker till en annan myndighet på grund av att det föreligger en sådan skyldighet i lag eller förordning, och

21Senaste lydelse av 3 c § 2010:1723.

22Senaste lydelse 2010:1723.

105

Författningsförslag SOU 2017:66

9. vilka särskilda åtgärder som Försäkringskassan och Pensions- myndigheten ska vidta för att kontrollera efterlevnaden av bestäm- melserna i 114 kap. socialförsäkringsbalken.

Om föreskrifterna enligt första

Om föreskrifterna enligt första

stycket avser uppgifter som faller

stycket avser uppgifter som faller

under Pensionsmyndighetens per-

under Pensionsmyndighetens per-

sonuppgiftsansvar enligt 114 kap.

sonuppgiftsansvar enligt 114 kap.

6 § andra

stycket

socialförsäk-

6 a § socialförsäkringsbalken ska

ringsbalken

ska

föreskrifterna

föreskrifterna beslutas i samråd

beslutas i samråd med Pensions-

med Pensionsmyndigheten.

myndigheten.

 

 

1.Denna förordning träder i kraft den 25 maj 2018.

2.Bestämmelsen i 3 c § gäller fortfarande när kommunalt vård- nadsbidrag har lämnats enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.

106

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) ska den person- uppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling.
107

SOU 2017:66

Författningsförslag

1.25Förslag till

förordning om ändring i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen att 6 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 §

Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av orik- tiga eller missvisande uppgifter,

5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,

7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen, samt

8.vad som gäller om beva- rande och gallring av registret.

Författningsförslag

SOU 2017:66

Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

108

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) ska den person- uppgiftsansvarige enligt denna för- ordning till den registrerade lämna information om
1. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret, och
2. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling.
109

SOU 2017:66

Författningsförslag

1.26Förslag till

förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården

Härigenom föreskrivs i fråga om förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården att 6 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 §

Den information som Social- styrelsen skall lämna de registre- rade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av orik- tiga eller missvisande uppgifter,

5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,

7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen (1998:204), samt

8.vad som gäller om beva- rande och gallring av registret.

Författningsförslag

SOU 2017:66

Socialstyrelsen skall på lämp- ligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämp- ligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

110

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om
111
Denna förordning kompletterar
Europaparlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna förordning, om inte annat följer av denna förordning.

SOU 2017:66

Författningsförslag

1.27Förslag till

förordning om ändring i förordningen (2006:196) om register över hälso- och sjukvårdspersonal

Härigenom föreskrivs i fråga om förordningen (2006:196) om register över hälso- och sjukvårdspersonal

dels att 9 § ska upphöra att gälla,

dels att rubriken närmast före 9 § ska utgå, dels att 2 och 8 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Personuppgiftslagen (1998:204) gäller utöver denna förordning vid behandlingen av personuppgifter i registret.

8 §

Socialstyrelsen skall på lämp- ligt sätt informera den registre- rade om registret. Informationen skall ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som registret får innehålla samt ge upplysning om

Författningsförslag

SOU 2017:66

1. de sekretess- och säker- hetsbestämmelser som gäller för registret,

1. vilken typ av uppgifter som registret får innehålla,

2. de sekretess- och säker- hetsbestämmelser som gäller för registret,

2.rätten att få information och rättelse enligt personuppgifts- lagen (1998:204),

3.rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning,

4. vad som gäller i fråga om

4. vad som gäller i fråga om

sökbegrepp,

direktåtkomst

och

sökbegrepp,

direktåtkomst

och

utlämnande

av uppgifter

utlämnande

av uppgifter

medium för automatiserad be-

medium för automatiserad be-

handling,

 

 

handling, samt

 

5. om registreringen är frivillig eller inte.

 

 

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

112

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) ska den person- uppgiftsansvarige enligt denna förordning till den registrerade lämna information om
1. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret, samt
2. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling.
113

SOU 2017:66

Författningsförslag

1.28Förslag till

förordning om ändring i förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen att 6 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 §

Den information som Social- styrelsen ska lämna de registre- rade enligt 25 § första stycket c personuppgiftslagen (1998:204) ska omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av orik- tiga eller missvisande uppgifter,

5. innebörden och omfatt- ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling,

7.den registrerades rätt att ta del av uppgifter enligt 26 § person- uppgiftslagen, samt

8.vad som gäller om beva- rande och gallring av registret.

Författningsförslag

SOU 2017:66

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

114

SOU 2017:66

Författningsförslag

1.29Förslag till

förordning om ändring i förordningen

(2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet

med framställning av statistik över kommunalt vårdnadsbidrag

Härigenom föreskrivs i fråga om förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksam- het med framställning av statistik över kommunalt vårdnadsbidrag

dels att 7 § ska upphöra att gälla,

dels att rubriken närmast före 7 § ska utgå,

dels att 1, 3, 4 och 5 §§ och rubriken närmast före 3 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

1 §

 

Denna förordning gäller vid

Denna förordning gäller vid

helt eller

delvis automatiserad

helt eller delvis automatiserad

behandling av personuppgifter i

behandling av personuppgifter i

Statistiska centralbyråns verksam-

Statistiska centralbyråns verksam-

het med framställning av statistik

het med framställning av statistik

över vårdnadsbidrag enligt lagen

över vårdnadsbidrag enligt

den

(2008:307) om kommunalt vård-

upphävda lagen (2008:307)

om

nadsbidrag.

kommunalt vårdnadsbidrag.

 

Förhållandet till lagen om

Förhållandet till annan

 

den officiella statistiken

lagstiftning

 

och personuppgiftslagen

 

 

 

3 §

 

Bestämmelserna i 14, 15 och

Denna förordning komplette-

19 §§ lagen (2001:99) om den

rar Europaparlamentets och rådets

officiella

statistiken gäller när

förordning (EU) 2016/679

av

Statistiska centralbyrån behandlar

den 27 april 2016 om skydd för

personuppgifter för att framställa

fysiska personer med avseende på

statistik över kommunalt vård-

behandling av personuppgifter och

nadsbidrag. Om inte annat följer

om det fria flödet av sådana upp-

115

Författningsförslag SOU 2017:66

av angivna bestämmelser

eller

gifter och om upphävande av

denna förordning gäller person-

direktiv 95/46/EG (allmän data-

uppgiftslagen (1998:204)

vid

skyddsförordning).

 

 

Statistiska centralbyråns behand-

Bestämmelserna i 14, 15 och

ling av personuppgifterna.

 

19 §§ lagen (2001:99) om den

 

 

officiella

statistiken

gäller

när

 

 

Statistiska

centralbyrån behand-

 

 

lar personuppgifter för att fram-

 

 

ställa statistik över

kommunalt

 

 

vårdnadsbidrag.

 

 

 

 

Lagen (2018:xx) med kom-

 

 

pletterande bestämmelser till EU:s

 

 

dataskyddsförordning

gäller

vid

 

 

behandling av personuppgifter en-

 

 

ligt denna förordning, om inte

 

 

annat följer av angivna bestäm-

 

 

melser eller denna förordning.

 

4 §

Behandling av personuppgifter får ske inom ramen för ett upp- drag från regeringen som gäller framställning av statistik över det

kommunala vårdnadsbidraget.

 

Personuppgifter som behand-

Personuppgifter som behand-

las för det ändamål som anges i

las för ändamål som anges i

första stycket får också behand-

första stycket får också behand-

las för att fullgöra uppgiftsläm-

las för att fullgöra uppgiftsläm-

nande som sker i överensstäm-

nande som sker i överensstäm-

melse med lag eller förordning.

melse med lag eller förordning.

I övrigt gäller 9 § första stycket d

Att personuppgifter som behand-

och andra stycket personuppgifts-

las för ändamål som anges i första

lagen (1998:204).

stycket även får behandlas för andra

 

ändamål framgår av artikel 5.1 b

 

i Europaparlamentets och rådets

 

förordning (EU) 2016/679.

116

SOU 2017:66 Författningsförslag

 

 

5 §

 

 

Utöver vad som följer av 14 §

Utöver vad som följer av 14 §

lagen (2001:99) om den offici-

lagen (2001:99) om den offici-

ella statistiken

får Statistiska

ella statistiken

får Statistiska

centralbyrån behandla sådana

centralbyrån

behandla sådana

personuppgifter som anges i 2 §

personuppgifter som anges i den

förordningen (2009:1421)

om

upphävda

2 §

förordningen

skyldighet för

kommuner

att

(2009:1421)

om

skyldighet för

lämna statistiska uppgifter

om

kommuner att lämna statistiska

kommunalt vårdnadsbidrag.

 

uppgifter om kommunalt vård-

 

 

 

nadsbidrag.

 

 

Endast sådana uppgifter får behandlas som behövs för de ända- mål som anges i 4 §.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

117

Författningsförslag

SOU 2017:66

1.30Förslag till

förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län

Härigenom föreskrivs i fråga om förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län

dels att 6 § ska upphöra att gälla,

dels att rubriken närmast före 6 § ska utgå.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

118

Denna förordning kompletterar
Europaparlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning).
Lagen (2018:xx) med kom- pletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter en- ligt denna förordning, om inte annat följer av denna förordning.
119

SOU 2017:66

Författningsförslag

1.31Förslag till

förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

Härigenom föreskrivs i fråga om förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmåns- verkets verksamhet i fråga om det statliga tandvårdsstödet

dels att 9 § ska upphöra att gälla,

dels att rubriken närmast före 9 § ska utgå,

dels att 3 och 4 §§ och rubriken närmast före 3 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till

Förhållandet till

personuppgiftslagen

annan dataskyddsreglering

3 §

Om inte annat följer av denna förordning, gäller personuppgifts- lagen (1998:204) vid Tandvårds- och läkemedelsförmånsverkets be- handling av personuppgifter.

Författningsförslag

SOU 2017:66

4 §

Tandvårds- och läkemedelsförmånsverket får behandla person- uppgifter om det behövs för att:

1.fatta beslut om utformningen av det statliga tandvårdsstödet

ifråga om ersättningsberättigande tandvårdsåtgärder, referenspriser för de ersättningsberättigande åtgärderna samt beloppsgränser och ersättningsgrader inom skyddet mot höga kostnader, och

2.genomföra uppföljning av utvecklingen på tandvårdsområdet.

Personuppgifter som behand-

Personuppgifter som behand-

las för de ändamål som anges i

las för de ändamål som anges i

första stycket får också behand-

första stycket får också behand-

las för att fullgöra uppgiftsläm-

las för att fullgöra uppgiftsläm-

nande som sker i överensstäm-

nande som sker i överensstäm-

melse med lag eller förordning.

melse med lag eller förordning.

I övrigt gäller 9 § första stycket d

Att personuppgifter som behandlas

och andra stycket personuppgifts-

för ändamål som anges i första

lagen (1998:204).

stycket även får behandlas för

 

andra ändamål framgår av arti-

 

kel 5.1 b i Europaparlamentets och

 

rådets förordning (EU) 2016/679.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraft- trädandet.

120

SOU 2017:66

Författningsförslag

1.32Förslag till

förordning om ändring i förordningen (2013:413) om kosmetiska produkter

Härigenom föreskrivs i fråga om förordningen (2013:413) om kosmetiska produkter att 1 och 5 §§ och rubriken närmast före 5 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 § Denna förordning är meddelad

1. med stöd av 14 kap. 19 § 1 miljöbalken i fråga om 4 och 6 §§,

2. med stöd av 20 §

person-

2. med stöd av 3 kap. 8 § lagen

uppgiftslagen (1998:204)

i fråga

(2018:xx) med kompletterande

om 5 §,

 

bestämmelser till EU:s dataskydds-

 

 

förordning i fråga om 5 §,

3.med stöd av 8 kap. 7 § regeringsformen i fråga om 8 §,

4.med stöd av 26 kap. 6 § miljöbalken i fråga om 13 och 15 §§,

5.i övrigt med stöd av 14 kap. 8 § miljöbalken.

Undantag

 

Behandling av personuppgifter

från personuppgiftslagen

 

 

5 §

Läkemedelsverket får trots

Läkemedelsverket får utföra

13 § andra stycket personuppgifts-

de behandlingar av personupp-

lagen (1998:204) utföra de be-

gifter som rör hälsa och som är

handlingar

av personuppgifter

nödvändiga för att fullgöra de

som rör hälsa och som är nöd-

skyldigheter som föreskrivs i för-

vändiga för att fullgöra de skyl-

ordning (EG) nr 1223/2009 samt

digheter som föreskrivs i för-

i övrigt utföra de behandlingar

ordning (EG) nr 1223/2009 samt

av personuppgifter som rör hälsa

i övrigt utföra de behandlingar

i den omfattning behandlingen

av personuppgifter som rör hälsa

omfattas av Läkemedelsverkets

i den omfattning behandlingen

tillsynsverksamhet.

omfattas av

Läkemedelsverkets

 

tillsynsverksamhet.

121

Författningsförslag

SOU 2017:66

Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som Läkemedelsverket utför för att fullgöra sådana uppgifter som avses i första stycket.

Denna förordning träder i kraft den 25 maj 2018.

122

Läkemedelsverket och inne- havare av ett godkännande eller en registrering för försäljning får utföra de behandlingar av personuppgifter som rör hälsa, inklusive genetiska och biomet- riska uppgifter och uppgifter om sexuell läggning, och som är nöd- vändiga för att fullgöra de skyl- digheter som föreskrivs i läke- medelslagen (2015:315) eller i denna förordning.
Personuppgifter som behandlas av annan än Läkemedelsverket med stöd av första stycket får inte behandlas för några andra ända- mål än arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller sta- tistiska ändamål. Vad som nu sagts hindrar inte att personupp- gifterna behandlas med stöd av ett uttryckligt samtycke från den regi- strerade.
123

SOU 2017:66

Författningsförslag

1.33Förslag till

förordning om ändring i läkemedelsförordningen (2015:458)

Härigenom föreskrivs i fråga om läkemedelsförordningen (2015:458) att 3 kap. 13 § och rubriken närmast före 3 kap. 13 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Undantag

Behandling av personuppgifter

från personuppgiftslagen

 

3 kap.

13 §

Läkemedelsverket och inne- havare av ett godkännande eller en registrering för försäljning får trots bestämmelserna i 13 § andra stycket personuppgiftslagen (1998:204) utföra de behand- lingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen (2015:315) eller i denna förord- ning.

Läkemedelsverket är person- uppgiftsansvarigt för behandling av personuppgifter som verket ut- för för att fullgöra en sådan skyl- dighet som avses i första stycket.

Författningsförslag

SOU 2017:66

Läkemedelsverket är person- uppgiftsansvarigt för behandling av personuppgifter som verket ut- för för att fullgöra en sådan skyl- dighet som avses i första stycket.

Denna förordning träder i kraft den 25 maj 2018.

124

SOU 2017:66

Författningsförslag

1.34Förslag till

förordning om upphävande av förordningen (1994:565) om vårdnadsbidragsregister

Härigenom föreskrivs att förordningen (1994:565) om vårdnads- bidragsregister ska upphöra att gälla den 25 maj 2018.

125

Författningsförslag

SOU 2017:66

1.35Förslag till

förordning om upphävande av förordningen (1998:156) med bemyndigande

för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister

Härigenom föreskrivs att förordningen (1998:156) med bemyn- digande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister ska upphöra att gälla den 25 maj 2018.

126

2Utredningsarbetet och betänkandet

2.1Utredningsarbetet

Utredningens utredningsdirektiv (dir. 2016:52) finns intagna som bilaga till detta betänkande.

Utredningen har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Sammanlagt har tre utredningssammanträden hållits. Därutöver har särskilda sammanträden hållits med bl.a. de experter som företräder myndigheter som i dag inte tillämpar en registerförfattning.

Utredningen har vidare gett myndigheter och andra intressenter som på olika sätt påverkas av de många författningar som omfattas av utredningens uppdrag tillfälle att lämna synpunkter. Syftet har varit att säkerställa att förutsättningarna för en ändamålsenlig be- handling av personuppgifter inte försämras, om det går att undvika, och även i övrigt få de berörda aktörernas syn på de författnings- ändringar som utredningen föreslår.

Utredningen har haft kontakter med ett stort antal andra utred- ningar som har haft i uppdrag att på olika sätt anpassa svensk rätt till den nya EU-regleringen. Detta har i huvudsak skett genom regel- bundna möten i den samordningsgrupp som bildats i syfte att för- söka skapa enhetlighet när det gäller bl.a. tolkning av bestämmel- serna i dataskyddsförordningen. I samordningsgruppen har även representanter för det arbete som bedrivs inom Regeringskansliet med att anpassa författningar till den nya EU-regleringen deltagit. Utredningen har i samordningsgruppen delat med sig av sina texter avseende generella överväganden.

Utöver möten i samordningsgruppen har utredningen haft sam- råd eller andra kontakter med företrädare för Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06), Forskningsdatautred-

127

Utredningsarbetet och betänkandet

SOU 2017:66

ningen (U 2016:04), Utbildningsdatautredningen (U 2016:03), Utred- ningen om regleringen av biobanker (S 2016:04) och Totalförsvars- datautredningen (Fö 2016:01).

2.2Betänkandets disposition

Betänkandet är indelat i fyra delar, förutom detta kapitel och för- fattningsförslagen samt sammanfattningen.

Den första delen, som omfattar kapitel 3–5, innehåller en allmän bakgrund. Kapitel 3 innehåller en kort beskrivning av gällande rätt. I kapitel 4 beskrivs innehållet i dataskyddsförordningen översikt- ligt. Kapitel 5 innehåller en kort beskrivning av annat pågående lagstiftningsarbete som har samband med utredningens uppdrag.

I betänkandets andra del, kapitel 6–9, har de generella över- väganden som utredningen gjort samlats. I kapitel 6 redovisas några allmänna utgångspunkter för utredningens arbete. I kapitel 7 finns det en redogörelse för de generella konsekvenserna av att person- uppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. I kapitel 8 redogör utredningen för sina slutsatser kring behovet av reglering för de myndigheter och verksamheter inom Socialdepartementets verksamhetsområde som i dag inte har en registerförfattning. Kapitel 9 innehåller de generella bedömningar som utredningen gjort när det gäller befintlig lagstiftning. Över- vägandena i det kapitlet har sedan använts som en utgångspunkt vid översynen av de berörda författningarna.

Den tredje delen av betänkandet, som omfattar kapitel 10–14, består av de särskilda överväganden som utredningen har gjort be- träffande de författningar som har ingått i översynen. Behovet av anpassning analyseras i separata avsnitt för varje författning. Dessa avsnitt är disponerade på det sättet att samtliga bestämmelser om behandling av personuppgifter i registerförfattningen gås igenom i huvudsak i den ordning de förekommer i respektive författning. Kapitel 10 innehåller överväganden kring de författningar som reg- lerar behandling av personuppgifter inom en hel verksamhet. I kapitel 11 återfinns övervägandena om författningar som reglerar ett visst register eller en viss informationssamling. Kapitel 12 inne- håller bedömningar avseende författningar som inte enbart reglerar behandling av personuppgifter. Författningar som innehåller upp-

128

SOU 2017:66

Utredningsarbetet och betänkandet

giftsskyldigheter berörs i kapitel 13. I kapitel 14 redogörs för för- fattningar som utredningen bedömt inte behöver finnas kvar. Kapitel- indelningen i denna del är gjord av pedagogiska skäl och respektive författning har placerats i det kapitel den bedömts höra bäst hemma.

Slutligen finns i betänkandets fjärde del, kapitel 15–17, de av- slutande kapitlen. I kapitel 15 berörs ikraftträdande och övergångs- bestämmelser. Kapitel 16 innehåller en beskrivning av konsekvenserna av utredningens förslag. En författningskommentar som innehåller hänvisningar till de avsnitt där respektive författningsförslag kom- menteras finns i kapitel 17.

Som bilagor till betänkandet har fogats utredningens huvud- direktiv (dir. 2016:52) och dataskyddsförordningen.

129

BAKGRUND

3 Kort om gällande rätt

3.1Europarådet

3.1.1Europakonventionen

Artikel 8 i den europeiska konventionen om skydd för de mänsk- liga rättigheterna och de grundläggande friheterna (Europakonven- tionen) avser rätt till skydd för privat- och familjeliv. Artikeln lyder enligt följande:

1.Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2.Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till före- byggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Artikel 8 är tillämplig på behandling av personuppgifter men om- fattar inte all slags behandling av personuppgifter – frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonven- tionen tar i första hand sikte på åtgärder av det allmänna.

3.1.2Dataskyddskonventionen

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EU-medlemskapet. Även övriga medlemsstater i EU är anslutna till

133

Kort om gällande rätt

SOU 2017:66

dataskyddskonventionen. Dess syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Tillämpningsområdet är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3).

Dataskyddskonventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande princi- perna för dataskydd. Konventionsstaterna ska vidta nödvändiga åtgärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4). Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt sätt bara när det är lagligt och för sär- skilt angivna ändamål, att personuppgifterna ska vara relevanta med hänsyn till ändamålet och att personuppgifter ska vara riktiga och uppdaterade vid behov (artikel 5). Uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott får inte behandlas automatiserat, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).

De grundläggande principerna ger ett minimiskydd och bestäm- melserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd än det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat får dock, enligt artikel 12 i kapi- tel II, inte hindra gränsöverskridande överföring av personuppgif- ter till en annan konventionsstat bara av skäl som rör integritets- skydd. Avvikelser kan göras även från minimiskyddet enligt data- skyddskonventionen under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter (arti- kel 9).

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

134

SOU 2017:66

Kort om gällande rätt

Dataskyddskonventionen är för närvarande föremål för en över- syn.

3.1.3Rekommendation om skyddet av hälsouppgifter

I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskydds- konventionen. Rekommendationen ersatte en tidigare rekommen- dation avseende medicinska databanker, som hade antagits 1981. Den nya tekniken föranledde nya ställningstaganden.

Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Verksamhet utanför hälso- och sjukvårdssektorn, som omfattas av lämpliga skydds- åtgärder i nationell rätt, omfattas dock inte av rekommendationen. (Princip 2)

Här följer en översiktlig redogörelse för innehållet i rekommen- dationen.

Hälsouppgifter får som huvudregel behandlas endast av sjuk- vårdspersonal med tystnadsplikt och i övrigt i enlighet med lämp- liga säkerhetsåtgärder som ska framgå av nationell rätt. (Princip 3)

Hälsouppgifter ska som huvudregel samlas in från den registre- rade och får behandlas enbart för vissa i rekommendationen an- givna ändamål. Det ska också finnas stöd för behandlingen i lag- stiftning. Ändamålen i rekommendationen avser dels allmänna intressen – folkhälsa, förhindrande av stor fara eller viss brottslig- het samt andra allmänna intressen – och dels enskilda intressen. Hälsouppgifter får behandlas för förebyggande hälso- och sjukvård, diagnosticering och behandling av den registrerade eller anhörig med genetisk anknytning, för att skydda den registrerades eller tredje persons grundläggande intressen, för att uppfylla en kontraktuell skyldighet, för att fastställa, göra gällande eller försvara rättsliga anspråk eller med stöd av samtycke utom då nationell rätt före- skriver att samtycke inte kan lämnas. (Princip 4.1–3)

135

Kort om gällande rätt

SOU 2017:66

Ett samtycke till behandling av hälsouppgifter ska vara frivilligt, uttryckt och informerat (princip 6).

För genetiska uppgifter anges särskilt att om de samlats in för förebyggande hälso- och sjukvård, diagnosticering eller behandling av den registrerade eller för forskning, ska uppgifterna behandlas endast för dessa ändamål. Det kan dock finnas överordnade intres- sen som motiverar att genetiska uppgifter används även för andra ändamål; detta under förutsättning att lämpliga säkerhetsåtgärder föreskrivs i lagstiftning. Exempelvis kan genetiska uppgifter be- handlas för forskningsändamål och för att fastställa släktskap inom brottsbekämpande verksamhet. (Princip 4.7–9)

Hälsouppgifter får under vissa förutsättningar lämnas ut för ungefär samma ändamål som de uppgifterna ursprungligen fick samlas in för. Utlämnande får ske endast till den som omfattas av sådan tystnadsplikt som gäller sjukvårdspersonal, eller motsvarande tystnadsplikt. Utlämnandet ska också ske med stöd i lagstiftning och utgöra en nödvändig åtgärd i ett demokratiskt samhälle. I vissa fall har den registrerade möjlighet att invända mot utlämnandet. (Princip 7)

Den registrerade ska få information om vilka hälsouppgifter som behandlas om honom eller henne, för vilka ändamål de behandlas, varifrån hälsouppgifterna samlats in, till vilka hälsouppgifterna kan komma att lämnas ut, möjligheten att ta tillbaka ett samtycke, vem som är ansvarig för hälsouppgifterna och möjligheten att ta del av och begära rättelse av hälsouppgifterna. Informationsskyldigheten begränsas dock av vissa angivna undantag. (Princip 5)

Den registrerade ska ha möjlighet att ta del av vilka hälsouppgifter som behandlas om honom eller henne. Begränsningar i rätten att få del av hälsouppgifterna kan göras i lagstiftning om det exempelvis är nödvändigt av skäl som berör allmän säkerhet, om den registre- rade eller en anhörig med genetisk anknytning skulle åsamkas all- varlig skada genom att hälsouppgifterna lämnas ut, eller om uppgif- terna endast behandlas för statistiska eller forskningsrelaterade skäl och det inte finns någon risk för integritetsintrång. (Princip 8.1 och 2)

Oväntade resultat till följd av en genetisk analys ska meddelas den registrerade om nationell rätt inte förbjuder det, om den regi- strerade själv frågat efter resultatet och informationen inte riskerar att skada den registrerade eller annan (princip 8.4).

136

SOU 2017:66

Kort om gällande rätt

Den registrerade ska också ha möjlighet att begära rättelse av felaktiga hälsouppgifter och, om begäran av rättelse avslås, kunna överklaga beslutet om avslag (princip 8.3).

Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse, oavsiktlig förlust samt otillåten tillgång, ändring, utlämnande eller i övrigt otillåten behandling (princip 9). Hälsouppgifter får inte be- varas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna samlats in (princip 10).

Principerna i rekommendationen gäller även överföring av hälso- uppgifter till andra länder. Överföring till länder som inte tillhanda- håller sådant skydd som dataskyddskonventionen och de aktuella rekommendationerna föreskriver, ska i regel inte förekomma. Över- föring kan trots det ske om den registrerade har lämnat samtycke eller det framgår av nationell rätt att överföring ska ske och till- räckliga åtgärder har vidtagits för att tillförsäkra uppgifterna skydd. (Princip 11)

Hälsouppgifter som används för forskningsändamål ska, när det är möjligt, vara anonymiserade. Om anonymisering inte är möjlig, får hälsouppgifter behandlas om samtycke har lämnats, om stöd finns i nationell rätt, eller om användningen av hälsouppgifter i ett avgränsat forskningsprojekt med ett allmänt intresse har tillåtits av en i nationell rätt särskilt utsedd funktion. Det förutsätter dock bl.a. att den registrerade inte uttryckligen motsatt sig behandlingen och att intresset av forskningsprojektet motiverar behandlingen. (Princip 12)

3.1.4Rekommendation om skyddet av personuppgifter som behandlas för ändamål rörande social trygghet

Europarådets ministerkommitté har också antagit en rekommen- dation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål rörande social trygghet.

Rekommendationen är tillämplig på behandling av personupp- gifter för ”social security purposes” (ändamål hänförliga till social

137

Kort om gällande rätt

SOU 2017:66

trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeförmåner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsförmåner och familjeförmåner (princip 1.2).

Här följer en översiktlig redogörelse för innehållet i rekommen- dationen.

Insamling och lagring av personuppgifter ska begränsas till vad som är nödvändigt för att arbetsuppgifter inom de sociala trygg- hetssystemen ska kunna utföras. Är personuppgifterna av känslig natur, får de samlas in om det finns stöd i nationell rätt. Person- uppgifter som rör ras, politiska åsikter eller religiösa eller andra övertygelser får behandlas enbart om det är absolut nödvändigt för administrationen av en viss förmån. (Princip 3.1)

Personuppgifter ska som huvudregel samlas in från den registre- rade men kan även samlas in från andra om det finns stöd för det i nationell rätt. Personuppgifter av känslig natur får samlas in från andra källor än den registrerade endast med stöd av samtycke eller i enlighet med lämpliga säkerhetsåtgärder som ska framgå av natio- nell rätt. (Princip 3.2 och 3)

Personuppgifter som samlats in för ett visst ändamål får be- handlas även för andra ändamål hänförliga till social trygghet (princip 4.1). Utbyte av personuppgifter mellan olika organ inom det sociala trygghetssystemet får ske i den mån det behövs för att arbetsuppgifter ska kunna utföras (princip 4.2). Överföring av per- sonuppgifter över nationsgränser och mellan olika organ inom det sociala trygghetssystemet får också ske om det är nödvändigt för att arbetsuppgifter ska kunna utföras i enlighet med internationella rättsakter (princip 8.1). Till andra organ får uppgifter lämnas ut enbart för ändamål som avser social trygghet eller med stöd av den registrerades samtycke (princip 4.3).

Användningen av nationella identifikationsnummer (person- nummer eller liknande) ska omgärdas av lämpliga säkerhetsåtgärder fastställda i nationell rätt (princip 5.1). Lämpliga tekniska och orga- nisatoriska åtgärder ska vidtas även i övrigt för att personuppgifter ska tillförsäkras säkerhet och sekretess (princip 7.1).

Om inte annat framgår av nationell rätt rörande hälsouppgifter eller personuppgifter inom forskning och statistik, får rätten till

138

SOU 2017:66

Kort om gällande rätt

insyn och möjligheten att begära rättelse inte begränsas förutom om det är nödvändigt för att förhindra bedrägeri eller utnyttjande av det sociala trygghetssystemet eller för skyddet av enskildas fri- och rättigheter. (Princip 6.1)

Personuppgifter får inte lagras under längre tid än vad som är motiverat för ändamålet eller vad som är behövligt med hänsyn till den registrerades intresse. Personuppgifter som endast ska användas för forskning eller statistik ska, om det är möjligt, anonymiseras. Om det inte är möjligt att använda sig av anonymisering, ska andra lämpliga säkerhetsåtgärder vidtas. (Princip 9)

3.2Dataskyddsdirektivet

3.2.1Inledning

Den allmänna regleringen om behandling av personuppgifter inom EU finns för närvarande i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Data- skyddsdirektivet syftar till att garantera en hög och i alla medlems- stater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. Medlemsstaterna bestäm- mer dock själva på vilket sätt dataskyddsdirektivet ska införlivas i den nationella lagstiftningen och de får, inom den ram som anges i dataskyddsdirektivet, närmare precisera villkoren för när behand- ling av personuppgifter får förekomma. Sådana preciseringar får inte hindra det fria flödet av personuppgifter inom unionen.

Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i praktiken övertagits av dataskyddsdirektivet. EU-domstolen1 har emellertid ansett att artikel 8 i Europakonventionen har betydelse

1 Här och i det följande används namnet EU-domstolen genomgående även när den dom- stolen meddelat det aktuella avgörandet under namnet EG-domstolen.

139

Kort om gällande rätt

SOU 2017:66

vid sidan av dataskyddsdirektivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.2

Dessutom finns en grundläggande bestämmelse om dataskydd i artikel 8 i Europeiska unionens stadga om de grundläggande rättig- heterna (2010/C 83/02), rättighetsstadgan. I artikeln anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

3.2.2Tillämpningsområde

Dataskyddsdirektivet omfattar helt eller delvis automatiserad be- handling av personuppgifter. Även manuell behandling av person- uppgifter omfattas, om personuppgifterna ingår i eller kommer att ingå i ett register. Däremot omfattas inte behandling av personupp- gifter på områden som faller utanför EU-rätten, t.ex. allmän säker- het, försvar, medlemsstaternas säkerhet och medlemsstaternas verk- samhet på straffrättens område. Dataskyddsdirektivet gäller inte heller för sådan behandling av personuppgifter som en fysisk per- son bedriver som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. (Artikel 3)

3.2.3Grundläggande krav och principer

Dataskyddsdirektivet innehåller en rad grundläggande krav på be- handlingen av personuppgifter. Det åligger den registeransvarige (i dataskyddsdirektivet används begreppet registeransvarig, som i sak motsvarar begreppet personuppgiftsansvarig) att säkerställa att kraven efterlevs (artikel 6.2). All behandling av personuppgifter måste vara laglig och korrekt. Personuppgifter får bara samlas in

2 EU-domstolens dom av den 20 maj 2003, Rechnungshof (C-465/00) mot Österreichischer Rundfunk m.fl. och Christa Neukomm (C-138/01) och Joseph Lauermann (C-139/01) mot Österreichischer Rundfunk, EU:C:2003:294.

140

SOU 2017:66

Kort om gällande rätt

för särskilda, uttryckligt angivna och berättigade ändamål och sen- are behandling får inte ske på ett sätt som är oförenligt med dessa ändamål (finalitetsprincipen). Personuppgifterna måste vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till ändamålet. Vidare ska personuppgifterna vara rik- tiga och aktuella och alla rimliga åtgärder måste vidtas för att säker- ställa att personuppgifter vid behov utplånas eller rättas. Förvaring av personuppgifter ska ske på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt med hänsyn till ändamålet. (Artikel 6)

Personuppgifter får enligt dataskyddsdirektivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgör- ande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att skydda intressen som är av grundläggande betydelse för den registrerade. Vidare får behand- ling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighets- utövning. Slutligen får personuppgifter behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas (intresseavvägning). (Artikel 7)

3.2.4Känsliga personuppgifter

Vissa särskilda, i dataskyddsdirektivet angivna kategorier av upp- gifter, får som huvudregel inte behandlas. Det gäller sådana upp- gifter som avslöjar den registrerades ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (artikel 8.1). Det finns dock undantag från denna huvudregel. Behandling av sådana personuppgifter får t.ex. ske om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, om behandlingen är nöd- vändig för att fullgöra skyldigheter och rättigheter inom arbets- rätten eller om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ideella verksamheter med politiskt, filosofiskt,

141

Kort om gällande rätt

SOU 2017:66

religiöst eller fackligt syfte kan behandla känsliga personuppgifter om sina medlemmar och personuppgifter kan också behandlas om uppgifterna på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. (Artikel 8.2) Inom hälso- och sjukvården kan känsliga personuppgifter behandlas om det är nödvändigt med hänsyn till vård, behandling, medicinska diagnoser eller administra- tion eller när dessa uppgifter behandlas av någon som omfattas av krav på tystnadsplikt (artikel 8.3).

Medlemsstaterna kan i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag av hän- syn till ett viktigt allmänt intresse (artikel 8.4).

Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning (artikel 8.5).

3.2.5Rättigheter och skyldigheter

Enligt dataskyddsdirektivet ska den registeransvarige informera den registrerade när personuppgifter är föremål för behandling. Den registrerade ska också få en beskrivning av ändamålet med behandlingen samt få annan information som behövs för att den registrerade ska kunna tillvarata sina rättigheter. Information som den registrerade redan känner till behöver inte lämnas. Om person- uppgifterna har samlats in från någon annan än den registrerade, behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. (Artikel 10 och 11)

Den registrerade har även rätt att på begäran få information om huruvida uppgifter som rör honom eller henne behandlas eller inte och information om ändamål, uppgiftskategorier och eventuella mottagare av personuppgifterna (artikel 12 a).

Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med dataskyddsdirektivet rättade, utplå- nade eller blockerade. Om en uppgift rättas ska den registeransva- rige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behöver dock inte ske i de fall där en underrättelse

142

SOU 2017:66

Kort om gällande rätt

visar sig vara omöjlig eller förenad med en oproportionerligt stor ansträngning. (Artikel 12 b)

Medlemsstaterna får föreskriva begränsningar i fråga om bl.a. informationsskyldigheten och rätten att på begäran få tillgång till personuppgifter. En sådan begränsning måste dock vara en nöd- vändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. allmän säkerhet, åtgärder mot brott eller överträdelser av etiska regler, viktiga ekonomiska eller finansiella intressen (inklusive monetära frågor, budgetfrågor och skattefrågor), en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutöv- ning i fall som nämnts ovan och skyddet av den registrerades eller andras fri- och rättigheter. (Artikel 13)

Den registrerade ska enligt dataskyddsdirektivet ha rätt att när som helst, av skäl som rör hans personliga situation, motsätta sig sådan behandling av sina personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsupp- gift av allmänt intresse eller som led i myndighetsutövning alterna- tivt med stöd av en intresseavvägning. Detta gäller dock endast om nationell lagstiftning inte föreskriver något annat. Den register- ansvarige får inte längre behandla uppgifterna om den registrerades invändning är berättigad. (Artikel 14 a)

Den registrerade ska också ha rätt att slippa bli föremål för ett beslut som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma den registrerades personliga egenskaper. Denna rättighet gäller dock inte om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal eller om beslutet tillåts i lagstiftning som innehåller bestämmelser till skydd för den regi- strerades berättigade intressen. (Artikel 15)

Till skydd för den registrerade innehåller dataskyddsdirektivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot för- störing, förlust, ändring eller otillåten spridning (artikel 17).

143

Kort om gällande rätt

SOU 2017:66

3.2.6Tillsynsmyndighet och anmälningsplikt

Enligt dataskyddsdirektivet ska varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som med- lemsstaterna antar till följd av dataskyddsdirektivet. Ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten vid be- handling av personuppgifter är tänkt att ge tillsynsmyndigheten och allmänheten insyn i behandlingarna. Undantag från anmäl- ningsplikten får dock föreskrivas under vissa förutsättningar. Bland annat krävs ingen anmälan om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud (personupp- giftsombud) som ser till att behandlingen av personuppgifter är lagenlig och dessutom upprättar ett register över de behandlingar som utförs av den registeransvarige. (Artikel 18–21)

3.2.7När uppgifter behandlas i strid med lagstiftningen

Om personuppgifter inte behandlas i enlighet med den nationella lagstiftning som införs till följd av dataskyddsdirektivet, ska det enligt dataskyddsdirektivet finnas möjlighet att föra talan inför domstol. Det ska också finnas möjlighet att få ersättning av den registeransvarige för eventuell skada som uppstått till följd av en otillåten behandling. Medlemsstaterna ska besluta om sanktioner som ska användas vid överträdelse av dataskyddsbestämmelser. (Artikel 22–24)

3.2.8Överföring till tredjeland

Dataskyddsdirektivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att be- handlas efter överföringen, till ett land utanför EU eller EES (tredjeland), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får per- sonuppgifter föras över till länder vars lagstiftning i och för sig inte

144

SOU 2017:66

Kort om gällande rätt

erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. (Artikel 25 och 26)

3.3Personuppgiftslagen

3.3.1Tillämpningsområdet

I Sverige har dataskyddsdirektivet genomförts genom personupp- giftslagen (1998:204) och ett antal andra författningar som kom- pletterar personuppgiftslagen eller innehåller särreglering i för- hållande till personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 oktober 1998 och ersatte den tidigare gällande datalagen (1973:289).

Personuppgiftslagen är till skillnad från datalagen teknikobero- ende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling av personuppgifter omfattas av personuppgiftslagen, inklusive behand- ling av sådana personuppgifter som framgår av bild eller ljud. En personuppgift är enligt 3 § all slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet.

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks i samband med att deras person- uppgifter behandlas (1 §). Tillämpningsområdet har dock begrän- sats genom en rad bestämmelser. Personuppgiftslagen är för det första subsidiär i förhållande till annan lagstiftning (2 §), vilket innebär att om det i en annan lag eller i en förordning finns bestäm- melser som avviker från personuppgiftslagen, ska de andra bestäm- melserna gälla. Personuppgiftslagen omfattar inte heller sådan be- handling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges att person- uppgiftslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga

145

Kort om gällande rätt

SOU 2017:66

om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undan- tag från tillämpning av personuppgiftslagen som tar sikte på arki- vering av handlingar (8 § andra stycket).

Personuppgiftslagen innehåller generella regler och omfattar så- väl myndigheter som enskilda. Även verksamheter som faller utan- för unionsrättens område omfattas. Det förutsattes vid lagens till- komst att behov av undantag och preciseringar för speciella områ- den skulle tillgodoses genom särskild lagstiftning.3

3.3.2Hanteringsregler

Personuppgiftslagen ställer inte något krav på tillstånd för in- rättande och förande av personregister eller annan behandling av personuppgifter. I stället innehåller lagen en rad hanteringsregler för behandling av personuppgifter. Regleringen omfattar all an- vändning av personuppgifter oavsett syfte, omfattning och art och oavsett om hanteringen kan betecknas som harmlös eller känslig från integritetssynpunkt. Paragraferna beskriver hur personupp- gifter ska hanteras från det att de samlas in till dess att de utplånas.

Hanteringsreglerna omfattar bl.a. vissa grundläggande krav på behandlingen av personuppgifter, förutsättningar för när behand- ling över huvud taget är tillåten, förutsättningar för att få behandla känsliga personuppgifter, uppgifter om lagöverträdelser och per- sonnummer samt krav på information till den registrerade.

De grundläggande kraven gäller för all strukturerad behandling av personuppgifter (9 §). Personuppgifter ska behandlas på ett korrekt sätt, i enlighet med god sed och bara om det är lagligt. Insamling av personuppgifter får ske enbart för särskilda, uttryck- ligt angivna och berättigade ändamål och de insamlade personupp- gifterna får inte senare behandlas för något ändamål som är ofören- ligt med det ändamål för vilket de samlades in (finalitetsprincipen). Personuppgifter ska vara adekvata och relevanta i förhållande till ändamålet och behandlingen får inte avse fler personuppgifter än

3 Prop. 1997/98:44 s. 40 f.

146

SOU 2017:66

Kort om gällande rätt

vad som är nödvändigt. Uppgifterna ska också vara riktiga och, om det är nödvändigt, aktuella.

I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Personuppgifter får behandlas med samtycke eller om be- handlingen är nödvändig för något av ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller för att åtgärder som den registrerade be- gärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldig- het, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten med stöd av en intresseavvägning.

Känsliga personuppgifter får som huvudregel inte behandlas (13 §). Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller person- uppgifter som rör hälsa eller sexualliv. Vissa undantag görs från för- budet – när den enskilde uttryckligen samtyckt till behandlingen, om behandlingen är nödvändig bl.a. för att skydda vitala intressen hos den registrerade eller någon annan och den registrerade inte kan lämna sitt samtycke, inom hälso- och sjukvården samt för forsk- nings- och statistikändamål (15–19 §§). Enligt personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer medge ytterligare undantag från förbudet att behandla känsliga per- sonuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Enligt 8 § personuppgiftsförordningen (1998:1191) får myndigheter, utöver vad som anges i 15–19 §§ personuppgifts- lagen, behandla känsliga personuppgifter i löpande text om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av det.

Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan-

147

Kort om gällande rätt

SOU 2017:66

den (21 §). Uppgifter om personnummer och samordningsnummer får behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 §).

I personuppgiftslagen finns det bestämmelser som innebär en skyldighet för den personuppgiftsansvarige att självmant lämna viss information om behandlingen av personuppgifter till den registre- rade. Informationen ska omfatta uppgift om den personuppgifts- ansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Det finns vissa undantag från be- stämmelserna om informationsskyldighet. Information behöver t.ex. inte lämnas om sådant som den registrerade redan känner till. Den personuppgiftsansvarige är också skyldig att efter ansökan en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte samt viss information om be- handlingen. (23–27 §§) Enligt 28 § personuppgiftslagen ska den personuppgiftsansvarige på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behand- lats i enlighet med lagen.

Personuppgiftslagen innehåller också vissa bestämmelser om säkerheten vid behandlingen av personuppgifter. Den personupp- giftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgär- der för att skydda de personuppgifter som behandlas. (30–32 §§)

Det är som huvudregel förbjudet att till tredjeland föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Personuppgifts- lagen innehåller dock vissa undantag till detta förbud. (33–35 §§)

Den personuppgiftsansvarige är skyldig att anmäla all behand- ling av personuppgifter till tillsynsmyndigheten. Anmälningsskyl- digheten gäller dock inte om den personuppgiftsansvarige utser ett personuppgiftsombud. (36–37 §§)

148

SOU 2017:66

Kort om gällande rätt

3.3.3Ostrukturerat material

Hanteringsreglerna gäller för behandling av personuppgifter i struk- turerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personupp- gifter i ostrukturerat material som löpande text i ordbehandlings- program, i e-post, på internet eller i enstaka ljud- eller bildupptag- ningar gäller i stället en förenklad reglering av missbruksmodell. Det innebär att sådan behandling av personuppgifter är undantagen från samtliga hanteringsregler i personuppgiftslagen som det har bedömts möjligt att göra undantag från inom ramen för data- skyddsdirektivet. I stället gäller att behandlingen inte får utföras om den innebär en kränkning av den registrerades personliga integritet (5 a §). Särregleringen för behandling av personuppgifter i ostrukturerat material brukar kallas för missbruksregeln.

3.4Registerförfattningar inom Socialdepartementets verksamhetsområde

3.4.1Ett stort antal författningar

Registerförfattningar gäller utöver eller i stället för personuppgifts- lagen. Tanken är att författningarna ska ge berörda personuppgifts- ansvariga ett mer anpassat regelverk när det finns behov av att av- vika från eller komplettera det integritetsskydd som personupp- giftslagen ger.

Den 1 januari 2011 trädde en ny grundlagsbestämmelse, 2 kap. 6 § andra stycket regeringsformen (RF), i kraft. Enligt bestäm- melsen är var och en gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan sam- tycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det stärkta grundlagsskyddet innebär att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag (2 kap. 20 § RF) och under de förutsättningar som anges 2 kap. 21 och 22 §§ RF. Enligt övergångsbestämmel- serna har äldre föreskrifter, som inneburit ett betydande intrång i den personliga integriteten, fortsatt att gälla till och med den 31 december 2015. Fram till dess har också ändringar kunnat göras i dessa föreskrifter.

149

Kort om gällande rätt

SOU 2017:66

Det är inte helt självklart att sådana bestämmelser som finns i registerförfattningar alltid måste anses utgöra sådan reglering som medför ett betydande intrång i den personliga integriteten. Infor- mationshanteringsutredningen (Ju 2011:11) har i sitt betänkande argumenterat för att så inte är fallet.4 I den mån bestämmelserna tillåter ett sådant betydande intrång i den personliga integriteten som avses i grundlagsbestämmelsen, måste dock regleringen ske i lag.

Det kan i sammanhanget noteras att det länge har varit ett ut- talat mål från regering och riksdag att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag, dvs. inte av den generella dataskyddslagstiftningen.5

Behovet av en särskild författningsreglering kan uppstå av olika anledningar. När en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, kan det exempelvis finnas skäl att ge ett uttryckligt stöd i en register- författning. Samma sak gäller när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen. Ibland kan personuppgiftslagens bestämmelser ge upphov till tolkningsproblem, vilket kan ge anled- ning att göra förtydliganden i registerförfattning. Stora och käns- liga uppgiftsmängder kan behöva omgärdas av särskilda begräns- ningar ur ett integritetsperspektiv och ibland kan det finnas anled- ning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.6

Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om behandling av personuppgifter av olika slag. Författningarna skiljer sig åt i fråga om såväl utformning och struktur som syfte. Vissa författningar har som övergripande funktion att utöver personuppgiftslagen sär- reglera behandling av personuppgifter inom vissa särskilda verk- samheter eller myndigheter. Andra författningar avser att reglera register som ska/får föras och som ska/kan ha ett visst innehåll. Det finns också författningar vars främsta syfte inte är att reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör behandling

4SOU 2015:39 s. 185 ff.

5Se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och prop. 1997/98:44 s. 41.

6För en beskrivning och kartläggning av registerförfattningar, se betänkandet Myndighets- datalagen, SOU 2015:39 s. 71–72 och 83 ff.

150

SOU 2017:66

Kort om gällande rätt

av personuppgifter och i den delen utgör särreglering i förhållande till personuppgiftslagen. Vidare finns författningar som reglerar upp- giftsskyldigheter.

3.4.2Lagstiftning som reglerar en verksamhet

Sådana författningar som i förhållande till personuppgiftslagen sär- reglerar behandling av personuppgifter inom vissa verksamheter eller myndigheter utgörs vanligtvis av lagar som kompletteras av förordningar med mer detaljerade bestämmelser. Det finns dock även fristående förordningar som har samma syfte.

Författningarna är ofta uppbyggda på liknande sätt och inne- håller bestämmelser om tillämpningsområde, förhållandet till person- uppgiftslagen, personuppgiftsansvar, primära ändamål för myndig- hetens egen användning av personuppgifter och sekundära ändamål för utlämnande av personuppgifter till externa mottagare, vilka per- sonuppgifter som får behandlas, sökbegrepp, behörighetsbegräns- ningar, direktåtkomst och annat elektroniskt utlämnande, bevar- ande och gallring samt frågor om rättelse, skadestånd och överkla- gande. Alla författningar innehåller dock inte alla typer av bestämmel- ser utan författningarnas omfattning och detaljeringsgrad varierar.

Inom Socialdepartementets verksamhetsområde finns flera för- fattningar som reglerar behandling av personuppgifter inom en viss verksamhet. I samtliga dessa författningar anges att personupp- giftslagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till denna. I några av författningarna anges också i förtydligande syfte att även annan lagstiftning kan gälla före personuppgiftslagen. I fråga om rättelse och skadestånd hänvisas genomgående till personuppgiftslagens bestämmelser. Vissa författningar, t.ex. 114 kap. socialförsäkrings- balken, gäller bara för myndigheter, medan andra, t.ex. patient- datalagen (2008:355), gäller både för myndigheter och enskilda.

I kapitel 10 går utredningen igenom de författningar som regle- rar behandling av personuppgifter inom en viss verksamhet inom Socialdepartementets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Uppräkningen omfattar även några författningar som endast innehåller enstaka bestämmelser om behandling av personuppgifter som på olika sätt anknyter till någon

151

Kort om gällande rätt

SOU 2017:66

av de författningar som reglerar behandling av personuppgifter inom en viss verksamhet. Det rör sig om förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m., förordningen (2008:363) om provtagning för hivinfektion, 112 kap. socialförsäkringsbalken och lagen (2010:111) om införande av socialförsäkringsbalken.

Förordningen (1985:796) med vissa bemyndiganden för Social- styrelsen att meddela föreskrifter m.m.

Lagen (2001:454) om behandling av personuppgifter inom social- tjänsten och den anknytande förordningen (2001:637) om be- handling av personuppgifter inom socialtjänsten

Patientdatalagen (2008:355) och den anknytande patientdata- förordningen (2008:360)

Förordningen (2008:363) om provtagning för hivinfektion

Apoteksdatalagen (2009:367) och den anknytande apoteksdata- förordningen (2009:624)

Förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av sta- tistik över kommunalt vårdnadsbidrag

112 kap. socialförsäkringsbalken (2010:110)

114 kap. socialförsäkringsbalken (2010:110) och den anknytande förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Lag (2010:111) om införande av socialförsäkringsbalken

Förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel och den anknytande förordningen (2016:533) om behandling av personuppgifter i ärenden om licens för läkemedel

152

SOU 2017:66

Kort om gällande rätt

Den föreslagna lagen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen (SOU 2014:67)

3.4.3Lagstiftning som reglerar ett register eller en informationssamling

Flera av myndigheterna under Socialdepartementet administrerar register som innehåller stora mängder personuppgifter om många personer. Några exempel är Socialstyrelsen som ansvarar för de olika hälsodataregistren, E-hälsomyndigheten som för ett register över förskrivningar av läkemedel och andra varor för människor (recept- register) och Folkhälsomyndigheten som för register över natio- nella vaccinationsprogram. De författningar som specifikt reglerar behandlingen av personuppgifter i dessa och liknande register har ett tydligt fokus på dataskyddsreglering. Författningarna anger av- vikande eller mer preciserade bestämmelser i förhållande till person- uppgiftslagen och på så sätt framgår det tydligt vad myndigheten ska eller får göra vid förandet av ett register.

Det är vanligt att det i författningarna finns bestämmelser om förhållandet till personuppgiftslagen, betydelsen av den registrerades inställning till behandlingen, personuppgiftsansvar, registrets ända- mål, personuppgifter som får behandlas, sökbegränsningar, direkt- åtkomst, utlämnande på medium för automatiserad behandling, uppgiftsskyldigheter, information som ska lämnas, behörighets- tilldelning, gallring, rättelse och skadestånd.

Av majoriteten av författningarna framgår att personuppgifts- lagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till författningen. I övriga författningar anges inte förhållandet till personuppgiftslagen. I de fall frågan om rättelse och skadestånd har tagits upp, hänvisas genom- gående till personuppgiftslagens bestämmelser. I samtliga författ- ningar anges en myndighet vara personuppgiftsanvarig för registret.

I kapitel 11 går utredningen igenom de författningar som reglerar ett visst register eller en informationssamling inom Socialdeparte- mentets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Förordningen (1992:62) om bevarande av

153

Kort om gällande rätt

SOU 2017:66

registret rörande vissa alkoholbrott m.m. skiljer sig från övriga författningar genom att enbart reglera frågan om bevarande.

Förordningen (1992:62) om bevarande av registret rörande vissa alkoholbrott m.m.

Lagen (1996:1156) om receptregister och den anknytande för- ordningen (2009:625) om receptregister

Lagen (1998:543) om hälsodataregister och följande anknytande förordningar:

Förordningen (2001:707) om patientregister hos Social- styrelsen

Förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen

Förordningen (2001:709) om cancerregister hos Socialstyrelsen

Förordningen (2005:363) om läkemedelsregister hos Social- styrelsen

Förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården

Förordningen (2008:194) om tandhälsoregister hos Social- styrelsen

Förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län

Lagen (2005:258) om läkemedelsförteckning och den anknytande förordningen (2009:626) om läkemedelsförteckning

Förordningen (2006:196) om register över hälso- och sjukvårds- personal

Lagen (2012:453) om register över nationella vaccinationsprogram

3.4.4Lagstiftning som bland annat reglerar behandling av personuppgifter

Utöver de mer traditionella registerförfattningarna finns många författningar vars främsta syfte inte är att reglera förandet av ett visst register eller annan behandling av personuppgifter men i an-

154

SOU 2017:66

Kort om gällande rätt

slutning till annan verksamhetsreglering också anger vad som gäller i fråga om viss behandling av personuppgifter.

Inom Socialdepartementets verksamhetsområde finns några olika kategorier av författningar som delvis innehåller reglering av behandling av personuppgifter. Det finns några författningar på socialtjänstområdet, som bl. a. innehåller bestämmelser om gallring av personuppgifter. Ett antal författningar som avser hantering av humanbiologiskt material reglerar även vad som gäller ur ett person- uppgiftsperspektiv. Några lagar specificerar vad som gäller i fråga om överföring av personuppgifter till tredjeland medan det i andra lagar finns bestämmelser om register som ska föras. Vissa författ- ningar innehåller bestämmelser om att uppgifter som ska lämnas ut ska eller får överföras elektroniskt. Det finns också exempel på bestämmelser om automatiserade beslut och undantag från för- budet att behandla känsliga personuppgifter. Vissa av de person- uppgiftsrelaterade bestämmelserna riktar sig enbart till myndig- heter, t.ex. bestämmelserna förordningen (2013:413) om kosmetiska produkter, medan andra gäller både för myndigheter och enskilda, t.ex. socialtjänstlagen (2001:453), lagen (2006:496) om blodsäker- het och lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Tobakslagens bestäm- melser riktar sig enbart till enskilda.

I kapitel 12 går utredningen igenom de författningar inom Social- departementets verksamhetsområde vars främsta syfte inte är att reglera behandling av personuppgifter men som ändå innehåller sådana bestämmelser. Nedan följer en uppräkning (i kronologisk ordning) av dessa författningar.

Förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter

Lagen (1991:1047) om sjuklön

Lagen (1993:387) om stöd och service till vissa funktionshindrade och den anknytande förordningen (1993:1090) om stöd och ser- vice till vissa funktionshindrade

Tobakslagen (1993:581)

Bostadsbidragsförordningen (1993:739)

Förordningen (1996:1036) om underhållsstöd

155

Kort om gällande rätt

SOU 2017:66

Förordningen (1998:562) med vissa bemyndiganden för Försäk- ringskassan

Förordningen (1998:1340) om inkomstgrundad ålderspension

Socialtjänstlagen (2001:453) och den anknytande socialtjänst- förordningen (2001:937)

Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och den anknytande förordningen (2002:746) om biobanker i hälso- och sjukvården m.m.

Lagen (2006:351) om genetisk integritet m.m.

Lagen (2006:496) om blodsäkerhet och den anknytande förord- ningen (2006:497) om blodsäkerhet

Lagen (2006:1570) om skydd mot internationella hot mot män- niskors hälsa

Förordningen (2008:193) om statligt tandvårdsstöd

Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga vävnader och celler och den anknytande för- ordningen (2008:414) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

Lagen (2009:366) om handel med läkemedel och den ankny- tande förordningen (2009:659) om handel med läkemedel

Förordningen (2010:425) om ersättning för kostnader för sjuk- lön

Patientsäkerhetslagen (2010:659) och den anknytande patient- säkerhetsförordningen (2010:1369)

Alkohollagen (2010:1622)

Lagen (2012:263) om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga organ och den anknytande förordningen (2012:346) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

Förordningen (2013:413) om kosmetiska produkter

Läkemedelslagen (2015:315) och den anknytande läkemedels- förordningen (2015:458)

156

SOU 2017:66

Kort om gällande rätt

3.4.5Lagstiftning som reglerar uppgiftsskyldigheter

Det finns inom Socialdepartementets verksamhetsområde ett antal författningar som föreskriver olika uppgiftsskyldigheter. Uppgifts- skyldigheterna härrör från myndigheternas stora behov av att ut- byta och inhämta uppgifter från såväl andra myndigheter som en- skilda.

I kapitel 13 tar utredningen upp författningar som innehåller uppgiftsskyldigheter men som i övrigt inte reglerar någon behand- ling av personuppgifter. Författningar som även innehåller bestäm- melser om hur personuppgifter ska lämnas ut – t.ex. automatiserat eller via direktåtkomst – är sådan lagstiftning som avses i kap. 10–12.

157

4 Dataskyddsförordningen

4.1Inledning

Den 27 april 2016 antogs Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen. Data- skyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivi- sera skyddet för personuppgifter för att förbättra den inre markna- dens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen baseras till stor del på dataskydds- direktivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, men både förutsätter och möjliggör kompletterande nationella be- stämmelser av olika slag.

I det följande redogörs det först för skillnaderna mellan en EU- förordning och ett EU-direktiv och sedan för bestämmelserna i dataskyddsförordningen.

159

Dataskyddsförordningen

SOU 2017:66

4.2Skillnaden mellan en EU-förordning och ett EU-direktiv

Det ordinarie lagstiftningsförfarandet inom EU går till på så sätt att Europaparlamentet och rådet på förslag av kommissionen gemensamt antar en EU-förordning, ett EU-direktiv eller ett beslut (artikel 289 fördraget om Europeiska unionen, EU-fördraget).

Enligt principen om EU-rättens företräde ska EU-rätt tillämpas framför svensk lag om olika rättsakter strider mot varandra. Princi- pen om företräde för EU-rätten framgår av en förklaring (nr 17) som fogats till Lissabonfördragets slutakt, undertecknad den 13 december 2007. I förklaringen erinras om att fördragen och den rätt som antas av EU på grundval av fördragen har företräde fram- för nationell rätt på de villkor som fastställts i enlighet med EU- domstolens praxis. Den praxis som avses är huvudsakligen dom av den 15 juli 1964, Costa 6/64, EU:C:1964:66, i vilket en fördrags- artikel erkändes företräde gentemot nationell lag samt dom av den 17 december 1970, Internationale Handelsgesellschaft 11/70, EU:C:1970:114, där företrädesprincipen utvecklades till att med- föra att alla former av EU-rättsakter, även de allra lägsta, står över alla former av nationell lag. I dom av den 9 mars 1978, Simmenthal 106/77, EU:C:1978:49 utvecklades principen om företräde ytterli- gare på så sätt att EU-domstolen uttalade att fördragsbestämmel- serna inte bara medför att varje motstridande föreskrift i den be- fintliga nationella lagstiftningen blir automatiskt otillämplig i och med att EU-rätten träder i kraft, utan att de även hindrar att nya nationella författningar antas med giltig verkan till den del de är oförenliga med EU-rätten.

En EU-förordning är bindande och direkt tillämplig i alla med- lemsländer från och med det datum då den träder i kraft (artikel 288 andra stycket EU-fördraget). Det innebär att medlemsstaten inte behöver vidta några författningsåtgärder för att EU-förordningens regler ska ha allmän giltighet på statens territorium. Dessutom strider alla nationella genomförandebestämmelser som innebär ett hinder mot EU-förordningens direkta effekt, t.ex. genom att i nationell lagstiftning upprepa bara vissa bestämmelser i EU-förordningen eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt, mot fördraget, se dom av den 7 februari 1973, kommissionen mot

160

SOU 2017:66

Dataskyddsförordningen

Italien 39/72, EU:C:1973:13, punkt 17, och dom av den 2 februari 1977, Amsterdam Bulb 50/76, EU:C:1977:13, punkt 7.

EU-direktiven har en annan karaktär än EU-förordningarna. De riktar sig till medlemsstaterna och alltså inte till enskilda. Ett EU- direktiv föreskriver ett resultat som ska uppnås inom ramen för medlemsstaternas nationella lagstiftning. Form och tillvägagångs- sätt för genomförandet är dock upp till medlemsstaterna att be- stämma (artikel 288 tredje stycket EU-fördraget). Till skillnad från EU-förordningarna måste alltså EU-direktiven genomföras i natio- nell lagstiftning.

Om ett EU-direktiv innehåller s.k. minimibestämmelser, måste medlemsstaterna se till att minimiskyddet uppfylls, men det är också tillåtet att i nationell lagstiftning ha ett mer utsträckt skydd. Är det inte fråga om ett sådant minimidirektiv, får medlemsstaterna införa varken strängare eller mildare bestämmelser än vad som följer av EU-direktivet. Bestämmelserna i EU-direktivet kan dock i sig med- ge ett visst utrymme för nationella skillnader.

I anslutning till ett nytt EU-direktiv föreskrivs en tidsgräns inom vilken EU-direktivet ska vara helt genomfört av medlems- länderna. Detta kan ske genom nya nationella regler, ändring av be- fintliga regler eller genom att befintliga regler som överensstämmer med direktivet fortsätter att gälla.

4.3Dataskyddsförordningens innehåll

4.3.1Materiell och territoriell avgränsning

Dataskyddsförordningen är – precis som dataskyddsdirektivet – tillämplig på helt eller delvis automatiserad behandling av person- uppgifter och på manuell behandling av personuppgifter, om upp- gifterna ingår i eller kommer att ingå i ett register. Vissa behand- lingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet. Det rör sig om behandling som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och nationell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet (artikel 2).

161

Dataskyddsförordningen

SOU 2017:66

Behandlingar av personuppgifter som utförs inom brotts- bekämpande verksamhet omfattas i stället av ett särskilt EU-direk- tiv, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behö- riga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straff- rättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat det nya dataskyddsdirektivet. Det nya dataskyddsdirektivet ska genom- föras i nationell lagstiftning senast den 6 maj 2018.

För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de be- handlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3).

4.3.2Definitioner

Dataskyddsförordningen innehåller i artikel 4 en rad definitioner av olika begrepp som används i dataskyddsförordningen. Här anges några av definitionerna.

Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person (kallad registrerad). Som identifika- torer anges förutom namn, identifikationsnummer, lokaliserings- uppgift eller onlineidentifikatorer även en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, gene- tiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Behandling (av personuppgifter) är en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av per- sonuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utläm- ning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller för- störing.

Profilering är varje form av automatisk behandling av person- uppgifter som består i att dessa personuppgifter används för att

162

SOU 2017:66

Dataskyddsförordningen

bedöma vissa personliga egenskaper hos en fysisk person, i synner- het för att analysera eller förutsäga denna fysiska persons arbets- prestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Register är en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centra- liserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensam eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter. Om ändamålen och medlen för behand- lingen lagts fast i medlemsstaternas nationella rätt, får den natio- nella rätten också peka ut vem som är personuppgiftsansvarig.

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar person- uppgifter för den personuppgiftsansvariges räkning.

Samtycke är varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Personuppgiftsincident är en säkerhetsincident som leder till oav- siktlig eller olaglig förstöring, förlust eller ändring eller till obehö- rigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Genetiska uppgifter är alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

Biometriska uppgifter är personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansikts- bilder eller fingeravtrycksuppgifter.

Uppgifter om hälsa är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

163

Dataskyddsförordningen

SOU 2017:66

4.3.3Grundläggande principer

För all behandling av personuppgifter enligt dataskyddsförordningen gäller samma övergripande principer som enligt dataskyddsdirekti- vet (artikel 5). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga upp- gifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Personuppgifter kan dock under vissa förutsättningar lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt in- tresse, vetenskapliga eller historiska forskningsändamål eller statiska ändamål.

Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som strider mot det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering. (Artikel 5.1 b och 6.4) Av skäl 50 till dataskyddsförordningen fram- går att vid sådan vidarebehandling som inte hindras av finalitets- principen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.

4.3.4Laglig behandling av personuppgifter

För att en behandling av personuppgifter över huvud taget ska vara tillåten, krävs på samma sätt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor måste vara uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutli-

164

SOU 2017:66

Dataskyddsförordningen

gen behandlas med stöd av en intresseavvägning. En nyhet är dock att behandling av personuppgifter som utförs av offentliga myndig- heter när de fullgör sina uppgifter inte får ske med stöd av en intresseavvägning.

Om behandling av personuppgifter ska ske med stöd av sam- tycke från den registrerade, krävs att samtycket är frivilligt. Det ska också vara tydligt vad samtycket avser och det ska ha föregåtts av information från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom kon- kludent handlande och kan när som helst tas tillbaka. (Artikel 7)

Grunden för sådan behandling av personuppgifter som är nöd- vändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (arti- kel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3). Det innebär att det inte – till skillnad från vad som tidigare gällt enligt dataskyddsdirektivet och personuppgiftslagen – kommer att vara möjligt att endast stödja sig på den generella regleringen i data- skyddsförordningen vid sådan behandling. Dataskyddsutredningen har analyserat om det med anledning av detta krav behöver införas generella nationella bestämmelser till stöd för åtminstone den offent- liga sektorns behandling av personuppgifter. Enligt Dataskydds- utredningens bedömning innebär kravet på att grunden för behand- lingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Däremot är förekomsten av reglering avgörande för i vilken utsträckning per- sonuppgiftsansvariga kan behandla personuppgifter på den grunden att det är nödvändigt för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten ut- gör således ett villkor som måste vara uppfyllt för att de rättsliga grunder som anges artikel 6.1 c och e ska vara tillämpliga. Förplik- telser och arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning som inte är rättsligt förankrade i enlighet med unionsrätten eller i medlemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.1

1 SOU 2017:39 s. 108–113.

165

Dataskyddsförordningen

SOU 2017:66

Ytterligare ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i den rättsliga grunden. I fråga om be- handling enligt artikel 6.1 e gäller i stället att syftet med behand- lingen ska vara nödvändigt för att utföra en arbetsuppgift av all- mänt intresse eller som ett led i myndighetsutövning.

Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt in- tresse eller som ett led i myndighetsutövning (artikel 6.2). I arti- kel 6.3 anges dessutom att den rättsliga grunden kan innehålla sär- skilda bestämmelser för att anpassa tillämpningen av dataskydds- förordningen. Denna möjlighet ger utrymme för s.k. registerlagstift- ning för bl.a. myndigheter.

4.3.5Känsliga personuppgifter och uppgifter om lagöverträdelser

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse eller medlemskap i fackförening, genetiska uppgifter, bio- metriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Av dessa kategorier av uppgif- ter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till dataskyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas känsliga person- uppgifter.

Från huvudregeln att känsliga personuppgifter inte får behand- las finns flera undantag angivna (artikel 9.2). Känsliga personupp- gifter kan t.ex. behandlas med stöd av samtycke eller för att upp- gifterna på ett tydligt sätt har offentliggjorts av den registrerade. De kan också behandlas för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal. Samma sak

166

SOU 2017:66

Dataskyddsförordningen

gäller på områdena social trygghet och socialt skydd, vilket är nytt i förhållande till dataskyddsdirektivet. Behandling av känsliga per- sonuppgifter är vidare tillåten om den är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ett annat undantag avser behand- ling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksam- het. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina med- lemmar. Om behandlingen sker på grundval av EU-rätten eller medlemsstaternas nationella rätt, kan känsliga personuppgifter också behandlas i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnads- plikt, av hänsyn till ett viktigt allmänt intresse, av skäl av allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt in- tresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål. Villkoret att nödvändig behandling av känsliga person- uppgifter inom hälso- och sjukvård ska ske på grundval av EU-rätt eller nationell lagstiftning är nytt i förhållande till dataskydds- direktivet. Det har inte heller, såsom dataskyddsdirektivet tolkats i Sverige, tidigare funnits något krav på att känsliga personuppgifter inom hälso- och sjukvården ska behandlas under ansvar av någon som omfattas av tystnadsplikt. Vidare har undantagen för allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt in- tresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål inte tidigare uttryckligen framgått av dataskydds- direktivet.

Medlemsstaterna har möjlighet att komplettera dataskyddsför- ordningen med ytterligare villkor, även begränsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).

Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning. Till skillnad från vad som gäller enligt dataskyddsdirektivet om- fattas inte friande brottmålsdomar av denna begränsning. Det finns inte heller någon reglering avseende administrativa frihetsberövan- den. (Artikel 10)

167

Dataskyddsförordningen

SOU 2017:66

4.3.6Den registrerades rättigheter

Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige. Informationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur person- uppgifterna kommer att användas. Information som den registre- rade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver infor- mation inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. (Artikel 12–14)

Den informationsskyldighet som framgår av dataskyddsförord- ningen är betydligt mer omfattande än den som föreskrivs i data- skyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a. att om den personuppgiftsansvarige avser att behandla person- uppgifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig rele- vant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett sam- tycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet, att informationen ska lämnas vid tiden för registreringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kom- munikationen med den registrerade. (Artikel 13 och 14)

Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, be- griplig och lättillgänglig.

Den registrerade kan också begära registerutdrag med informa- tion om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få fel-

168

SOU 2017:66

Dataskyddsförordningen

aktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering eller rätten att bli bortglömd följer av artikel 17 och är betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirekti- vet. Det finns vissa undantag till bestämmelsen. Bland annat gäller den inte för behandling som sker med stöd av grunderna i arti- kel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt in- tresse eller som ett led i myndighetsutövning). Det finns också undantag för bl.a. arkivändamål.

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottag- are (artikel 19).

Personuppgifter som den registrerade tillhandahållit den per- sonuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, allmänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till dataskyddsdirektivet. Om den registrerade invänder mot behand- ling av personuppgifter får den personuppgiftsansvarige inte längre behandla uppgifterna, såvida denne inte kan påvisa tvingande be- rättigade skäl för behandlingen som väger tyngre än den registrera- des intressen, rättigheter och friheter eller om det sker för fastställ- ande, utövande eller försvar av rättsliga anspråk. Om personuppgif- ter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behandling av hans eller hennes personuppgifter. Detta gäller om

169

Dataskyddsförordningen

SOU 2017:66

inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. (Artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestämmelser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.

En ytterligare rättighet för den registrerade är att slippa bli före- mål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt EU-rätt eller nationell rätt som också fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och be- rättigade intressen eller om beslutet grundar sig på den registrera- des uttryckliga samtycke.

Dataskyddsförordningen lämnar ett förhållandevis stort hand- lingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom be- stämmelser i sin lagstiftning begränsa omfattningen av de skyldig- heter och rättigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokra- tiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. nationell säkerhet, förebyggande, förhindrande, utredning, avslöj- ande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagregle- rade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller sta- tistiska ändamål, får det i EU-rätten eller i medlemsstaternas natio- nella rätt föreskrivas om undantag från vissa av den registrerades

170

SOU 2017:66

Dataskyddsförordningen

rättigheter. Det rör sig om rätten till registerutdrag, rättelse, be- gränsning av behandling och invändning mot behandling. Undan- tag får göras om det krävs för att uppnå ändamålet med behand- lingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begräns- ningar av behandling som skett. (Artikel 89)

4.3.7Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter

Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fast- ställa sina respektive ansvarsområden om dessa inte fastställs genom rättslig reglering (artikel 26).

Om den personuppgiftsansvarige anlitar ett personuppgifts- biträde, ska hanteringen regleras genom avtal eller motsvarande rätts- akt. Personuppgiftsbiträdet får endast behandla personuppgifter på instruktion från den personuppgiftsansvarige, såvida en skyldighet att behandla uppgifter inte framgår av EU-rätten eller nationell rätt. (Artikel 28 och 29)

Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lär inte behöva uppfylla definitionen i artikel 4, men registret ska innehålla kontakt- uppgifter, upplysning om ändamål med behandlingen, en beskriv- ning av kategorier av registrerade och kategorier av personuppgif- ter, upplysning om eventuella mottagare av uppgifterna, eventuell överföring till tredjeland, tidsfrister för radering och en allmän be- skrivning av tekniska och organisatoriska säkerhetsåtgärder. Det är följaktligen inte längre dataskyddsombudets arbetsuppgift att upp- rätta en förteckning över behandlingar (jämför artikel 39 och person- uppgiftsombudets tidigare uppgifter enligt artikel 18 i dataskydds- direktivet).

171

Dataskyddsförordningen

SOU 2017:66

Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säker- ställa en säkerhetsnivå som är lämplig i förhållande till eventuella risker (artikel 32). Detta innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förutsättning att EU-rätten eller nationell rätt inte ålägger personen att behandla uppgifterna.

En nyhet i dataskyddsförordningen är att personuppgiftsinci- denter inom 72 timmar ska anmälas till tillsynsmyndigheten. Den personuppgiftsansvarige är också skyldig att dokumentera alla person- uppgiftsincidenter. (Artikel 33) Även den registrerade ska i vissa fall få information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 34).

För att minska risker med behandling av personuppgifter inne- håller dataskyddsförordningen dessutom bestämmelser om konse- kvensbedömningar och förhandssamråd med tillsynsmyndigheten, som ska tillämpas om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35 och 36).

4.3.8Dataskyddsombud

Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, måste enligt dataskyddsförordningen utnämna dataskyddsombud (artikel 37). Kravet på att ha ett data- skyddsombud omfattar i vissa fall även andra personuppgiftsansva- riga och personuppgiftsbiträden. Ett dataskyddsombud ska i dessa fall utnämnas om en kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska också utnämnas om en kärn- verksamhet består av behandling i stor omfattning av känsliga person- uppgifter och uppgifter om lagöverträdelser. Att det i vissa fall krävs att ett dataskyddsombud utses är en nyhet.

Ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra arbetsuppgif- terna. Arbetsuppgifterna ska utföras självständigt, utan instruktioner

172

SOU 2017:66

Dataskyddsförordningen

från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Som en följd av detta ska dataskyddsombudet också, när det gäller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfi- dentialitet. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Rapporter- ingen ska ske direkt till den högsta förvaltningsnivån. (Artikel 38)

Dataskyddsombudet ska informera och ge råd till berörda samt övervaka efterlevnaden av dataskyddsbestämmelser. Dataskydds- ombudet ska också samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet. (Artikel 39)

4.3.9Överföring av personuppgifter till tredjeland

Personuppgifter får överföras till tredjeland eller en internationell organisation endast under vissa förutsättningar. En sådan förut- sättning är om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå (artikel 45). I avsaknad av ett beslut från kommissionen får personuppgifter överföras till tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder vidtagits och på vill- kor att lagstadgade rättigheter för registrerade och effektiva rätts- medel för registrerade finns tillgängliga (artikel 46). Därutöver anges i dataskyddsförordningen ett antal förhållanden som kan grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49).

4.3.10Tillsynsmyndigheter

Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillämpningen av dataskyddsförordningen (artikel 51). Tillsyns- myndigheten och dess ledamöter ska vara oberoende (artikel 52–54) och behörigheten att utföra uppgifter ska vara begränsad till vad som framgår av dataskyddsförordningen (artikel 55–57). I form av utredningsbefogenheter kan tillsynsmyndigheten bl.a. kräva infor- mation som behövs för att myndigheten ska kunna fullgöra sina uppgifter, genomföra undersökningar och få tillgång till lokaler.

173

Dataskyddsförordningen

SOU 2017:66

Tillsynmyndigheten har också korrigerande befogenheter som bl.a. består av att utfärda varningar, reprimander, förelägganden, införa förbud mot behandling och påföra administrativa sanktionsavgifter. Dessutom kan tillsynsmyndigheter utfärda tillstånd och ge råd (artikel 58).

Tillsynsmyndigheter ska samarbeta med varandra, utbyta rele- vant information och ge varandra bistånd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).

4.3.11När uppgifter behandlas

i strid med dataskyddsförordningen

En registrerad som anser att behandling av personuppgifter avse- ende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad från vad som tidigare varit möjligt enligt dataskydds- direktivet – kunna lämna klagomål till tillsynsmyndigheten och få ett överklagbart beslut (artikel 77 och 78). Den registrerade ska också kunna väcka talan i domstol mot den personuppgiftsansva- rige eller personuppgiftsbiträdet (artikel 79).

Den som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till skadestånd (artikel 82). Ett skadeståndsanspråk kan, i likhet med vad som gäller enligt dataskyddsdirektivet, riktas mot den personuppgifts- ansvarige. Under vissa förutsättningar kan dock skadeståndsanspråk begäras även av ett personuppgiftsbiträde, vilket är nytt i för- hållande till vad som gällt tidigare.

Tillsynsmyndigheten ska enligt en annan nyhet i dataskydds- förordningen kunna påföra s.k. administrativa sanktionsavgifter (artikel 83). Två olika kategorier av överträdelser – uppdelade ut- ifrån bestämmelser som föreskriver rättigheter och skyldigheter – föranleder två olika maxbelopp (artikel 83.4 och 83.5). Medlems- staterna får själva bestämma i vilken utsträckning myndigheter ska kunna påföras administrativa sanktionsavgifter.

Medlemsstaterna ska vidare fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträ- delser som inte är föremål för administrativa sanktionsavgifter (artikel 84).

174

SOU 2017:66

Dataskyddsförordningen

4.3.12Konkurrens med andra rättigheter

Medlemsstaterna ska i lag förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska med- lemsstaterna fastställa undantag eller avvikelser från stora delar av dataskyddsförordningen om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2).

Personuppgifter i allmänna handlingar får lämnas ut av myndig- heter i enlighet med nationell rätt (artikel 86).

4.3.13Övrigt

Hur ett nationellt identifikationsnummer (personnummer) får be- handlas, får medlemsstaterna själva bestämma med beaktande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen (artikel 87).

För behandling av personuppgifter i anställningsförhållanden, får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av anställdas rättigheter och fri- heter (artikel 88).

Dataskyddsförordningen innehåller också bl.a. bestämmelser om uppförandekoder och certifiering (artikel 40–43) och om till- synsmyndigheternas respektive Europeiska dataskyddsstyrelsens ställning, arbetsuppgifter och samarbete sinsemellan (artikel 51–76).

175

5 Pågående översynsarbete

5.1Dataskyddsutredningen

Dataskyddsutredningen1 har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.2 I maj 2017 överläm- nade utredningen betänkandet ”Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning”3, som bl.a. innehåller förslag till en ny lag – dataskyddslagen – med anknytande förordning som ska ersätta personuppgiftslagen och personuppgiftsförord- ningen. I uppdraget har inte ingått att se över någon sektorsspecifik reglering om behandling av personuppgifter och inte heller att analysera eller beskriva vilka förändringar som dataskyddsförord- ningen i sig innebär.

Dataskyddslagen föreslås i tillämpliga delar, utöver dataskydds- förordningens tillämpningsområde, även gälla behandling av person- uppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av EU:s gemen- samma utrikes- och säkerhetspolitik. Lagen förslås vara subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestäm- melserna om tryck- och yttrandefrihet. Ett undantag från vissa av dataskyddsförordningens bestämmelser föreslås dessutom gälla för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Den föreslagna dataskyddslagen innehåller bestämmelser som förtydligar hur rättsliga förpliktelser och arbetsuppgifter av allmänt

1Ju 2016:04.

2Dir. 2016:15.

3SOU 2017:39.

177

Pågående översynsarbete

SOU 2017:66

intresse eller som ett led i myndighetsutövning fastställs i enlighet med svensk rätt.

Eftersom vissa undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter förutsätter stöd i nationell rätt, föreslås dataskyddslagen innehålla sådant stöd när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Därutöver föreslås ett undantag för viss be- handling av känsliga personuppgifter hos myndigheter. Stödet för behandling av känsliga personuppgifter föreslås förenas med olika restriktioner. För att andra än myndigheter ska få behandla person- uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, föreslås ett krav på uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Uppgifter om person- nummer eller samordningsnummer föreslås även fortsättningsvis få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Personuppgifter som behandlas enbart för arkivändamål av all- mänt intresse eller statistiska ändamål får enligt Dataskyddsutred- ningens förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen rörande statistik- uppgifter gäller, till skillnad från vad som gäller i fråga om arkive- rade uppgifter, även för myndigheter.

Dataskyddslagen föreslås inte innehålla någon straff- eller vites- bestämmelse, men den administrativa sanktionsavgift som tillsyns- myndigheten enligt dataskyddsförordningen kan ta ut av ett före- tag eller andra enskilda som bryter mot dataskyddsregleringen, före- slås också kunna tas ut av en myndighet. Datainspektionen föreslås vara tillsynsmyndighet. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen föreslås gälla vid tillsyn över efterlevnaden av bestämmelserna i alla författningar som kompletterar dataskydds- förordningen.

Rätten till skadestånd enligt dataskyddsförordningen föreslås, utöver vid överträdelser av dataskyddsförordningens bestämmelser, gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.

178

SOU 2017:66

Pågående översynsarbete

Dataskyddslagen föreslås också innehålla bl.a. vissa begränsningar i fråga om rätten till information och registerutdrag, bestämmelser om Datainspektionens klagomålshantering, bestämmelser om över- klagande och en tystnadsplikt för dataskyddsombud inom den pri- vata sektorn.

Dataskyddslagen föreslås träda i kraft den 25 maj 2018. Person- uppgiftslagen är dock tänkt att även fortsättningsvis gälla i den utsträckning som det i en annan lag eller förordning finns bestäm- melser som innehåller hänvisningar till den lagen. Äldre föreskrifter föreslås också fortfarande gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet, för överkla- gande av beslut som har meddelats med stöd av äldre föreskrifter, för överträdelser som har skett före ikraftträdandet och i fråga om skadestånd för skada som har orsakats före ikraftträdandet.

5.2Utredningen om 2016 års dataskyddsdirektiv

Utredningen om 2016 års dataskyddsdirektiv4 har till uppdrag5 att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt och har i april 2017 lämnat ett delbetänkande med förslag till en brottsdatalag.6

Brottsdatalagen är tänkt att tillämpas vid behandling av person- uppgifter som utförs av myndigheter som har till uppgift att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen ska också gälla för behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet. Myndigheter som har sådana arbets- uppgifter betecknas behöriga myndigheter. Det som blir avgörande för om lagen är tillämplig är alltså dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med be- handlingen. Dataskyddsförordningen är inte tillämplig på sådan behandling av personuppgifter som omfattas av brottsdatalagen. Alla myndigheter som kommer att tillämpa brottsdatalagen kommer även att tillämpa dataskyddsförordningen i de delar av verksamheten som inte omfattas av brottsdatalagens tillämpningsområde. Brotts-

4Ju 2016:06.

5Dir. 2016:21.

6SOU 2017:29.

179

Pågående översynsarbete

SOU 2017:66

datalagen föreslås vara generellt tillämplig – men subsidiär – inom sitt tillämpningsområde. Registerförfattningar som omfattar samma tillämpningsområde kommer att gälla utöver brottsdatalagen.

Personuppgifter föreslås få behandlas med stöd av den rättsliga grunden att behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Personupp- gifter föreslås också få behandlas om behandlingen krävs för diarie- föring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Känsliga personuppgifter rörande en viss person föreslås få be- handlas om uppgifter om personen redan behandlas och det är absolut nödvändigt för ändamålet med behandlingen. Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter föreslås dock få behandlas enbart om det är särskilt föreskrivet. Sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska vara förbjudna. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslås en särskild sekretessregel som innebär att absolut sekretess gäller för uppgifter i sådana sammanställningar.

Brottsdatalagen föreslås också innehålla bestämmelser om bl.a. definitioner, grundläggande krav på behandling, längsta tid för be- handling, automatiserade beslut, personuppgiftsansvarigas skyldig- heter i fråga om bl.a. säkerhet och anmälan om personuppgifts- incidenter, enskildas rättigheter i form av bl.a. information och rättelse, tillsynsmyndighetens befogenheter, administrativa sank- tionsavgifter, skadestånd, rättsmedel och överföring till tredjeland.

Brottsdatalagen föreslås träda i kraft den 1 maj 2018.

5.3Övrigt översynsarbete med anledning av dataskyddsförordningen

Utöver de utredningar som nämnts ovan har ytterligare ett antal olika utredningar haft i uppdrag – och vissa arbetar fortfarande med

– att anpassa svensk rätt till EU:s dataskyddsreform. Det rör sig bl.a. om Utredningen om kameraövervakning – brottsbekämpning

180

SOU 2017:66

Pågående översynsarbete

och integritetsskydd7, Utredningen om dataskydd vid Rättsmedicinal- verket8, Utbildningsdatautredningen9, Forskningsdatautredningen10 och Utredningen om regleringen av biobanker11.

Det bedrivs dessutom ett omfattande arbete internt inom Reger- ingskansliet med att anpassa författningar till dataskyddsförord- ningen.

5.4Förslaget till myndighetsdatalag

Regeringen gav i oktober 2011 en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen – de sektors- eller myndighets- specifika lagar och förordningar som kompletterar personuppgifts- lagen och innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Utredningen, som antog namnet Informationshanteringsutredningen, lämnade sitt slut- betänkande i april 2015 (SOU 2015:39), dvs. innan man inom EU kom överens om dataskyddsförordningen.

Uppdraget hade sin bakgrund i att det i olika sammanhang framförts kritik mot registerlagstiftningen för att vara ett svåröver- blickbart och splittrat rättsområde med bristande enhetlighet i fråga om struktur och normtekniska lösningar. Lagstiftningen ansågs till viss del inte heller vara tillräckligt anpassad till annan lagstiftning av central betydelse för myndigheternas informationshantering, så- som tryckfrihetsförordningens bestämmelser om allmänna hand- lingar och offentlighets- och sekretesslagen (2009:400).

Informationshanteringsutredningen har inte gjort några om- prövningar av tidigare avvägningar mellan effektivitetssträvanden och skyddet för enskildas personliga integritet utan har fokuserat på att förtydliga gällande rätt genom att föreslå en ny lag – myndig- hetsdatalagen. Den föreslagna lagen liknar befintliga registerförfatt- ningar men innehåller bestämmelser som är tänkta att gälla gene- rellt för alla statliga och kommunala myndigheters behandling av personuppgifter, frånsett den brottsbekämpande sektorn.

7Ju 2015:14, tilläggsdir. 2016:54, SOU 2017:55.

8Ju 2016:18, dir. 2016:75.

9U 2016:03, dir. 2016:63, SOU 2017:49.

10U 2016:04, dir. 2016:65, delbetänkande SOU 2017:50.

11S 2016:04, dir. 2016:41, delbetänkande SOU 2017:40.

181

Pågående översynsarbete

SOU 2017:66

Den föreslagna lagen är utformad som en renodlad generell dataskyddsreglering som bara tar sikte på frågor om skydd för person- uppgifter som uppstår i myndigheternas elektroniska informations- hantering. Behov av sektors- eller myndighetsspecifika särregler, som har sin grund i speciella omständigheter som rör just den aktuella myndigheten eller verksamheten, bedöms kunna tas in i en kompletterande förordning. Lagen ska även kunna kompletteras med bilagor. På detta sätt är det tänkt att skapa ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållan- den som kan regleras generellt och förhållanden där fortsatta sär- regler behöver finnas. Informationshanteringsutredningen utesluter dock inte att det i vissa fall kan bedömas vara mer lämpligt med särreglering i separat författning som gäller utöver den nya lagen.

182

GENERELLA ÖVERVÄGANDEN

6 Allmänna utgångspunkter

6.1Behandling som i dag är laglig

ska kunna fortsätta men författningsstöd för annat bör inte införas nu

Utredningens bedömning: Utgångspunkten bör vara att be- handling av personuppgifter som i dag är laglig ska kunna fort- sätta. Författningsstöd för behandling av personuppgifter som inte är laglig i dag bör inte införas nu.

Avvägningar och bedömningar som redan gjorts bör godtas och inte göras om.

Utredningsuppdraget är omfattande och utredningstiden kort. Det gör att det inte är möjligt att på alla de olika områden som upp- draget omfattar göra ingående avvägningar mellan integritetsskyd- det och andra intressen. Det i sin tur innebär att utredningen i stor utsträckning måste stödja sig på de avvägningar som redan gjorts.

Datainspektionens expert i utredningen har framfört i huvudsak följande. Utredningen bör göra en kartläggning av nuläget avseende sådan behandling av personuppgifter som sker i verksamheter som omfattas av de författningar som ingår i utredningens översyn. Kart- läggningen bör avse bl.a. teknisk utveckling, digitalisering, nya sam- arbetsformer och det ökade antalet aktörer inom exempelvis hälso- och sjukvården och socialtjänsten. Resultatet av kartläggningen kan sedan utgöra underlag för en ny konsekvensbedömning där en analys av om utvecklingen lett till nya risker för den personliga integrite- ten kan ingå. Regleringen bör sedan anpassas efter en analys av hur dessa eventuella nya risker kan minimeras. En fördel med detta till- vägagångssätt skulle vara att utredningens bedömningar kan utgöra en del av den konsekvensbedömning den personuppgiftsansvarige i

185

Allmänna utgångspunkter

SOU 2017:66

vissa fall är skyldig att göra enligt artikel 35 i dataskyddsförord- ningen.

Utredningen är medveten om att det har skett en viss utveck- ling, bl.a. på det tekniska området, sedan flertalet av författningarna tillkom och instämmer i att det inom i vart fall vissa områden hade varit bra med en sådan översyn som förespråkas. Utredningstiden medger dock inte en så omfattande översyn. Det kan inte heller anses ingå i utredningens uppdrag att göra andra anpassningar av författningarna än sådana som föranleds av dataskyddsförordningen. Tidigare gjorda avvägningar måste därför vara utgångspunkten för utredningens bedömningar.

Dessa avvägningar har, när det gäller områden som täcks av registerförfattningar, gjorts efter ingående analyser av respektive område och med mindre tidspress än vad utredningen är utsatt för. Avvägningarna har också varit föremål för remiss- och riksdags- behandling och, oftast, granskning av Lagrådet.

Även på de områden som inte täcks av en registerförfattning kan det sägas att det redan har gjorts en tyst avvägning som innebär att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga för verksamheten och inte för långtgående för integritetsskyddet. I vissa fall finns det också utredningsförslag som inte (ännu) har genomförts, t.ex. SOU 2014:67 om behandling av personuppgifter inom verksam- heten för Inspektionen för socialförsäkringen, som nämns i utred- ningsdirektiven, och SOU 2007:48 och SOU 2015:84, båda om för- fattningsreglering av donationsregistret.

Det är inte några ofullkomligheter i lagstiftningen, eller ifråga- satta integritetskränkningar, som har föranlett utredningsuppdraget utan enbart den kommande nya EU-regleringen av behandling av personuppgifter. En utgångspunkt enligt utredningsdirektiven är också att de befintliga förutsättningarna för en ändamålsenlig be- handling inte ska försämras.

Av dessa skäl anser utredningen att en utgångspunkt vid över- synen bör vara att behandling som, enligt utredningens bedömning, i dag är laglig ska kunna fortsätta. Det innebär att översynen av respektive område i första hand inriktas på att undersöka om data- skyddsförordningen innebär att något som i dag är lagligt inte kommer att kunna ske med befintlig författningsreglering. Om så är fallet, blir nästa steg att undersöka om dataskyddsförordningen

186

SOU 2017:66

Allmänna utgångspunkter

medger att det finns ett nationellt författningsstöd för det som är lagligt i dag och, om det är så, utforma förslag till ett sådant för- fattningsstöd som helst ska utformas enhetligt i förhållande till andra registerförfattningar.

Redan av utredningsdirektiven framgår att den korta utred- ningstiden gör att möjligheterna att utreda och föreslå materiella ändringar är begränsade. Utredningen anser därför att en utgångs- punkt vid översynen bör vara att lämpligheten av att införa författ- ningsstöd för mera eller annat än det som enligt utredningens bedömning är lagligt i dag inte ska utredas. Översynen ska alltså begränsas till att analysera vilket författningsstöd som kan behövas