sou 2018 36

Till statsrådet

Helene Hellmark Knutsson

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att bl.a. föreslå kompletterande reglering av behandling av personuppgifter för forskningsändamål med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).

Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg. Sist i detta missiv finns en förteckning över utredningens sekreterare, experter och sakkunniga.

Regeringen har beslutat tre tilläggsdirektiv till utredningen (dir. 2017:29, 2017:61 och 2017:87) med ytterligare uppdrag. Utred- ningstiden för uppdraget har förlängts till den 25 maj 2018.

Utredningen har antagit namnet Forskningsdatautredningen. Utredningen redovisade delar av sitt uppdrag i delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) till regeringen i maj 2017. De uppdrag som lämnades i tilläggsdirektiv 2017:29 och 2017:87 redovisades separat den 9 november 2017 i promemorian Personuppgiftsbehandling i forskningsbibliotekens verk- samhet (Komm2017/01529/U 2016:04, bilaga 5).

Utredningen överlämnar nu slutbetänkandet Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Utred- ningens uppdrag är härmed slutfört.

Stockholm i juni 2018

Cecilia Magnusson Sjöberg

/Maria Jacobsson

Staffan Malmgren

Margareta Sandén

Magnus Stenbeck

Utredningens experter, sakkunniga och sekreterare

Experter
Johan Askling, professor	2016-10-10
Anna Bennet Bark, enhetschef	2016-10-10
Robert Erikson, professor	2016-10-15
Ulrika Harnesk, jurist	2016-10-10
Peter Höglund, professor	2016-10-10
Anna Hörnlund, chefsjurist	2016-10-10
Jonas Jeppson, verksjurist	2016-10-10
Petra Otterblad, avdelningschef	2016-10-10
Jerker Rydén, verksjurist	2017-05-15
Maria Wästfelt, enhetschef	2017-03-01
Sakkunniga
Thomas Neidenmark,	2017-03-23
departementssekreterare
Linda Stridsberg, ämnesråd	2017-08-01
Olle Sundberg, kansliråd	2016-10-10
Maria Wästfelt, kansliråd	2016-10-10 – 2017-02-28
Tyri Öhman, kansliråd	2016-10-10
Sekreterare
Cecilia Arrgård, numera	2017-09-01 – 2018-04-30
chefsjurist
Tommy Fraenkel,	2017-06-03 – 2017-08-08
kammarrättsassessor
Staffan Malmgren, jurist	2016-09-01
Maria Jacobsson, jurist	2017-08-01
(huvudsekreterare)
Margareta Sandén,	2017-08-17
hovrättsassessor
Magnus Stenbeck, docent	2016-09-26
Linda Stridsberg, numera	2016-09-01 – 2017-07-31
ämnesråd (huvudsekreterare)

Sammanfattning

Inledning

För att vårt samhälle ska utvecklas och för att vi ska kunna lösa olika problem behöver vi forskning. Vi behöver forskare och forsknings- huvudmän inom olika ämnesområden som tar fram resultat som går att använda till vårt gemensamma bästa.

Sverige har en världsledande ställning vad gäller statistik om levnads- förhållanden och hälsa. På grund av våra individbaserade register finns det goda möjligheter till framgångsrik forskning baserad på dessa. Detta gör vårt land attraktivt även för forskare i andra länder. För att fullt ut kunna dra nytta av våra unika förutsättningar behövs ett mer effektivt utnyttjande av befintliga register och databaser.

Regeringen har i våra direktiv1 anfört att det behövs bättre förut- sättningar för registerbaserad forskning och givit oss i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser.

Utöver detta uppdrag har vi i denna del av utredningens arbete också haft i uppdrag att analysera

•om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister,

•vilken rättslig reglering av ett nationellt biobanksregister som behövs,

•vilken rättslig reglering som behövs för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden till Luxembourg Income Study (LIS),

•om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning, och

1Kommittédirektiv Personuppgiftsbehandling för forskningsändamål, dir. 2016:65.

Sammanfattning

SOU 2018:36

•vilka rättsliga förutsättningar som finns i EU:s dataskyddsförord- ning2 för behandling av personuppgifter hos Kungliga biblioteket och andra forskningsbibliotek.

Det sistnämnda uppdraget redovisade vi i en promemoria till Utbild- ningsdepartementet hösten 2017 (bilaga 5).

Vårt delbetänkande

I delbetänkandet Personuppgiftsbehandling för forskningsändamål3 analyserade vi vilken reglering av behandling av personuppgifter för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen ska börja tillämpas den 25 maj 2018.

Vi identifierade i samband med det arbetet ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehand- ling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. I delbetänkandet föreslog vi därför en forsknings- datalag som skulle vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Vi kom även till slutsatsen att prövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) utgör en sådan lämplig och särskild skyddsåtgärd som krävs för att personuppgiftsbehandling för forskningsändamål av känsliga person- uppgifter eller personuppgifter om lagöverträdelser m.m. ska vara tillåten.

Vi konstaterade vidare att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Den fullständiga etikprövningen bör enligt vår mening begränsas till de person- uppgiftsbehandlingar som formellt sett kräver ett dylikt omfattande skydd. Dagens krav på etikprövning omfattar även sådan person- uppgiftsbehandling som generellt sett kan betraktas som mindre riskfylld för den enskilde, men som ändå är i behov av lämplig skydds- åtgärd. Att tillämpa samma etikprövningsförfarande på all slags personuppgiftsbehandling som etikprövningslagen omfattar är mot

2Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

3Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017: 50).

SOU 2018:36

Sammanfattning

denna bakgrund inte rimligt och proportionerligt. Om förfarandet inte kan anpassas utifrån skyddsbehovet, riskerar det dessutom att urholka förtroendet för etikprövning som skyddsåtgärd. Mot bak- grund av begränsningarna i vårt uppdrag och våra ramar i övrigt föreslog vi att ett differentierat etikprövningsförfarande borde utredas vidare i särskild form.

Vår ansats

En forskningsdatabas är en databas (uppgiftssamling) med person- uppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.

Den tid under vilken en forskningsdatabas finns i en forsknings- huvudmans verksamhet – databasens livscykel – kan delas in i olika stadier. Vissa aktiviteter i forskningsdatabasen pågår löpande, medan andra är starkare knutna till en viss period. Livscykelperspektivet kan användas till att analysera vilka aktiviteter som behöver regleras för att åstadkomma en säker behandling av personuppgifter i databasen. Vi beskriver forskningsdatabasens livscykel i följande fem steg.

1.Skapandet av en forskningsdatabas.

2.Insamlingen av personuppgifter.

3.Förvaltningen av forskningsdatabasen.

4.Användningen av forskningsdatabasen.

5.Avvecklingen av en forskningsdatabas.

En reglering som bara omfattar ett fåtal centralt utpekade forsk- ningsfält och ett mindre antal forskningshuvudmän skulle enligt vår bedömning inte vara tillräcklig för att tillgodose en säker hantering av personuppgifter i forskningsdatabaser. Vi föreslår därför en generell reglering som omfattar så många databaser som möjligt. I praktiken existerar dessutom redan en hel mängd olika sorters forsknings- databaser hos flera olika typer av forskningshuvudmän.

Vi finner att principen om forskningens frihet innebär att initia- tivet till att skapa en forskningsdatabas bör komma från forsknings-

Sammanfattning

SOU 2018:36

huvudmännen och inte från regeringen. Vi menar att det är i forsk- ningsverksamheten som behoven av uppgiftssamlingar bäst kan identi- fieras och formuleras. Vårt förslag till en långsiktig reglering utgår således ifrån att det är forskningshuvudmännen som ska bedöma vilka forskningsdatabaser som behövs.

I enlighet med vårt uppdrag ska den reglering vi föreslår – utöver att uppfylla forskningens behov – också infatta ett gott skydd för den personliga integriteten. Vi menar att det föreligger ett gott integritets- skydd när denna rättighet står i balans med andra grundläggande rättigheter och legitima samhällsintressen. Vi föreslår därför en reglering som möjliggör en ändamålsenlig och säker behandling av personuppgifter i forskningsdatabaser. Regleringen uppfyller både forskningens behov och innefattar ett gott skydd för den personliga integriteten.

En långsiktig reglering av forskningsdatabaser

Vi föreslår att behandlingen av personuppgifter i en forskningsdatabas ska regleras i en särskild lag, lagen om forskningsdatabaser (forsk- ningsdatabaslagen). Lagen reglerar bl.a. vilka forskningshuvudmän som ska få ansvara för forskningsdatabaser och vilka skyddsåtgärder som krävs för att en forskningsdatabas ska vara rättsenlig.

Såväl de statliga högskolorna och universiteten som de privata läro- sätena som omfattas av offentlighetsprincipen samt har examensrätt, ska enligt vårt förslag få behandla personuppgifter i forsknings- databaser. Även andra myndigheter än sådana som bedriver under- visning ska få ansvara för forskningsdatabaser, om forskning ingår i deras uppdrag. Det ska gälla både statliga och kommunala myndig- heter.

En grundläggande skyddsåtgärd som vi föreslår är att en forsk- ningsdatabas måste godkännas enligt etikprövningslagen. Vid etik- prövningen ska t.ex. forskningsdatabasens vetenskapliga värde vägas mot de risker den kan medföra för forskningspersoners hälsa, säker- het och personliga integritet. Dessutom föreslår vi att all forskning som ska använda uppgifter i en forskningsdatabas ska vara etikgod- känd. Vi föreslår ändringar i etikprövningslagen som möjliggör dessa skyddsåtgärder.

SOU 2018:36

Sammanfattning

En annan viktig skyddsåtgärd som vi föreslår är en ny bestämmelse om forskningssekretess i offentlighets- och sekretesslagen (2009:400) och en motsvarande bestämmelse om tystnadsplikt hos privata forsk- ningshuvudmän i forskningsdatabaslagen. Uppgifterna i en forsk- ningsdatabas liksom i de forskningsprojekt som använder dessa upp- gifter kommer därför att omfattas av antingen forskningssekretess eller tystnadsplikt.

Dessutom ställer forskningsdatabaslagen krav på organisatoriska skyddsåtgärder. Sådana krav följer också direkt av dataskyddsförord- ningen. Vi specificerar dessa ytterligare genom att kräva att forsk- ningshuvudmannen ska ha en verksamhetschef som ska ha det verk- ställande ansvaret för en forskningsdatabas. Det ska därtill finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Vidare ska verksamheten hos forskningshuvudmannen omfattas av ett risk- baserat informationssäkerhetsarbete.

I forskningsdatabaslagen finns det krav på tekniska skyddsåtgär- der. Forskningshuvudmannen ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forsk- ningsdatabas. Forskningshuvudmannen ska även kontrollera att åtkomsten används på rätt sätt.

Behandlingen av personuppgifter i en forskningsdatabas kommer på samma sätt som annan personuppgiftsbehandling att omfattas av Datainspektionens4 tillsyn. Utöver att en forskningsdatabas kommer att vara föremål för tillsyn, föreslår vi att Vetenskapsrådet ska få i uppgift att följa upp forskningsdatabaser som skapas med stöd av den nya lagen. Vi anser att regeringen måste hållas informerad om vilken effekt lagen får för hantering av personuppgifter i forskningsdata- baser. Därtill föreslår vi att Vetenskapsrådet ska få i uppgift att initiera och stödja arbetet med att upprätta en uppförandekod för behandling av personuppgifter i forskningsdatabaser.

Ytterligare en viktig skyddsåtgärd som vi föreslår är att ge forsk- ningspersonerna möjlighet till insyn i hur de egna uppgifterna hante- ras i forskningsdatabasen. En forskningshuvudman ska få medge den

4I ett pressmeddelande den 15 december 2017 informerar regeringen att den kommer att tillföra Datainspektionen 30 miljoner kronor för att stärka arbetet med den personliga integriteten. Myndigheten föreslås också att byta namn till Integritetsskyddsmyndigheten. Dessutom ska myndighetens uppdrag ändras så att dess stödjande och rådgivande roll blir tydligare.

Sammanfattning

SOU 2018:36

enskilde att få direktåtkomst till sina egna direkt identifierbara upp- gifter.

De förslag som vi lämnar kommer sammantaget att omfatta ett paket av skyddsåtgärder för den personliga integriteten. Utöver de krav som gäller enligt dataskyddsregleringen5 kommer person- uppgifterna i en forskningsdatabas att skyddas av bl.a.:

•begränsning av vilka forskningshuvudmän som får ansvara för en forskningsdatabas,

•forskningshuvudmannens personuppgiftsansvar,

•villkor för skapandet av en forskningsdatabas,

•krav på etikprövning av forskningsdatabasen,

•krav på etikprövning av de forskningsprojekt som ska använda personuppgifterna,

•sekretess och tystnadsplikt,

•inre sekretess,

•organisatoriska åtgärder,

•tekniska åtgärder,

•uppförandekoder

•krav på finansiering av forskningsdatabasen, samt

•uppföljning.

Rättspsykiatriska forskningsregistret

I några fall finns redan särskilda lagar för att möjliggöra forsknings- databaser. En sådan är lagen (1999:353) om rättspsykiatriskt forsk- ningsregister (nedan kallad registerlagen).

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för det rättspsykiatriska forskningsregistret. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rätts- psykiatrin, om forskningen och behandlingen har godkänts enligt

5Dataskyddsförordningen och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

SOU 2018:36

Sammanfattning

etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring inom rättspsykiatrin.

I en rapport6 till regeringen har RMV framhållit att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anled- ningen till det är att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade uppgifter som får registreras i registret. Enligt vad vi har inhämtat har registret inte underhållits sedan 2005.

Vi bedömer att det inte finns något långsiktigt behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och föreslår därför att registerlagen ska upphävas.

Ett nationellt biobanksregister

Vårt uppdrag har varit att göra en vidare beredning av det förslag till ett centralt register för spårbarhet till vävnadsprover i landets bio- banker som Registerforskningsutredningen7 lämnade.

Registerforskningsutredningen föreslog att Svenska biobanks- registret skulle göras om till ett nationellt system för registrering av biobanksprover (Nationella biobanksregistret) med Socialstyrelsen som huvudman och personuppgiftsansvarig.

Utredningen om reglering av biobanker8 har parallellt med vår utredning haft i uppgift att utreda vissa aspekter av ett nationellt register för spårbarhet av vävnadsprover. Denna utredning föreslog att ett nationellt biobanksregister ska inrättas för forskningens behov, samtidigt som det Svenska biobanksregistret ska finnas kvar. Det senare registret ska tillgodose hälso- och sjukvårdens behov av spårbarhet av prover som tagits i samband med vård och behandling. Uppgifterna ska göras tillgängliga för vårdgivare och nås genom direktåtkomst i system för sammanhållen journalföring enligt 6 kap. patientdatalagen (2008:355).9 Socialstyrelsen föreslås vara huvudman och personuppgiftsansvarig för ett nationellt biobanksregister över prover tagna för forskningsändamål.

6Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju 2013/08833/Å).

7Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45).

8Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4).

9Med ”direktåtkomst” avses här samma begrepp som i 6 kap. patientdatalagen.

Sammanfattning

SOU 2018:36

Vi ansluter oss i huvudsak till Utredningens om regleringen av biobanker förslag om ett nationellt register för spårbarhet av prover i biobanker, som ska få användas för forskning, kvalitetssäkring och framställning av statistik.

Utredningen om regleringen av biobanker gjorde bedömningen att uppgifterna i det nationella biobanksregistret kommer att omfattas av statistiksekretess. För att tillförsäkra uppgifterna i registret ett god- tagbart skydd föreslår vi i stället en särskild sekretessbestämmelse som avser uppgifter om enskild i ett nationellt biobanksregister. Sekretessen ska gälla såvida det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (omvänt skaderekvisit). Sekretess kommer alltså att vara huvudregeln för dessa uppgifter. Det är samma nivå på sekretesskyddet som gäller för dessa uppgifter när de hanteras i hälso- och sjukvården.

Forskningsdatabaser i Europa

Vi har i uppdrag att analysera vilken rättslig reglering som behövs för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till europeiska databasen Luxemburg Income Study (LIS) samt att lämna nödvändiga författningsförslag.

Det är dock inte enbart LIS som är av intresse för vårt uppdrag att möjliggöra behandling av personuppgifter i forskningsdatabaser. Inom EU finns fler exempel på forskningssamarbeten där Sverige deltar tillsammans med andra länder.

Vi föreslår en sekretessbrytande bestämmelse som inte enbart ska vara tillämplig på LIS, utan på alla forskningsdatabaser som drivs av forskningshuvudmän som omfattas av dataskyddsförordningen. Under vissa förutsättningar ska en uppgift för vilken sekretess gäller få röjas för en forskningshuvudman utanför Sverige, som omfattas av dataskyddsförordningen. Om uppgiften i motsvarande fall skulle få lämnas ut till en svensk forskningsdatabas, och om forskningshuvud- mannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen samt lagen om forskningsdatabaser, får utlämnande myndighet pröva om uppgifterna kan lämnas ut.

Vi anser att en sådan bestämmelse möjliggör önskvärda forsk- ningssamarbeten inom EU och innefattar ett gott skydd för den

SOU 2018:36

Sammanfattning

personliga integriteten. Skyddet av uppgifterna måste uppfylla de krav på säkerhet vid behandling av personuppgifter som ställs i dataskydds- förordningen. Under dessa förutsättningar kan även syftet med förordningen uppfyllas, nämligen att skydda fysiska personer med avseende på behandling av personuppgifter samtidigt som det fria flödet av uppgifter inom unionen inte begränsas.

Det kommer inte att vara en helt lätt uppgift för en svensk myndighet att avgöra om en forskningsdatabas inom EU uppfyller de villkor som krävs för att uppgifterna ska få röjas. Myndigheterna kommer att behöva information om hur den mottagande forsknings- databasen behandlar personuppgifter och om vilka skyddsregler som tillämpas. Vi finner att det är lämpligt att en myndighet, t.ex. Veten- skapsrådet, får i uppdrag av regeringen att bistå myndigheterna med sådan information. Den myndighet som får detta uppdrag bör sam- råda med Datainspektionen.

Behandling av uppgifter om avlidna i forskning

Vi har undersökt vilket skydd för uppgifter om avlidna i forskningens som det finns i dag och om det finns något behov av att öka det.

Vi bedömer att befintlig lagstiftning tillsammans med vårt förslag om forskningssekretess och tystnadsplikt utgör ett tillräckligt skydd för uppgifter om avlidna. Vid denna bedömning har vi även beaktat att skyddet för efterlevande indirekt skyddar även den avlidne. Vi anser att det inte ska införas något ytterligare skydd för uppgifter om avlidna.

Summary

Introduction

If our society is to develop and if we are to be able to solve various problems, we need research. We need research and research organisations in various disciplinary areas that produce results that can be used for our common good.

Sweden has a world-leading position in terms of statistics about living conditions and health. Our individual-based registers provide good possibilities of successful research based on them. This means our country is also attractive for researchers in other countries. More effective use of existing registers and databases is needed to be able to benefit fully from our unique situation.

The Government stated in our terms of reference1 that better conditions are needed for register-based research and tasked us with proposing long-term regulation of research databases.

In addition to this remit, we have also had, in this part of the inquiry, the remit of analysing:

•whether there is a long-term need for special regulation of a forensic psychiatry research register;

•what regulation is needed of a national biobank register;

•what legal regulation is needed to enable Statistics Sweden (SCB) to release information about the income situation of individuals to the Luxembourg Income Study (LIS);

•whether stronger protection is needed for data about deceased persons in forensic research; and

1Processing of personal data for research purposes, terms of reference 2016:65.

Summary

SOU 2018:36

•what legal possibilities the EU’s General Data Protection Regulation2 provides for the processing of personal data by the National Library of Sweden and other research libraries.

The final part of our remit was reported to the Ministry of Education and Research in a memorandum in autumn 2017 (annex 5).

Our interim report

In our interim report Processing of personal data for research purposes3 we analysed what regulation of the processing of personal data for research purposes is possible and may be required on account of that the Data Protection Regulation will be applicable as from 25 May 2018.

In connection with that work we defined a need to pass a research data act with the purpose of enabling the processing of personal data for research purposes while protecting the rights and freedoms of the individual. In our interim report we therefore proposed a research data act that would be applicable to all processing of personal data for research purposes irrespective of the legal basis.

We also reached the conclusion that an examination under the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) constitutes such a suitable and specific safeguard that is required for personal data processing for research purposes of sensitive personal data or personal data concer- ning criminal offences, etc. to be permitted.

In addition, we found that there is reason to further investigate the need for changes to the ethical review procedure. In our view, the full ethical review should be limited to processing of personal data that formally requires extensive protection of that kind. Current ethical review requirements also cover processing of personal data that can generally be regarded as less of a risk for the individual, but that still requires a suitable safeguard. Against this background it is not reasonable and proportionate to apply the same ethical review proce- dure to all kinds of processing of personal data covered by the Ethical

2Regulation of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), called the Data Protection Regulation in the following.

3Interim report of the Research Data Inquiry, Personuppgiftsbehandling för forsknings- ändamål (Processing of personal data for research purposes) (SOU 2017: 50).

SOU 2018:36

Summary

Review Act. If the procedure cannot be geared to the need for protection, this also risks eroding confidence in ethical review as a safe- guard. In the light of the restrictions on our mandate and the rest of the framework for our work, we proposed that a differentiated ethical review procedure should be investigated further in a separate form.

Our approach

A research database is a collection of personal data that has been collected from individuals or from other sources and which is a national resource that supplies data for several different research projects.

The time during which a research database is in existence in the activities of a research organisation – the lifecycle of the database – can be divided into different stages. Some activities in the research database run continuously, while others have a stronger link to a certain period. The lifecycle perspective can be used to analyse what activities need to be regulated in order to achieve secure processing of personal data in the database. We describe the lifecycle of a research database in the following five stages:

1.Creation of a research database

2.Collection of personal data

3.Administration of the research database

4.Use of the research database

5.Closure of the research database

In our assessment, regulation that only covers a few fields of research, identified centrally, and a small number of research organisations would not be sufficient to provide for safe handling of personal data in research databases. We therefore propose general regulation covering as many databases as possible. In practice there are also already a large quantity of different kinds of research databases in several different types of research organisations.

We conclude that the principle of the freedom of research means that the initiative to create a research database should come from research organisations and not from the Government. In our view, the

Summary

SOU 2018:36

needs for collections of data can best be identified and formulated in research activities. Our proposal for long-term regulation therefore assumes that it is research organisations that will assess what research databases are needed.

According to our remit, the regulation we propose also has to include good protection for personal privacy – in addition to meeting the needs of research. In our view, there is good protection of privacy when this right is in balance with other fundamental rights and legitimate public interests. We therefore propose suitable and secure regulation of research databases that both meets the needs of research and includes good protection of personal privacy.

Long-term regulation of research databases

We propose regulating the processing of personal data in a research database in a separate act, the act on research databases. This act regulates what research organisations will be allowed to be responsible for research databases and what safeguards are required for a research database to be compliant with the law.

Under our proposal, both state higher education institutions and universities and the private higher education institutions that are covered by the principle of public access to information and have a right to award qualifications will be allowed to process personal data in research databases. Public authorities other than those that conduct education will be allowed to be responsible for research databases if their mission includes research. This applies to both central and local government authorities.

One fundamental safeguard that we propose is that a research database must be approved under the Ethical Review Act. In this process, the scientific value of the research database must be assessed and weighed in relation to its potential risks with respect to the health, security and privacy of the included research subjects. In addition, we propose that all research that will use data in a research database will have to have ethical approval. We propose amendments to the Ethical Review Act that make these safeguards possible.

Another important safeguard that we propose is a new provision on research secrecy in the Public Access to Information and Secrecy Act (2009:400) and a corresponding provision on an obligation to

SOU 2018:36

Summary

observe professional secrecy at private research organisations in the research databases act. The data in a research database as well as the research projects that use these data will therefore be covered by either research secrecy or an obligation to observe secrecy.

In addition, the research databases act makes requirements concerning organisational safeguards. Such requirements also follow directly from the Data Protection Regulation. We specify them in more detail by requiring principal research organisations to have a head of operations with operational responsibility for a research database. There also has to be an organisational unit that is responsible for the security and privacy protection in the research database. In addition, the activities of the principal research organisation have to include risk-based information security work.

The research databases act contains requirements concerning technical safeguards. The research organisation has to determine conditions for the allocation of authorisation for electronic access to personal data in a research database. The research organisation also has to check that access is used in the right way.

The processing of personal data in a research database will come under the supervision of the Swedish Data Protection Authority in the same way as other processing of personal data. In addition to a research database being subject to supervision, we propose giving the Swedish Research Council the task of monitoring databases created under the new act. We consider that legislators must be kept informed about the effect of the act on the handling of personal data in research databases. Moreover, we propose giving the Swedish Research Council the task of initiating and supporting work to draft a code of conduct for the processing of personal data in research databases.

A further important safeguard we propose is to give research subjects the possibility of insight into how their own data are handled in the research database. A research organisation will be able to grant the individual direct access to their own directly identifiable data.

Taken together, the proposals we present will make up a package of safeguards for personal privacy. In addition to the requirements that apply under the regulation of data protection4, personal data in a research database will be protected by, for example:

4The Data Protection Regulation and the Data Protection Act proposed by the Government in Govt Bill Ny dataskyddslag (New Data Protection Act), Govt Bill 2017/18:105.

Summary

SOU 2018:36

•limitation of which research organisations are allowed to be responsible for a research database;

•the research organisation’s responsibility for personal data;

•conditions for the creation of a research database;

•requirement of ethical review of the research database;

•requirement of ethical review of the research projects that are to use the personal data;

•secrecy and obligation to observe secrecy;

•internal secrecy;

•organisational measures;

•technical measures;

•codes of conduct;

•requirements concerning financing of the research database; and

•monitoring.

Forensic psychiatry research register

In certain cases special laws already make research databases possible. One such law is the Act on Forensic Psychiatry Research Register (1999:353) (called the Register Act below).

The National Board of Forensic Medicine is the controller of personal data for the forensic psychiatry research register. The register may be used for two purposes: first, processing of personal data for research in forensic psychiatry, if the research and processing has been approved under the Ethical Review Act and, second, for monitoring, evaluation and quality assurance in forensic psychiatry by the Board.

In a report5 to the Government the Board has pointed out that the Register Act does not provide adequate support for research in forensic psychiatry. This is because current issues in forensic

5New statutory support for the National Board of Forensic Medicine’s personal data etc. (Ju 2013/08833/Å).

SOU 2018:36

Summary

psychiatry cannot be resolved with the aid of the limited information that is allowed to be registered in the register. According to information we have obtained the register has not been maintained since 2005.

Our assessment is that there is no long-term need for special regulation of a forensic psychiatry research register and we therefore propose the repeal of the Register Act.

A national biobank register

Our remit has been to continue the preparation of the proposal for a central register for traceability of tissue samples in Sweden’s biobanks presented by the Register-based Research Inquiry6.

The Register-based Research Inquiry proposed converting the Swedish Biobank Register into a national system for registration of biobank samples (the National Biobank Register) with the National Board of Health and Welfare as the body responsible and controller of personal data.

In parallel with this Inquiry, the Inquiry on the Regulation of Biobanks7 has been tasked with investigating certain aspects of a national register for traceability of tissue samples. That Inquiry proposed establishing a national biobank register for research needs, while retaining the Swedish Biobank Register. That register would meet healthcare needs of traceability of samples taken in connection with care and treatment. The data would be made available to healthcare providers and be reached by direct access in systems for keeping integrated medical records under Chapter 6 of the Patient Data Act (2008:355).8 The National Board of Health and Welfare is proposed as the body responsible for, and controller of personal data of, a national biobank register of samples taken for research purposes.

We mainly concur with the proposals of the Inquiry on the Regulation of Biobanks for a national register for traceability of samples in biobanks to be used for research, quality assurance and the production of statistics.

6Final report of the Register-based Research Inquiry, Unik kunskap genom registerforskning (Unique knowledge through register-based research) (SOU 2014:45).

7Final report of the Inquiry on the Regulation of Biobanks, Framtidens biobanker (Biobanks of the future) (SOU 2018:4).

8Here “direct access” means the same term as in Chapter 6 of the Patient Data Act.

Summary

SOU 2018:36

The Inquiry on the Regulation of Biobanks made the assessment that the data in the national biobank register will be covered by statistics secrecy. To guarantee acceptable protection for the data in the register, we instead propose a special secrecy provision referring to data about an individual in a national biobank register. This secrecy would apply unless it is clear that the data can be disclosed without damage to the individual or someone close to them (reverse requirement of damage). So secrecy will be the general rule for these data. This is the same secrecy protection as applies to these data when they are handled in healthcare.

Research databases in Europe

We have the remit of analysing what legal regulation is needed to enable Statistics Sweden (SCB) to release information on the income situation of individuals from its registers to the European database called the Luxemburg Income Study (LIS) and to present the necessary legislative proposals.

However, it is not only the LIS that is of interest for our remit of making it possible to process personal data in research databases. In the EU there are several examples of research cooperation in which Sweden is participating along with other countries.

We propose a secrecy override applicable not only to the LIS but also to all research databases operated by research organisations covered by the Data Protection Regulation. This override would mean that, under certain conditions, data that is subject to secrecy may be disclosed to a research organisation outside Sweden that is covered by the Data Protection Regulation. If it would be possible to release the data to Swedish research database in corresponding cases, and if the research organisation is subject to secrecy rules corresponding to those that apply under the Public Access to Information and Secrecy Act and the research databases act, the releasing authority may examine whether the data can be released.

We consider that such a provision enables desirable research cooperation in the EU and includes good protection for personal privacy. The protection for the data would have to meet the requirements concerning security in the processing of personal data set in the Data Protection Regulation. Under these conditions the

SOU 2018:36

Summary

purpose of the Regulation can also be met: i.e. protection of natural persons with regard to the processing of personal data at the same time as the free movement of data in the Union is not restricted.

It will be a demanding task for a Swedish authority to determine whether a research database in the EU meets the conditions set for the disclosure of the data. Authorities will need information about how the receiving research database processes personal data and what safeguards are applied. The Inquiry finds that it is appropriate for a government agency, for example the Swedish Research Council, to be commissioned by the Government to assist authorities with infor- mation of that kind. The agency that is given this commission should consult with the Swedish Data Protection Authority.

Processing of data about deceased persons in research

We have examined the current protection of data about deceased persons in research and whether there is a need to increase it.

Our assessment is that the existing legislation along with our proposal for research secrecy and an obligation to observe secrecy provides sufficient protection for data about deceased persons. In making this assessment we have also taken account of the fact that the protection for survivors also protects the deceased person indirectly. We consider that no further protection should be introduced for data about deceased persons.

1 Författningsförslag

1.1Förslag till lag om forskningsdatabaser

1 kap. Lagens tillämpningsområde m.m.

Innehåll och syfte

1 § Denna lag innehåller bestämmelser om behandling av person- uppgifter i en forskningsdatabas.

I 4 kap. 5 § finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

2 § Syftet med denna lag är att möjliggöra behandling av person- uppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid denna behandling.

Förhållandet till annan lagstiftning

3 § Denna lag kompletterar Europaparlamentet och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direk- tiv 95/46/EG (allmän dataskyddsförordning), nedan kallad data- skyddsförordningen.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Författningsförslag

SOU 2018:36

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter i en forskningsdatabas som avvi- ker från denna lag ska de bestämmelserna gälla.

Definitioner

5 § Med forskningshuvudman avses i denna lag detsamma som i 2 § lagen (2003:460) om etikprövning av forskning som avser män- niskor.

6 § Med forskningsdatabas avses i denna lag en databas (uppgifts- samling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att till- handahålla uppgifter till flera olika forskningsprojekt.

Lagens tillämpningsområde

7 § Denna lag tillämpas vid behandling av personuppgifter som ut- förs inom ramen för verksamhet som bedrivs vid personuppgiftsan- svarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

2 kap. Grundläggande villkor för skapandet av en forskningsdatabas

1 § En forskningshuvudman får vara personuppgiftsansvarig för behandling av personuppgifter i en forskningsdatabas under förut- sättning att forskningshuvudmannen är en

1.statlig myndighet,

2.kommunal myndighet, eller

3.juridisk person eller enskild näringsidkare som bedriver högre utbildning och har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet.

SOU 2018:36

Författningsförslag

2 § Personuppgifter får behandlas i en forskningsdatabas för att

1.skapa underlag för olika forskningsprojekt, och

2.lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.

3 § Personuppgifter får behandlas i en forskningsdatabas under förutsättning att

1.den har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, och

2.forskningshuvudmannen har säkerställt finansieringen av forsk- ningsdatabasen.

4 § En forskningshuvudman ska i ett beslut om att skapa en forsk- ningsdatabas fastställa

1.vilka uppgifter som ska behandlas i forskningsdatabasen, och

2.för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.

3 kap. Organisatoriska åtgärder

1 § Forskningshuvudmannen ska utse en verksamhetschef för forsk- ningsdatabasen.

Verksamhetschefen ska minst en gång per år sammanställa och lämna skriftlig information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.

2 § Det ska hos forskningshuvudmannen finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Den ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i forskningsdatabasen.

Författningsförslag

SOU 2018:36

3 § En forskningshuvudman som behandlar personuppgifter i en forskningsdatabas ska bedriva ett systematiskt och riskbaserat infor- mationssäkerhetsarbete med stöd av ett ledningssystem för infor- mationssäkerhet.

Forskningshuvudmannen ska tilldela tillräckliga resurser för infor- mationssäkerhetsarbetet. Den som utför för detta arbete ska hålla forskningshuvudmannen informerad.

4 kap. En säker och ändamålsenlig behandling av personuppgifter

Uppgifterna i forskningsdatabasen

1 § Personuppgifter i en forskningsdatabas får vara direkt identi- fierbara, om det är nödvändigt för att uppfylla ändamålet med forsk- ningsdatabasen.

Forskningshuvudmannen ska besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.

Intern elektronisk åtkomst

2 § Den som arbetar hos en forskningshuvudman får ta del av per- sonuppgifter i en forskningsdatabas endast om han eller hon behö- ver uppgifterna för sitt arbete hos huvudmannen.

3 § Forskningshuvudmannen ska bestämma villkoren för tilldel- ning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.

4 § Forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kon- trolleras.

SOU 2018:36

Författningsförslag

Forskningshuvudmannen ska göra systematiska och återkom- mande kontroller av om någon obehörigen kommer åt personupp- gifter i en forskningsdatabas.

Tystnadsplikt hos enskild forskningshuvudman

5 § Den som arbetar hos en enskild (privat) forskningshuvudman får inte obehörigen röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande.

I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.

5 kap. Utlämnande av personuppgifter från en forskningsdatabas

Villkor för utlämnande

1 § Personuppgifter i en forskningsdatabas får lämnas ut till ett forskningsprojekt under förutsättning att

1.tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) eller denna lag inte hindrar det, och

2.forskningsprojektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

2 § Personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

Personuppgifter får dock vara direkt identifierbara vid utläm- nandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.

3 § Personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 § får också lämnas ut till en utredning av oredlighet i forsk- ning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Författningsförslag

SOU 2018:36

Direktåtkomst

4 § Personuppgifter i en forskningsdatabas får inte lämnas ut genom direktåtkomst annat än till den registrerade själv enligt 5 §.

5 § En forskningshuvudman får medge den registrerade direkt- åtkomst till direkt identifierbara uppgifter om den enskilde själv. Innan uppgifterna lämnas ut på detta sätt ska forskningshuvud- mannen pröva om uppgifterna får lämnas ut. Den registrerade får under samma förutsättningar medges direktåtkomst till sådan doku- mentation som avses i 4 kap. 4 §.

6 kap. Uppföljning och utvärdering

1 § Forskningshuvudmannen ska regelbundet ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fort- sätta.

2 § Vetenskapsrådet ska regelbundet följa upp och utvärdera verk- samheten vid forskningsdatabaser. Vetenskapsrådet ska i sin utvär- dering granska forskningsdatabaserna avseende säkerhet och ända- målsenlighet.

Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.

7 kap. Ytterligare föreskrifter

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om

1.finansieringen av en forskningsdatabas,

2.begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas,

3.begränsningar av de uppgifter som en forskningsdatabas får inne-

hålla,

4.begränsningar av behandling av uppgifter i en forskningsdatabas,

5.det systematiska och riskbaserade informationssäkerhetsarbe- tet som forskningshuvudmannen ska bedriva enligt 3 kap. 3 §,

SOU 2018:36

Författningsförslag

1.3Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs att 2, 3, 5, 6, 8, 10 och 11 §§ lagen om etikpröv- ning av forskning som avser människor (2003:460) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utveck- lingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningsdatabas: detsamma som avses i 1 kap. 6 § lagen (2019:000) om forskningsdatabaser,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter:	behandling av personuppgifter:
sådan behandling som anges i 3 §	sådan behandling som anges i
personuppgiftslagen (1998:204).	artikel 4.2 i Europaparlamentet och
	rådets förordning (EU) 2016/679
	av den 27 april 2016 om skydd för
	fysiska personer med avseende på
	behandling av personuppgifter och
	om det fria flödet av sådana uppgifter
	och om upphävande av	direk-
	tiv 95/46/EG (allmän dataskydds-
	förordning), här benämnd	EU:s
	dataskyddsförordning.

1Senaste lydelse 2008:192.

Författningsförslag

SOU 2018:36

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter	1. sådana särskilda kategorier
enligt 13 § personuppgiftslagen	av personuppgifter som avses i
(1998:204),	artikel 9.1 i EU:s dataskyddsför-
	ordning (känsliga personuppgif-
	ter),

2. personuppgifter		om	lag-	2. sådana personuppgifter om
överträdelser	som	innefattar		lagöverträdelser som	innefattar
brott, domar i brottmål, straff-				brott, domar i brottmål, straff-
processuella	tvångsmedel		eller	processuella tvångsmedel		eller
administrativa	frihetsberövanden			administrativa frihetsberövanden,
enligt 21 § personuppgiftslagen.				3. personuppgifter i	en	forsk-
				ningsdatabas enligt lagen (2019:000)
				om forskningsdatabaser, eller
				4. personuppgifter som samlas in
				från en forskningsdatabas		enligt
				lagen (2019:000) om forsknings-
				databaser.

5 §

Denna lag skall tillämpas på Denna lag ska tillämpas på forskning som skall utföras i Sverige. forskning som avses i 3 §, och som ska utföras inom ramen för verk- samhet som bedrivs vid personupp- giftsansvarigas eller personuppgifts- biträdens verksamhetsställen i

Sverige.

Denna lag ska även tillämpas på forskning som enbart omfattas av 4 § och som ska utföras i Sverige.

		6 §
Forskning som avses i 3–5 §§		Forskning som avses i 3–5 §§
får utföras bara om den har god-		får utföras bara om den har god-
känts vid en etikprövning. Ett		känts vid en etikprövning. Ett
godkännande får förenas	med	godkännande får förenas med
villkor. Ett godkännande	skall	villkor.

2Senaste lydelse 2008:192.

SOU 2018:36Författningsförslag

avse ett visst projekt eller en del	Ett godkännande ska avse ett
av ett projekt eller en på något	visst projekt, en del av ett pro-
liknande sätt bestämd forskning.	jekt eller en på något liknande
	sätt bestämd forskning eller en
	forskningsdatabas.

Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikpröv- ningen.

Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.

Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.

8 §

Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen sam- tidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Män- niskors välfärd skall ges företräde framför samhällets och vetenska- pens behov.

Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen sam- tidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Män- niskors välfärd ska ges företräde framför samhällets och veten- skapens behov.

10 §

Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forsk- ningspersoners hälsa, säkerhet och personliga integritet.

Behandling av personuppgif-	Behandling av personupp-
ter som avses i 3 § får godkännas	gifter som avses i 3 § får god-
bara om den är nödvändig för att	kännas bara om den är nödvändig
forskningen skall kunna utföras.	för att forskningen ska kunna
	utföras.
	11 §

Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som

Forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som

SOU 2018:36

Författningsförslag

1.4Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att i fråga om offentlighets- och sekretess- lagen (2009:400)

dels att 24 kap. 2 a och 2 b §§ ska upphöra att gälla,

dels att 10 kap. 23 och 27 §§, 24 kap. 1, 2 och 9 §§ och rubrikerna närmast före 8 kap., 24 kap. 1 och 2 §§ ska ha följande lydelser, och dels att det ska införas en ny paragraf, 8 kap. 4 §, och närmast före

8 kap. 4 § en ny rubrik av följande lydelse.

Sekretess mot forskningshuvudman utanför Sverige som omfattas av EU:s dataskyddsförordning

8kap. 4 §

En uppgift för vilken sekretess gäller enligt denna lag får inte röjas för en forskningshuvudman med verksamhetsställe utanför Sverige som ansvarar för en forskningsdatabas och som omfattas av förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, om inte

1.uppgiften i motsvarande fall skulle få lämnas ut till en forsk- ningshuvudman med verksamhetsställe i Sverige, och

2.forskningshuvudmannen omfattas av motsvarande skydds- regler som gäller enligt denna lag och enligt lagen (2019:000) om forskningsdatabaser.

Nuvarande lydelse

Föreslagen lydelse

10 kap.

Om inte annat följer av 19–

22 §§ får en uppgift som angår misstanke om ett begånget brott

23 §3

Om inte annat följer av 19–

22 §§ får en uppgift som angår misstanke om ett begånget brott

3Senaste lydelse 2014:663.

Författningsförslag

SOU 2018:36

och som är sekretessbelagd en- ligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3– 8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndig- heten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1.brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,

2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekre- tessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första

och som är sekretessbelagd en- ligt 24 kap. 8 §, 25 kap. 1 §, 2 §

andra	stycket	eller 3–8 §§,
26 kap.	1–6 §§,	29 kap. 1 §,

31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndig- heten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1.brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,

2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

27 §4

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretess- belagd uppgift lämnas till en myn- dighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 1 och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och

4Senaste lydelse 2018:220.

SOU 2018:36Författningsförslag

stycket, 2 och 12 §§, 33 kap. 2 §,	2 §§, 31 kap. 1 § första stycket, 2
36 kap. 3 § samt 40 kap. 2 och 5 §§.	och 12 §§, 33 kap. 2 §, 36 kap. 3 §
	samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning

24 kap.

Psykologisk undersökning	Forskningssekretess
1 §
Sekretess gäller för uppgift som	Sekretess gäller hos en forsk-
hänför sig till psykologisk under-	ningshuvudman för uppgift om
sökning som utförs för forsknings-	enskilds personliga och ekono-
ändamål, om det inte står klart	miska förhållanden, om det inte
att uppgiften kan röjas utan att	står klart att uppgifterna kan
den som uppgiften rör eller	röjas utan att den enskilde eller
någon närstående till denne lider	någon närstående till denne lider
men.	skada eller men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Rättspsykiatriskt forskningsregister		Nationellt biobanksregister
	2 §
Sekretess	gäller i verksamhet	Sekretess gäller i verksamhet
som avser förande av eller uttag ur		som avser uppgifter i ett nationellt
register som förs enligt lagen		biobanksregister enligt biobanks-
(1999:353)	om rättspsykiatriskt	lagen (2018:000) för uppgift om en
forskningsregister för uppgift om en		enskild som har tillförts registret,
enskilds hälsotillstånd eller andra		om det inte står klart att uppgiften
personliga förhållanden som har		kan röjas utan att den enskilde eller
tillförts registret, om det inte står		någon närstående till denne lider
klart att uppgiften kan röjas utan		men.
att den enskilde eller någon
närstående till denne lider men.
Sekretessen gäller även i för-
hållande till en registrerad person

som är vård- eller behandlings- behövande för uppgift om hans eller hennes hälsotillstånd, om det

Författningsförslag

SOU 2018:36

med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

		9 §5
Den tystnadsplikt som följer			Den tystnadsplikt som följer
av 2 a	och 8 §§ och den tyst-		av 1 och 8 §§ och den tyst-
nadsplikt som följer av ett för-			nadsplikt som följer av ett för-
behåll som gjorts med stöd av 7 §			behåll som gjorts med stöd av 7 §
andra	meningen	inskränker	andra meningen	inskränker
rätten enligt 1 kap. 1 § tryckfri-			rätten enligt 1 kap. 1 § tryckfri-
hetsförordningen		och 1 kap. 1	hetsförordningen	och 1 kap. 1
och 2 §§ yttrandefrihetsgrund-			och 2 §§ yttrandefrihetsgrund-
lagen att meddela och offent-			lagen att meddela och offent-
liggöra uppgifter.			liggöra uppgifter.
Den tystnadsplikt som följer			Den tystnadsplikt som följer
av 2 § inskränker rätten att med-			av 1 och 2 §§ inskränker rätten
dela och offentliggöra uppgifter,			att meddela och	offentliggöra
när det är fråga om uppgift om			uppgifter, när det är fråga om
annat än verkställighet av beslut			uppgift om annat än verkstäl-
om vård utan samtycke.			lighet av beslut om vård utan
			samtycke.

Denna lag träder i kraft den 1 juli 2019.

5Senaste lydelse 2013:795.

SOU 2018:36

Författningsförslag

1.5Förslag till förordning om ändring av förordning (2009:975) med instruktion för Vetenskapsrådet

Härigenom föreskrivs att 2 § förordningen (2009:975) med instruk- tion för Vetenskapsrådet ska ha följande lydelse.

2 §6

Vetenskapsrådet ska också

1.genomföra forskningspolitiska analyser och ge regeringen råd

iforskningspolitiska frågor,

2.initiera och stödja strategiska satsningar inom forskning och forskningsinfrastruktur,

3.planera tillgången till forskningsinfrastruktur långsiktigt i sam- verkan med andra forskningsfinansiärer och forskningsutförare,

4.fördela medel till nationell forskningsinfrastruktur och inter- nationella åtaganden,

5.följa upp Sveriges medlemskap i svenska, europeiska och inter- nationella organisationer och infrastrukturer när det gäller kostnader

iförhållande till deltagande,

6.i samverkan med universitet och högskolor medverka till att skapa goda forskningsmiljöer, främja utbildning på forskarnivå av hög kvalitet, stödja forskare i början av sin karriär och främja forskares rörlighet,

7.medverka i och främja det svenska deltagandet i Europeiska unionens verksamhet inom forskning och teknisk utveckling,

8.företräda Sverige i de EU-organisationer och internationella organisationer som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,

9.ansvara övergripande för samordning av kommunikation om forskning och forskningsresultat,

10.ansvara för kommunikation om forskning och forsknings- resultat inom sina områden,

11.utveckla samarbeten med de länder som Sverige har ingått avtal med inom forskningsområdet i de fall som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,

6Senaste lydelse 2018:17.

Författningsförslag

SOU 2018:36

12.integrera ett jämställdhetsperspektiv i myndighetens verk- samhet och främja jämställdhet vid fördelning av forskningsmedel,

13.verka för att ett köns- och genusperspektiv inkluderas i den forskning som myndigheten finansierar, när det är tillämpligt,

14.ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor,

15.stödja och ge råd till Svenska Unescorådet inom ramen för Unescos vetenskapliga arbete,

16.initiera och stödja satsningar på konstnärlig forskning,

17.stödja och utveckla förutsättningarna för kliniska studier i Sverige,

18.förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register,

18 a. utvärdera och följa upp forskningsdatabaser enligt lagen (2019:000) om forskningsdatabaser avseende kvalitet, säkerhet och ända- målsenlighet.

19.ansvara för kommunikationssystemet Swedish University Computer Network (SUNET),

20.bistå styrgruppen för avtalet mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården (ALF-avtalet) med administrativt stöd, och

21.svara för utbildning av ledamöter och ersättare i Centrala etikprövningsnämnden och de regionala etikprövningsnämnderna.

22.initiera och stödja forsk- ningshuvudmännen i utarbetandet av gemensamma uppförandekoder enligt art. 40 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter (allmän data- skyddsförordning).

Denna förordning träder i kraft den 1 juli 2019.

SOU 2018:36

Författningsförslag

1.6Förslag till förordning om ändring i förordningen (2003:615) om etikprövning av forskning som avser människor

Härigenom föreskrivs att 8 § samt bilaga 2 till förordningen (2003:615) om etikprövning av forskning som avser människor ska ha följande lydelse.

	8 §
Nuvarande lydelse	Föreslagen lydelse

En regional etikprövnings- nämnd bör vid etikprövning av annan forskning än klinisk läke- medelsprövning besluta inom 60 dagar. Vid ändring enligt 4 § bör nämnden besluta inom 35 dagar.

Etikprövningsmyndigheten bör vid etikprövning av annan forskning än klinisk läkemedels- prövning besluta inom 60 dagar. Vid etikprövning av en forsk- ningsdatabas bör myndigheten besluta inom 120 dagar. Vid änd- ring enligt 4 § bör myndigheten besluta inom 35 dagar.

Bilaga 2

I denna bilaga anges avgifter för prövning av ansökan om etikpröv- ning.

Ansökan somAvgift

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

avser ändring enligt 4 §	2 000 kr
avser en forskningsdatabas	15 000 kr

Denna förordning träder i kraft den 1 juli 2019.

2 Vårt uppdrag och arbete

2.1Utredningsuppdraget

Forskningsdatautredningens övergripande uppdrag1 har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen2 börjar tillämpas, dels lämna nödvändiga författningsförslag. Förslagen ska resultera i en reglering utöver de generella bestämmelser som Dataskyddsutredningen har föreslagit i sitt betänkande3 och som under våren 2018 föranlett en proposition4 och en ny dataskyddslag (2018:218). I juni 2017 redovisades vårt del- betänkande5 med förslag till reglering av personuppgiftsbehandling för forskningsändamål samt förslag till anpassningar av vissa registerförfattningar som var direkt påkallade av att dataskydds- förordningen börjar tillämpas den 25 maj 2018.

I ett andra skede har utredningen haft i uppdrag att föreslå lång- siktiga regleringar av forskningsdatabaser med utgångspunkt i de förslag som lämnades av Registerforskningsutredningen.6 I detta uppdrag har ingått att föreslå en lösning som ersätter behovet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”), samt att analysera det långsiktiga behovet av en särskild reglering av ett rättspsykiatriskt forskningsregister. Utöver detta ska vi lämna

1Direktiv Personuppgiftsbehandling för forskningsändamål (dir 2016:65).

2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

3Dataskyddsutredningens betänkande Ny dataskyddslag (SOU 2017:39).

4Regeringens proposition Ny dataskyddslag m.m. (prop. 2017/18:105).

5Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).

6Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

Vårt uppdrag och arbete

SOU 2018:36

förslag till en reglering av ett nationellt biobanksregister, samt kart- lägga och vid behov föreslå författningsändringar för att stärka skyddet för uppgifter om avlidna inom forensisk forskning.

Vi har fått flera tilläggsdirektiv. Vi har fått uppdrag att analysera behovet och föreslå kompletterande reglering till dataskyddsförord- ningen och dataskyddslagen för behandling av personuppgifter i Kungliga bibliotekets verksamhet, och genom ytterligare tilläggs- direktiv utvidgades uppdraget till att omfatta personuppgifts- behandling vid alla forskningsbibliotek.7

Dessutom har vi i tilläggsdirektiv uppdragits att analysera behovet av och föreslå reglering för att möjliggöra Statistiska centralbyråns (SCB) utlämnande av uppgifter om individers inkomstförhållanden till Luxembourg Income Study.8

2.1.1Uppdraget att föreslå långsiktiga regleringar av forskningsdatabaser

Regeringen har konstaterat att någon långsiktig reglering av forsk- ningsdatabaser inte kommer att vara på plats när dataskydds- förordningen börjar tillämpas den 25 maj 2018. Den första delen av vårt uppdrag, som avrapporterades i delbetänkandet,9 var därför att föreslå kompletterande reglering till de anpassningar av svensk lagstiftning som Dataskyddsutredningen har föreslagit ska träda i kraft vid detta datum.10

Regeringen har därutöver efterfrågat långsiktiga lösningar på behovet att förbättra förutsättningarna för registerbaserad forsk- ning. Förslag har tidigare lämnats av Registerforskningsutred- ningen.11 I vårt uppdrag har därmed också ingått att ta ställning till om en långsiktig reglering av LifeGene-projektet, som nu bedrivs med stöd av en tidsbegränsad lag,12 och andra liknande initiativ med syftet att bygga gemensamma forskningsdatabaser innehållande personuppgifter för forskningsändamål kan åstadkommas utan att varje sådan databas regleras var för sig. Vårt uppdrag är således att

7Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04), dir. 2017:29 och 2017:87.

8Dir 2017:61.

9SOU 2017:50.

10Regeringen har därefter föreslagit en ny dataskyddslag i prop. 2017/18:105.

11SOU 2014:45.

12Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

SOU 2018:36

Vårt uppdrag och arbete

föreslå de författningsförslag som behövs för en långsiktig reglering av forskningsdatabaser.

Vi tolkar att uppdraget i denna del är att föreslå kompletterande reglering så att den lagstiftning som gäller efter den 25 maj 2018 möjliggör en ändamålsenlig behandling av personuppgifter för forskningsändamål i forskningsdatabaser, samtidigt som skyddet för den enskildes fri- och rättigheter upprätthålls. Vi uppfattar detta som vårt huvuduppdrag för utredningens andra fas.

2.1.2Reglering av rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för behandling av personuppgifter för forskning inom rättspsykiatrin och för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin. Registret regleras i lagen (1999:353) om rättspsykiatriskt forskningsregister.

RMV har analyserat behovet av rättsligt stöd och anser att de begränsningar som finns i den befintliga regleringen gör att registret inte utgör ett ändamålsenligt stöd för den rättspsykiatriska forsk- ningen vid myndigheten. RMV föreslår att lagen upphävs och ersätts av annan lagstiftning.13

Vi har i vårt delbetänkande tills vidare föreslagit vissa anpass- ningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas den 25 maj 2018.14 I utredningens andra fas har vi haft i uppgift att

•undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,

•analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och hur en sådan regle- ring i så fall bör utformas, och

•lämna behövliga författningsförslag.

13Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/8833/Å).

14SOU 2017:50.

Vårt uppdrag och arbete

SOU 2018:36

2.1.3Reglering av ett nationellt biobanksregister

Utredningen om regleringen av biobanker hade bl.a. i uppdrag att se över lagen (2002:297) om biobanker i hälso- och sjukvården och andra angränsande författningar. Syftet med utredningen var att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov. Utredningen överlämnade den 29 januari 2018 sitt slutbetänkande.15 Där ingår ett förslag till reglering av ett nationellt biobanksregister med syfte att kunna spåra prover, bland annat för forskningsändamål.

Våra respektive direktiv är närliggande i denna del och utformades mot bakgrund av att Registerforskningsutredningen föreslog att Socialstyrelsen skulle vara personuppgiftsansvarig för det sam- ordnande Svenska biobanksregistret, att registret skulle innehålla personuppgifter (inklusive provsvar), och att registret skulle regleras i en särskild lag, lagen om Nationella biobanksregistret. Regeringen ansåg att en vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas syn- punkter och med anledning av att dataskyddsförordningen och kompletterande nationell lagstiftning blir tillämpliga i Sverige.

Vi har därför i uppdrag att lämna förslag till en reglering av ett nationellt biobanksregister.

2.1.4Utlämnande av personuppgifter till Luxembourg Income Study

Svenska forskare har sedan länge bidragit till den internationella forskningen om inkomstskillnader, fattigdom och om hur social- politikens transfereringar påverkar befolkningens disponibla in- komster. Denna forskning har underlättats genom ett internationellt samarbete och en internationell forskningsdatabas benämnd Luxembourg Income Study (LIS) med säte i Luxemburg och med jämförande uppgifter från 47 länder. SCB levererade uppgifter till databasen från dess tillkomst år 1983 fram till år 2007, men har där- efter bedömt att det saknas rättsliga förutsättningar för myndig- heten att leverera uppgifter. Sverige är därmed ett av få länder som

15Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4).

SOU 2018:36

Vårt uppdrag och arbete

inte kan bidra till LIS inkomstdatabas. Riksrevisionen (RRV) har granskat SCB:s förutsättningar att lämna ut personuppgifter från inkomststatistiken till LIS. RRV har konstaterat att de uppgifter som behövs omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), och att det därför skulle krävas en författningsreglerad skyldighet för att SCB ska kunna lämna ut uppgifterna. Regeringen anser att denna forskning och LIS-data- basen är av stor betydelse, men att vissa frågor återstår att analysera.

Vi har därför fått i uppdrag att

•analysera vilken rättslig reglering som behövs och är lämplig för att SCB ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar LIS för att uppgifterna ska ingå i databasen, och

•lämna nödvändiga författningsförslag.

2.1.5Skydd för uppgifter om avlidna i forensisk forskning

Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer. I vissa registerförfattningar finns det ett uttryckligt skydd för upp- gifter om avlidna. RMV anser dock att integritetsskyddet för upp- gifter om avlidna personer i forskning bör ses över. Med anledning av detta har vi i uppgift att

•kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,

•analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och

•vid behov föreslå de författningsändringar som behövs.

2.1.6Reglering av forskningsbibliotekens personuppgiftsbehandling

I tilläggsdirektiv har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskyddsförordningen, kan behövas för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i

Vårt uppdrag och arbete

SOU 2018:36

Kungliga bibliotekets verksamhet.16 Vi fick därefter i ytterligare tilläggsuppdrag att analysera i vilken utsträckning dataskydds- förordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av person- uppgifter i den verksamhet som bedrivs av forskningsbiblioteken.17 Vi skulle även analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det för- slag till kompletterande dataskyddslag som lagts fram av Data- skyddsutredningen18 samt lämna de författningsförslag som behövs.

Dessa två uppdrag har redovisats tillsammans i en särskild prome- moria den 9 november 2017. Den ingår som bilaga till detta slut- betänkande.19

2.2Utredningsarbetet

Arbetet har bedrivits i utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och fyra ytterligare sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga. Jonas Jeppson, verksjurist vid RMV, har ingått i expertgruppen och har bidragit med underlag till den del av våra uppdrag som gäller Rättspsykiatriska forskningsregistret och uppgifter om avlidna i forskningen. Jerker Rydén, verksjurist vid Kungliga biblioteket, har varit expert i utredningen och har bidragit med underlag till biblioteksuppdragen.20 Docent Marjut Salokannel har anlitats för ett kortare uppdrag och har lämnat underlag med avseende på forskningsdatabaser, etikprövning m.m. i andra länder.

16Dir. 2017:29.

17Dir. 2017:89.

18Förslaget har lett till att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (nedan kallad dataskyddslagen) utfärdades den 19 april 2018. Lagen trädde i kraft den 25 maj 2018.

19Personuppgiftsbehandling i forskningsbibliotekens verksamhet, bilaga 5.

20Bilaga 5.

SOU 2018:36

Vårt uppdrag och arbete

2.2.1Expertgruppsmöten

Vår expertgrupp (inbegripet de sakkunniga) har sammanträtt sam- manlagt tio gånger, varav fyra efter det att vi lämnade vårt del- betänkande. I samband med dessa möten har några promemorior och utkast till betänkandetext presenterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utredningen i dialog om specifika frågor.

2.2.2Besök vid lärosäten och myndigheter

Vi har under hösten 2017 och våren 2018 gjort ett antal besök vid lärosäten och myndigheter som vad gäller forskning berörs av data- skyddsförordningen och de kompletterande regleringar som föreslås eller förväntas föreslås. Vi har besökt universitetsledningar och berörda forskare vid universiteten i Göteborg, Lund, Stockholm, Uppsala och Umeå samt vid Chalmers tekniska högskola, Karolinska Institutet och Kungliga Tekniska Högskolan. Vi har också besökt Socialstyrelsen, Statistiska centralbyrån och Vetenskapsrådet. Vi har därutöver tillsammans med en representant för Utredningen om regleringen av biobanker medverkat vid Vetenskapsrådets Register- dataråd.

2.2.3Övriga kontakter och framträdanden

Vi har medverkat i flera konferenser och informerat om dataskydds- förordningen ur ett forskningsperspektiv i en rad olika samman- hang. Detta har innefattat föredrag vid sammanslutningar av forskare och dataförvaltare inom olika områden, exempelvis flera nationella konferenser med hälso- och sjukvårdens kvalitetsregister, sjukvårdens forskningsdagar, konferens om personlig medicin vid Stockholms universitet, Statistiska centralbyråns forskardagar, nationell konferens med etikprövningsnämnderna, nationellt möte med FoU-chefer21 vid landstingen, samt nordisk epidemiologi-

21Chefer för forskning och utveckling.

Vårt uppdrag och arbete

SOU 2018:36

kongress i Lund. Öppna föredrag om den allmänna dataskydds- förordningen har hållits vid universiteten i Göteborg, Karlstad, Linköping, Lund och vid Karolinska Institutet.

Vi har utöver detta tillsammans med Utbildningsdepartementets representanter medverkat i nordiskt samarbete mellan företrädare för regeringar och myndigheter kring förberedelser inför data- skyddsförordningens införande.

2.2.4Annat underlag i utredningsarbetet

Forskningsdatautredningen har under arbetets andra fas tagit del av och beaktat förslag lämnade av Integritetskommittén, Dataskydds- utredningen, Socialdataskyddsutredningen, Utredningen om till- synen över den personliga integriteten och Utredningen om översyn av etikprövningen. Vissa möten med representanter för dessa utred- ningar har också förekommit. Med anledning av att uppdragen till Utredningen om regleringen av biobanker har legat särskilt nära våra direktiv i den del som berör reglering av ett nationellt biobanks- register har kontakter upprätthållits med den utredningen under arbetets gång.

Vi har tagit del av och beaktat dataskyddslagen jämte pro- positionen med förslag till denna lag22 samt propositionen om data- skydd inom socialdepartementets verksamhetsområde.23 Vi har också tagit del av det slutbetänkande som överlämnats av Utred- ningen om regleringen av biobanker.24 Utöver detta har vi tagit del av och beaktat det utkast till lagrådsremiss som i april 2018 lämnats med avseende på utredningens eget delbetänkande rörande person- uppgiftsbehandling för forskningsändamål.25

22Prop. 2017/18:105.

23Prop. 2017/18:171.

24SOU 2018:4.

25Remiss 2018-04-04 U2018/01639/F.

SOU 2018:36

Vårt uppdrag och arbete

2.3Disposition m.m.

Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till vårt uppdrag och vilka utgångspunkter som vi tagit med oss från arbetet med delbetänkandet.26 Vi redogör också för de begrepp som vi använder i detta slutbetänkande.

Kapitel 4 behandlar behovet av forskningsdatabaser mot bak- grund av digitaliseringens utveckling och med utgångspunkt i Registerforskningsutredningens bedömningar.27

Kapitel 5 innehåller en genomgång av de rättsliga förutsätt- ningarna för forskningsdatabaser.

Kapitel 6 behandlar Registerforskningsutredningens uppdrag och förslag med särskilt fokus på förslaget om reglering av forsk- ningsdatabaser.

I kapitel 7 redogör vi för vår ansats, det vill säga de principiella utgångspunkter som ligger till grund för våra bedömningar och för- slag. Här introduceras utgångspunkten att forskningsdatabaser kan beskrivas ur ett livscykelperspektiv, samt redogörs för några exempel på forskningsdatabaser.

I kapitel 8 redogör vi för utredningens förslag till reglering av personuppgiftsbehandling i forskningsdatabaser. De innefattar ett förslag till en ny lag om forskningsdatabaser samt förslag till ändringar av vissa andra lagar och förordningar som berör etikprövning och sekretess, samt av Vetenskapsrådets instruktion.

Kapitlen 9–12 behandlar övriga uppdrag vid sidan om huvud- uppdraget. I kapitel 9 föreslås att lagen om rättspsykiatriskt forsk- ningsregister ska upphävas. I kapitel 10 bereds Registerforsknings- utredningens förslag till reglering av ett nationellt biobanksregister. Kapitel 11 behandlar utlämnande av uppgifter till europeiska forsk- ningsdatabaser med särskilt fokus på Luxembourg Income Study. I kapitel 12 undersöks om det behövs ett förstärkt skydd för avlidna i forskning. Vi har här vidgat perspektiven till att omfatta utlämnande av uppgifter till europeiska forskningsdatabaser i allmänhet och till bedömningar om det behövs skydd för avlidna även i sådan forskning som inte tillhör den forensiska forskningen. Kapitel 13 innehåller en konsekvensanalys och kapitel 14 innehåller kommentarer till författ- ningsförslagen.

26SOU 2017:50.

27SOU 2014:45.

3Bakgrund, utgångspunkter och begrepp

3.1Bakgrund

I detta kapitel redogör vi kortfattat för bakgrunden till vårt uppdrag och vilka utgångspunkter som vi tagit med oss från arbetet med delbetänkandet.1 Vi redogör också för de begrepp som vi kommer att använda i detta slutbetänkande.

Utredningen har i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser. Därutöver har utredningen även uppdrag som avser personuppgiftsbehandling i rättspsykiatriskt forskningsregister, hantering av uppgifter om avlidna och om utlämnande av uppgifter till Luxembourg Income Study (LIS). Vi har även i uppgift att lämna förslag till en reglering av ett nationellt biobanksregister.2

Vårt uppdrag i sin helhet handlar således om att utreda och för- bättra förutsättningarna för att behandla personuppgifter för forsk- ning i olika bemärkelser. Direktiven utgår från att registerbaserad forskning är värdefullt för vårt samhälle och måste kunna bedrivas på ett säkert och etiskt korrekt sätt. De lösningar som vi föreslår ska möjliggöra en ändamålsenlig behandling av personuppgifter för forsk- ningsändamål samtidigt som det finns ett skydd för den enskildes fri- och rättigheter.

Frågan om hur registerbaserad forskning bör vara reglerad har tidigare utretts av framför allt Statistikutredningen3 och Register- forskningsutredningen.4

Registerforskningsutredningen lämnade ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller

1Delbetänkande av Forskningsdatautrednigen Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).

2En mer noggrann redogörelse för alla delar i vårt uppdrag finns i kapitel 2.

3Delbetänkande av Statistikutredningen Registerdata för forskning (SOU 2012:36).

4Betänkande av Registerforskningsutredningen Unik kunskap genom registerforskning (SOU 2014:45).

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter, som har i uppdrag att bedriva forskning, att utföra behandling av personuppgifter i forskningsdatabaser. I den föreslagna lagen finns det vissa generella regler för forskningsdata- baser som för varje databas ska kompletteras med en särskild för- ordning som reglerar t.ex. ändamål och innehåll. I kapitel 6 behandlas Registerforskningsutredningens förslag utförligare.

3.2Utgångpunkter

Enligt vårt uppdrag ska Registerforskningsutredningens förslag beredas ytterligare med beaktande av remissinstansernas synpunkter (se kapitel 6). Det behövs enligt direktiven en analys av om förslaget är förenligt med dataskyddsförordningen5 och i annat fall vilka anpassningar av förslaget som kan krävas utifrån förordningen och den generella reglering som Dataskyddsutredningen har föreslagit.6

Det finns förstås också annat arbete som redan pågår för att för- bättra förutsättningarna för registerbaserad forskning. Vetenskaps- rådet har t.ex. i uppdrag av regeringen7 att inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till register- uppgifter i Sverige för forskningsändamål. I uppdraget ingår även att bistå forskare med information om register och om relevant lag- stiftning. Ett led i att uppfylla detta uppdrag är Vetenskapsrådets arbete med webbplatsen registerforskning.se.

Redan i delbetänkandet formulerade vi några utgångspunkter som också har haft bäring på det fortsatta arbetet med att hitta lösningar för en ändamålsenlig reglering av forskningsdatabaser:

•Det är enligt utredningens bedömning en integrerad del av forsk- ningsprocessen att skapa forskningsinfrastrukturer som har bredare formulerade forskningsändamål än de som förekommer i enskilda forskningsprojekt.

5Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

6Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). Se även Regeringens proposition Ny dataskyddslag (prop. 2017/18:105) samt den beslutade lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

7Regeringsbeslut den 24 oktober 2013, U2013/6296/F, U2013/1927/F och U2013/2506/F.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

•Det är enligt utredningens bedömning rimligt att uppbyggnaden av en forskningsdatabas kan bedömas som personuppgiftsbehand- ling för forskningsändamål och därmed utgöra en del av själva forskningen.

En viktig utgångspunkt för vårt fortsatta arbete är därtill att

•det är möjligt att ta fram en ändamålsenlig och säker reglering av forskningsdatabaser, som både uppfyller forskningens behov och innefattar ett gott skydd för den personliga integriteten.

Dessa utgångspunkter hade vi med oss in i arbetet med att redovisa vårt uppdrag i detta slutbetänkande. I kapitel 7 har vi utvecklat våra utgångspunkter och vår ansats ytterligare.

3.3Centrala begrepp för slutbetänkandet

Delbetänkandet8 innehåller en genomgång av de termer och begrepp som används i dataskyddsdirektivet9, personuppgiftslagen (1998:204) och dataskyddsförordningen för att beskriva forskning. I bilaga 3 till delbetänkandet finns dessutom en strukturerad begreppsgenomgång av dataskyddsförordningen.

Även i Registerforskningsutredningens10 och Statistikutred- ningens11 betänkanden finns termer och begrepp beskrivna för det område som är relevant för vår utredning. Vi hänvisar därför till deras betänkande, för ytterligare fördjupning vad avser begreppen inom detta område.

Här ska vi gå igenom några termer och begrepp som är särskilt viktiga för vår slutredovisning.12

8SOU 2017:50, s. 87 ff.

9Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

10SOU 2014:45.

11SOU 2012:36.

12Med begrepp avses en avgränsad mental föreställning av någon viss företeelse. Med term avses ett namn på ett begrepp.

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

3.3.1Forskning och forskningsändamål

Vår bedömning: Behandling av personuppgifter i en forsknings- databas omfattas av begreppet ”vetenskapliga eller historiska forskningsändamål” i dataskyddsförordningen.

Vi diskuterade i delbetänkandet hur en avgränsning av begreppet forskning kan göras och särskilt hur begreppet kan avgränsas i förhållande till begreppet forskningsändamål. När det gäller den mer utvecklade analysen och diskussionen hänvisar vi till delbetänkandet.13 Uttrycket ”vetenskapliga eller historiska forskningsändamål” som används upprepade gånger i dataskyddsförordningen innefattar enligt vår bedömning forskningsändamål utan att någon särskild åtskillnad i betydelse bör göras mellan dessa två delar med avseende på person- uppgiftsbehandling. Vilka delar av forskningsprocessen som kan räknas in under begreppet forskning är viktigt för frågan om tillåten

behandling av personuppgifter i forskningsdatabaser.

En utgångspunkt för vår bedömning är att begreppet forsknings- ändamål har gemenskapsrättslig betydelse utifrån dataskyddsförord- ningen. Legaldefinitioner i nationell rätt kan inte påverka en bedöm- ning av om en viss behandling kan anses utföras för forskningsända- mål eller inte. De möjliga rättsliga grunderna för personuppgifts- behandling i artikel 6 är inte avhängiga av om en viss behandling anses utföras för forskningsändamål eller inte. Däremot är behandling som utförs för forskningsändamål i vissa fall särskilt gynnad när det gäller de grundläggande principerna för behandling av personuppgifter i artikel 5.

För att det centrala undantaget från förbudet att behandla känsliga personuppgifter som återfinns i artikel 9.2 j ska bli tillämpligt krävs att en viss behandling är nödvändig för forskningsändamål. Avgräns- ningar eller preciseringar av forskningsbegreppet i de legaldefinitioner som finns i 2 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) har alltså ingen betydelse för om detta undantag kan tillämpas.

Begreppet forskningsändamål definieras dock inte i dataskydds- förordningen. Viss vägledning kan hämtas i skäl 159, som anger att behandling av personuppgifter för vetenskapliga forskningsändamål

13SOU 2017:50 s. 97.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privat- finansierad forskning. Det finns alltså stöd i förordningen för en vidsträckt tolkning av begreppet.

Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstad- kommandet av ett europeiskt forskningsområde. Artikel 179.1 i EUF-fördraget anger att:

Unionen ska ha som mål att stärka unionens vetenskapliga och tekniska grund genom att åstadkomma ett europeiskt forskningsområde med fri rörlighet för forskare, vetenskapliga rön och teknik, att främja ut- vecklingen av unionens konkurrensförmåga, inbegripet inom unionens industri, och att underlätta alla forskningsinsatser som anses nödvändiga enligt andra kapitel i fördragen.

Skäl 159 breddar även begreppet genom att ange att vetenskapliga forskningsändamål också bör omfatta studier som utförs i allmän- hetens intresse inom folkhälsoområdet. Slutligen, och av betydelse för hantering av forskningsdata i replikeringsstudier, utredningar om oegentlighet i forskning m.m., anger skäl 159 att för att tillgodose forskningens särskilda krav bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.

Av betydelse för registerbaserad forskning är att förordningen i skäl 157 lyfter fram att forskare kan erhålla ny kunskap av stort värde genom att koppla samman information från olika register. För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt. Enligt vår bedömning talar detta skäl även för att i nationell rätt införa villkor och skyddsåtgärder för särskilda databaser för forsk- ningsändamål.

Ytterligare underlag för tolkning av begreppet forskningsändamål finns i Artikel 29-gruppens riktlinjer om samtycke enligt dataskydds- förordningen.14 I samband med dataskyddsförordningens skäl 33, som behandlar situationer där det inte är möjligt att på ett tidigt

14Article 29 Data Protection Working Party, Guidelines on Consent under Regulation 2016/679 (WP259), s. 27. Artikel 29-gruppen är en oberoende rådgivande EU-instans för skydd av personuppgifter och privatlivet. I samband med att dataskyddsförordningen börjat tillämpas har den ersatts av Europeiska Dataskyddsstyrelsen.

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

stadium fullt ut identifiera syftet med en behandling av personupp- gifter för vetenskapliga forskningsändamål, uttalar man följande om begreppet forskningsändamål (scientific research purposes):

[T]he WP29 considers the notion may not be stretched beyond its common meaning and understands that ‘scientific research’ in this context means a research project set up in accordance with relevant sector-related methodological and ethical standards.”

Dataskyddsförordningen ger i artikel 9.2 j en möjlighet för med- lemsstaterna att införa nationell lagstiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål. Det är därför av betydelse för utredningens uppdrag hur forskningsändamål i förord- ningens mening ska uttolkas när det gäller om personuppgifts- behandling i en forskningsdatabas som ska stödja avgränsade forsk- ningsprojekt utan att själv producera sådana resultat kan anses falla inom definitionen för forskningsändamål.

Vi har i detta slutbetänkande utgått från att personuppgifts- behandling hos en sådan verksamhet ryms inom förordningens begrepp ”forskningsändamål”. Detta i huvudsak med stöd från skäl 159, men också utifrån skäl 157 som belyser databasers betydelse för forskning. Med beaktande av Artikel 29-gruppens tolkning av forskningsbegreppet anser vi att det är viktigt och nödvändigt att även personuppgiftsbehandling som görs i en forskningsdatabas ska följa relevanta metodologiska och etiska standarder.

3.3.2Register och databas

Vår bedömning: Termen register har i dataskyddsförordningen en specifik betydelse som är snävare än den som har använts i svensk lagstiftning. Termen har även i svensk lagstiftning kommit att utmönstras i ett flertal sammanhang. För att undvika osäkerhet i vad som avses undviker vi därför att använda denna term.

Termen databas saknar legaldefinition i dataskyddsförord- ningen. Vi anser att vi inte behöver definiera begreppet databas för att kunna använda begreppet forskningsdatabas.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

Termerna register och databas används ofta synonymt för att beskriva en logisk sammanställning av uppgifter. Enligt Rikstermbanken15 är databas en mängd data med en gemensam struktur, lagrade på ett sätt som möjliggör sökning och presentation enligt olika kriterier. Man brukar skilja på begreppen databas och databashanterare, där det senare är den tekniska lösning (programvara) som används för att åstadkomma själva sökningen och presentationen.16

Termen ”databas” används inte alls i dataskyddsförordningen. I stället anges i regleringen av dess tillämpningsområde (artikel 2.1) att den är tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Det finns alltså inte något krav på att informationen ska vara strukturerad på något särskilt sätt för att dataskyddsförordningen ska vara tillämplig, utan det är tillräckligt att informationen behandlas, helt eller delvis, på automatisk väg. Det räcker i princip med att informationen finns digitalt lagrad. Även personuppgifter som förekommer i material som helt saknar struktur som möjliggör sökning och presentation, exempelvis uppgifter som framgår av digital video eller av inskannade dokument som inte OCR- behandlats, omfattas av dataskyddsförordningen.

Utöver digitalt lagrat material omfattar dataskyddsförordningen, likt tidigare dataskyddsdirektivet och personuppgiftslagen, även ”annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Begreppet register definieras i artikel 4.6 som ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier”. Motsvarande definition finns i dataskydds- direktivet (artikel 2 c) och personuppgiftslagen (5 § andra stycket). För att en strukturerad samling ska anses vara tillgänglig för sökning eller sammanställning enligt särskilda kriterier har Regeringsrätten17 ansett att det krävs något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande, och att det därigenom ska finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument.

15Rikstermbanken är Sveriges nationella termbank, www.tnc.se

16I vardagligt tal används ibland ”databas” för att avse även den funktionalitet som åstad- kommer sökning och presentation. I denna framställning försöker vi dock skilja på själva samlingen av uppgifter som sådan och den infrastruktur, inklusive programvara som, krävs för att tillgängliggöra information från denna samling.

17RÅ 2001 ref 35 (KTH).

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

Ytterligare vägledning till begreppet kan fås från förordningens engelska översättning, där termen register har översatts med ”filing system”. Distinktionen är dock av begränsad betydelse för dagens forskningsdatabaser som uteslutande rör behandling av uppgifter på automatisk väg.

Begreppet databas används även i andra delar av den svenska lagstiftningen, ibland med olika definitioner. Enligt 1 kap. 1 § 5 stycket yttrandefrihetsgrundlagen avses med databas en samling av information lagrad för automatiserad behandling. Begreppet infördes i yttrandefrihetsgrundlagen år 2003 och ersatte då det registerbegrepp som tidigare använts.

På samma sätt utmönstrades i oktober 2001 termen ”register” ur ett antal författningar på skatte-, exekutions- och tullväsendets område för att i stället ersättas med termen ”databas”. Som skäl för en sådan begreppsmässig ändring anfördes att begreppet register även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för begreppet tankarna till ett på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv.18

Inom upphovsrättens område reglerar 49 § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk en form av till upp- hovsrätten närstående ensamrätt som tidigare kallats katalogskydd, men som nu, efter genomförandet av EU:s databasdirektiv19 oftare benämns databasskydd. Skyddsobjektet omfattar sådana arbeten i vilket ett stort antal uppgifter har sammanställts eller vilka är resul- tatet av en väsentlig investering. För att arbetet ska omfattas av det aktuella skyddet finns ett visst krav på att uppgifterna ska vara syste- matiskt och metodiskt sammanställda, dvs. ett visst krav på en struktur i databasen.20

Även om begreppet databas saknar en brett tillämplig legal- definition i nationell rätt eller unionsrätten är det ett användbart begrepp som är väl etablerat i både juridiskt och allmänt språkbruk. Vi finner inte att vi behöver definiera begreppet databas närmare, men

18Regeringens proposition Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 88 ff.).

19Direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser.

20Se allmänt Johan Axhamn, Databasskydd, Stockholms universitet (2016).

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

avser nedan att föreslå en definition för det mer avgränsade begreppet forskningsdatabas.

3.3.3Forskningsdatabas m.m.

Vårt förslag: Vi föreslår i avsnitt 8.7 att forskningsdatabas ska definieras som en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.

Det finns flera begrepp som beskriver de samlingar av uppgifter som forskare använder; t.ex. forskningsregister och forskningsdatabaser. För att beskriva forskningsdatabaser som samlar in uppgifter för flera tänkbara forskningsprojekt används ibland också begreppet databas- infrastruktur eller infrastruktur för forskning.

Registerforskningsutredningen använde i sitt förslag till lag om forskningsdatabaser följande definition av ordet forskningsregister:

Med register avses i detta sammanhang i första hand strukturerade samlingar av personuppgifter som har upprättats inom myndigheter för primärt andra ändamål än forskning. […] Med register avses i utred- ningsdirektiven dock även vissa uppgiftssamlingar som primärt är skapade för forskningsändamål.21

Registerforskningsutredningen definierade vidare begreppet forsk- ningsdatabas på följande sätt:

en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infra- struktur för att tillhandahålla uppgifter till flera olika framtida forsk- ningsprojekt.

Vår bedömning är att begreppet forskningsdatabas i den definition som registerforskningsutredningen använt fortsatt är ett värdefullt begrepp. Vi har därför valt att använda begreppet ifråga för sådana databaser som samlar in uppgifter för flera tänkbara forsknings- projekt. Vi har också valt i stort sett samma definition av begreppet som Registerforskningsutredningen. Vi föreslår dock en mindre förenkling av begreppets definition, som inte är avsedd att innebära

21SOU 2014:45 s. 18.

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

någon förändring av betydelsen i sak. Hänvisningen till nationell infrastruktur tillför inte något för förståelsen av begreppet och riskerar en sammanblandning med det bredare begreppet forsknings- infrastruktur, se avsnitt 3.3.4 nedan. Den ersätts därför med begreppet nationell resurs. Forskningsdatabasen ska vara en nationellt tillgänglig resurs. En databas som endast är tillgänglig för en begränsad krets användare utgör inte en forskningsdatabas enligt vår definition.

Vi definierar således forskningsdatabas som en databas (uppgifts- samling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhanda- hålla uppgifter till flera olika forskningsprojekt (avsnitt 8.7.1). Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning

Vi ser däremot inte någon anledning att närmare definiera och använda begreppet forskningsregister. Med tanke på dataskydds- förordningens definition av register som något som i första hand rör icke-automatiserad behandling av personuppgifter riskerar begreppet med Registerforskningsutredningens definition att vilseleda.

3.3.4Forskningsinfrastruktur eller databasinfrastruktur för forskning

Vår bedömning: Vi skiljer på de uppgiftssamlingar som våra för- slag syftar till att möjliggöra (forskningsdatabaser) och de tjänster som tillgängliggör uppgifterna från dessa uppgiftssamlingar. De senare kallar vi med ett gemensamt begrepp databasinfrastruktur för forskning. Sådan databasinfrastruktur för forskning är en form av forskningsinfrastruktur, men eftersom det senare begreppet även omfattar basutrustning, forskningsmaterial, IKT-infrastrukturer m.m. är det för brett för att användas i denna framställning.

Registerforskningsutredningen har i sin definition av forskningsdata- bas angett att en sådan utgör en nationell infrastruktur. Det föranleder oss att närmare definiera vad vi menar med sådan infrastruktur och vilken eller vilka termer som är lämpliga att använda för begrepp på området.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

Med forskningsinfrastruktur avses vanligen olika medel som är nödvändiga för att utföra forskning, jfr definitionen i artikel 2 i ERIC- förordningen:22

anläggningar, resurser och därmed sammanhängande tjänster som forskar- samhället använder för att genomföra spetsforskning på alla områden; denna definition omfattar vetenskaplig basutrustning och forsknings- material, kunskapsbaserade resurser som samlingar, arkiv och strukturerad vetenskaplig information, IKT-infrastrukturer som nät, datorutrustning, programvara och kommunikationsverktyg samt alla andra unika medel som är nödvändiga för att uppnå vetenskaplig excellens. Sådana forsk- ningsinfrastrukturer kan vara lokaliserade på en enda plats eller organi- serade i ett nät (”spridda”).

Det är alltså fråga om ett brett begrepp som visserligen kan innefatta databaser (eftersom dessa får anses vara kunskapsbaserade resurser i form av strukturerad vetenskaplig information), men som även innefattar fysiska resurser som utrustning och material som inte kan sägas omfatta forskningsdatabaser.

Ett mer avgränsat begrepp som använts är databasinfrastruktur för forskning.23 Vi avser med denna term alla former av tjänster som till- gängliggör information från en forskningsdatabas, och som forskare kan använda för att hämta dessa uppgifter. I begreppet innefattas även den nödvändiga förvaltningen av den uppgiftssamling som utgör forskningsdatabasen, samt dokumentation i form av variabeldefini- tioner, datakvalitet uppdateringsfrekvenser, täckningsgrad m.m.

3.3.5Registerforskning eller registerbaserad forskning

Vår bedömning: Med begreppet registerbaserad forskning avser vi den vetenskapliga metodik eller vetenskapliga metodinslag som utredningens förslag syftar till att underlätta, dvs. sådan forskning som använder sig av uppgifter från forskningsdatabaser.

Termen registerforskning är enligt utredningen för allmän för att på ett rättvisande sätt beskriva den typ av forskning med hjälp av olika samlingar av personuppgifter som vi har att avhandla i detta betänkande.

22Rådets förordning (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric-konsortium).

23Jfr Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning (11:2010).

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

Det finns även flera begrepp än ovan nämnda som beskriver den forskning som bedrivs med hjälp av personuppgifter i olika register eller databaser; registerforskning, registerbaserad forskning, data- baserad forskning, datadriven forskning och användning av register- data i forskning m.m.

Enligt vad som framgår på webbplatsen registerforskning.se24 är registerforskning, eller mer korrekt registerbaserad forskning, forsk- ning som använder sig av uppgifter från ett eller flera register som förs av myndigheter eller andra organisationer.

Med registerbaserad forskning avsågs i Statistikutredningens del- betänkande25 sådan forskning som använder sig av uppgifter som kan knytas till fysiska personer, härrör från myndigheter eller andra organisationer och som i första hand inte primärt är insamlade för forskningsändamål. Det kan enligt Statistikutredningen också röra sig om forskning med personuppgifter som samlats in för forsknings- ändamål där personidentifikationen behålls under längre tid och där personerna följs upp med ny datainsamling vid ett eller flera tillfällen.

Termen registerforskning är enligt utredningen för allmän för att på ett rättvisande sätt beskriva den typ av forskning med hjälp av olika samlingar av personuppgifter som vi ska avhandla i detta betänkande. Registerbaserad forskning är en något mer adekvat beteckning, efter- som den bättre beskriver att forskningen görs med hjälp av uppgifter ur register. Vi avser i denna framställning sådan forskning som görs såväl med hjälp av uppgifter ur forskningsdatabaser som sådana upp- gifter som inte primärt är insamlade eller sammanställda för forsk- ningsändamål.

3.3.6Forskningshuvudman

Vårt förslag: Vi föreslår i avsnitt 8.7 att med forskningshuvudman ska avses detsamma som i etikprövningslagen.

24Vetenskapsrådet har i uppdrag av regeringen att inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till registeruppgifter i Sverige för forskningsändamål och underlätta användningen av dessa. Webbplatsen är ett led i detta arbete.

25SOU 2012:36, s. 19.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

Vi ser ett behov av att reglera vilka forskningshuvudmän som får behandla personuppgifter i forskningsdatabaser och som ska ansvara för att det görs på ett ändamålsenligt och säkert sätt. Enligt 2 § etik- prövningslagen är en forskningshuvudman en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs.

I vårt författningsförslag ska vissa forskningshuvudmän få ansvara för forskningsdatabaser under angivna förutsättningar (se avsnitt 8.7.2 och 8.8.2). Vi utgår i våra förslag från samma definition av forsknings- huvudman som används i etikprövningslagen.

3.3.7Program och projekt

Vår bedömning: Det finns inget behov av att närmare definiera forskningsprogram i regleringen av forskningsdatabaser.

Med forskningsprojekt avses detsamma som i etikprövningslagen.

Vanliga beskrivningar av den empiriskt inriktade forskningsprocessen innefattar bl.a. bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, datainsamling, konstruktion av databas, lagring av data (t.ex. person- uppgifter), analys av data, manusförfattande, publicering, dokumen- tation (bl.a. av data), samt arkivering av data. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt vanligt förekommande om forskningen följer ett forskningsprogram med flera enskilda separata forskningsprojekt som ingående delar.

Vi avser att i vårt huvuduppdrag föreslå reglering för forsknings- databaser som hanteras utanför ramen för ett enskilt forsknings- projekt. Med forskningsprojekt menar vi detsamma som avses med motsvarande begrepp i 6 § etikprövningslagen.26

Inom ramen för ett större forskningsprogram kan initiativ till nya forskningsdatabaser uppstå. Eftersom begreppet forskningsprogram, till skillnad från forskningsprojekt, inte har någon rättslig betydelse vad gäller personuppgiftsbehandling ser vi dock inte ett behov av att när- mare definiera detta begrepp. De avgörande kriterierna för att en forsk- ningsdatabas ska kunna skapas är inte avhängiga om verksamheten är organiserad som ett forskningsprogram eller på något annat sätt.

26Angående detta begrepps avgränsning, se regeringens proposition Etikprövning av forskning (prop. 2002/03:50), s. 195.

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

3.3.8Forskningsperson

Vår bedömning: Med forskningsperson avses i denna framställ- ning en registrerad vars uppgifter används för forskning.

Med forskningsperson avses en levande människa som någon viss forskning avser (jfr 2 § etikprövningslagen). Begreppet kan omfatta såväl en person som undersöks fysiskt, som en person vars person- uppgifter ingår i ett forskningsunderlag.

Med registrerad avses enligt artikel 4.1 i dataskyddsförordningen en identifierad eller identifierbar fysisk person vars personuppgifter behandlas.

När en forskningspersons personuppgifter ingår i ett forsknings- underlag på ett sådant sätt att det är fråga om behandling av dennes personuppgifter är samma fysiska person såväl en forskningsperson som en registrerad.

3.3.9Fjärråtkomst, direktåtkomst till och annat utlämnande från forskningsdatabaser

Vår bedömning: Med direktåtkomst avser vi sådan åtkomst där upptagningar som kan innehålla personuppgifter är tillgängliga för en mottagande myndighet med ett tekniskt hjälpmedel som myndigheten själv utnyttjar.27

Vi använder begreppet även i sammanhanget direktåtkomst för den registrerade till sina egna uppgifter, och avser då samma form av åtkomst som patientdatalagen (2008:355) möjliggör. Även begreppet elektronisk åtkomst används på samma sätt som i patientdatalagen.

Med automatiserat utlämnande avser vi sådan automatiserad åtkomst till forskningsdatabaser som erbjuds forskare och enskilda forskningspersoner, och som är utformad på så sätt att den ansvariga för forskningsdatabasen har kontroll över om och i så fall vilka uppgifter som ska lämnas ut i varje enskilt fall.

27Detta är samma definition som Högsta förvaltningsdomstolen använt i HFD 2015 ref. 61.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

Begreppet direktåtkomst förekommer i ett antal författningar och har under lång tid diskuterats, särskilt i samband med informationsutbyte mellan myndigheter.28 Med direktåtkomst mellan myndigheter avses sådan tillgång till uppgifter i ett datorsystem där den myndighet som förfogar över systemet i vilket uppgifterna lagras (den utlämnande myndigheten) inte i det enskilda faller har kontroll över vilka upp- gifter som förs över till annan myndighet (den mottagande myndig- heten). Annan typ av informationsutbyte mellan myndigheter och även mellan myndigheter och enskilda betecknas vanligen (annat) elektroniskt utlämnande (eller i äldre sammanhang utlämnande av personuppgifter på medium för automatiserad behandling).

Innebörden av begreppet direktåtkomst i socialförsäkringsbalken har varit föremål för bedömning i en dom från Högsta förvaltnings- domstolen.29 Den avgörande skiljelinjen mellan direktåtkomst och annat elektroniskt utlämnande knöts i domen till om uppgifterna kunde anses vara förvarade hos den mottagande myndigheten utifrån definitionen i 2 kap. 3 § andra stycket tryckfrihetsförordningen. Upp- giftsutlämnandet förutsatte i det fallet att den utlämnande myndig- heten reagerade på en begäran från den mottagande myndigheten. Den mottagande myndigheten ansågs därför inte ha tillgång till uppgifterna på så sätt som krävs enligt 2 kap. 3 § andra stycket tryck- frihetsförordningen.

I Högsta förvaltningsdomstolens avgörande behandlades begreppet så som det används i socialförsäkringsbalken vad gäller social- försäkringsdatabasen och i sammanhanget där en myndighet är mot- tagande part (114 kap. 18–22 §§ socialförsäkringsbalken). Den registrerade har inte möjlighet att få tillgång till sina uppgifter i socialförsäkringsdatabasen genom direktåtkomst.

I patientdatalagen används begreppet även för att beskriva direkt- åtkomst för den registrerade (patienten). Lagen tillåter att privat- personer kan medges direktåtkomst till sina uppgifter (5 kap. 5 § patientdatalagen). När vi i avsnitt 8.11.6 diskuterar direktåtkomst för den registrerade själv använder vi begreppet på samma sätt som i patientdatalagen.

28Se särskilt E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling (2012), Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39) och eSam Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form.

29Detta är samma definition som Högsta förvaltningsdomstolen använt i HFD 2015 ref. 61.

Bakgrund, utgångspunkter och begrepp

SOU 2018:36

Gemensamt för de båda formerna av direktåtkomst är att det är fråga om en viss form av elektroniskt utlämnande där den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av.30

Det vanliga förfarandet för att få ut uppgifter lagrade i en forsk- ningsdatabas torde vara att den forskare som behöver uppgifterna, med stöd av ett automatiserat system, formulerar en begäran om- fattande vissa uppgifter, och att forskningsdatabasen, likaledes auto- matiserat, svarar på denna begäran med de uppgifter som enligt databasens konfigurerade regler kan lämnas ut. Det torde därför vara fråga om annat elektroniskt utlämnande. För att understryka dels att detta förfarande är huvudregeln, dels att det är fråga om automatiserad kommunikation mellan två digitala system, använder vi termen automatiserat utlämnande för sådan åtkomst.

Begreppet är skiljt från begreppet fjärråtkomst, med vilket i registerbaserade forskningssammanhang avses åtkomst till en it-miljö i vilken man kan arbeta med data i en forskningsdatabas, utan att de enskilda uppgifterna behöver överföras till forskarens eget it-system (se vidare i avsnitt 8.11.5 om begreppet och dess potential att uppnå uppgiftsminimering, samt avsnitt 4.2.3 om just forskningens behov av fjärråtkomst).

Samtliga ovanstående begrepp rör situationer där uppgifter lämnas ut till eller tillgängliggörs för en part utanför den organisation som har uppgifterna. Även internt inom en sådan organisation förekommer förstås att en anställd behöver tillgång till uppgifterna för att kunna fullgöra sina arbetsuppgifter. Vi använder termen elektronisk åtkomst för denna form av tillgång till uppgifter inom organisationen, vilket motsvarar det begrepp som används i 4 kap. 2–4 §§ patientdatalagen.

3.3.10Centraliserad och decentraliserad

Begreppsparet centraliserad/decentraliserad används i det följande för att beskriva både beslutsfattandet avseende forskningsdatabaser och för drift och övrigt förvaltande av själva databaserna, inklusive var uppgifterna fysiskt lagras.

Med centraliserat beslutsfattande avser vi en sådan process där en central part (myndighet) har ansvaret för och kompetensen att fatta

30Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 87.

SOU 2018:36

Bakgrund, utgångspunkter och begrepp

de aktuella besluten, även om beslutet rör andra parters verksamhet. Med decentraliserat beslutsfattande avser vi situationen att parten själv ansvarar för beslut rörande sin egen verksamhet.

Med en centraliserad databas avses i stället en lösning där den faktiska lagringen av uppgifter, såväl som förvaltandet av it- systemet, utförs hos en och endast en part. Uppgifterna i en sådan databas kan i och för sig härstamma från olika källor (insamlade direkt från forskningspersonerna, hämtade från myndighetsregister, eller från andra källor), men det avgörande är att en part lagrar upp- gifterna på ett ställe och ansvarar självständigt för den behandling som denna lagring (och utlämnande) utgör.

En decentraliserad databas har i stället delat upp förvaltning och lagring av data i flera separata, samverkande system. En sådan lösning benämns ofta distribuerad databas. Ett specialfall av detta är s.k. federerade databaser, där de ingående systemen har en hög grad av självständighet och heterogenitet.31 Det kan exempelvis vara fråga om register hos flera olika myndigheter som med automatiserat utlämnande momentant tillgängliggör uppgifter på ett sådant sätt så att det för användaren framstår som en sammanhållen databas.

31SOU 2017:50 s. 261 f.

4 Behov av forskningsdatabaser

4.1Inledning

I direktiven till denna utredning anges att utredaren ska föreslå en långsiktig reglering av forskningsdatabaser och lämna de författnings- förslag som behövs.1 Förslag till anpassning av viss befintlig reglering till den allmänna dataskyddsförordning2 som ska tillämpas fr.o.m. 25 maj 2018 har utredningen tillsammans med andra förslag lämnat i tidigare delbetänkande.3

Vad gäller lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den s.k. LifeGene-lagen) är den tidsbegränsad, men har i avvaktan på en långsiktig lösning i flera omgångar fått förlängd giltighetstid.4 Regeringen och riksdagen har även i vissa andra fall sett ett behov av att inrätta långsiktiga forsk- ningsdatabaser med breda ändamål. Det råder en rättslig osäkerhet inom detta område som har resulterat i speciallagstiftning i vissa fall. I kapitel 5 redogör vi för de rättsliga förutsättningarna för forsk- ningsdatabaser.

Förslag till reglering av forskningsdatabaser har tidigare lämnats av Registerforskningsutredningen,5 men detta har ännu inte lett till några författningsförslag. Mot bakgrund av att rättsläget nu genom refor- mer på europeisk nivå blivit tydligare har regeringen efterfrågat en långsiktig generell lösning för forskningsdatabaser. En lösning behövs som tar hänsyn till bland annat den utredningens och Utredningens

1Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

3Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).

4Riksdagen har beslutat att förlänga denna lags giltighet till och med den 31 december 2020 (Prot. 2017/18:27 8 november § 15).

5Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45).

Behov av forskningsdatabaser

SOU 2018:36

om regleringen av biobanker6 slutbetänkanden, samt de möjligheter och begränsningar som kan finnas med anledning av dataskydds- förordningen och dess kompletterande svenska lagstiftning.7

I Registerforskningsutredningens betänkande görs noggranna genomgångar av fördelarna med såväl registerbaserad forskning i allmänhet som forskningsdatabaser i synnerhet. Vi gör bedömningen att de slutsatser beträffande behovet av forskningsdatabaser som Registerforskningsutredningen redovisade alltjämt i stort sett är rele- vanta. Vi hänvisar därför till det betänkandet när det gäller utred- ningen av behovet av forskningsdatabaser. Vi kommer i betänkandet endast att komplettera den utredning som redan gjorts, bl.a. med hän- syn till utvecklingen i samhället efter det att Registerforsknings- utredningen lämnade sitt betänkande i juni 2014.

Detta kapitel tar därför sin utgångspunkt i Registerforsknings- utredningens bedömningar. Vi har i uppdrag att komma med förslag som reducerar eller eliminerar den rättsliga osäkerheten. Vi ska föreslå en generell reglering som underlättar personuppgiftsbehandling i forskningsdatabaser samtidigt som den tillvaratar de krav på skydd av den personliga integriteten som den nya dataskyddsförordningen tillsammans med kompletterande och redan existerande bestämmelser ställer upp.

4.2Behövs det särskilda forskningsdatabaser?

I Registerforskningsutredningens betänkande diskuteras varför registeruppgifter är bra för forskning och vilka fördelar det finns med forskningsdatabaser.8 I korthet argumenteras där för att man med heltäckande stora befolkningsregister kan

•studera ovanliga företeelser som förekommer alltför sparsamt i exempelvis urvalsundersökningar,

•genom personnummer göra kopplingar mellan undersökningar av mindre grupper (t.ex. genom urval) och heltäckande register där alla individer kan återfinnas,

6Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4).

7Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

8SOU 2014:45, s. 93–114.

SOU 2018:36

Behov av forskningsdatabaser

•koppla uppgifter från biologiska prover i biobanker med uppgifter om personer i hälsodataregister, kvalitetsregister eller andra register från exempelvis Statistiska Centralbyrån (SCB),

•på lång sikt följa upp konsekvenser av tidigare händelser,

•kartlägga den sociala omgivningens betydelse för individuella handlingar,

•studera skillnader i sociala insatser och socialpolitiskt relevanta åtgärder mellan kommuner och regioner,

•genomföra longitudinella studier där personer kan följas över långa tidsperioder utan att andra spårningsinsatser än personnummer och heltäckande registeruppgifter finns, och

•simulera effekterna av ekonomiska och socialpolitiska reformer i skilda befolkningsgrupper.

Det har sammantaget ofta framhållits att tillgången till register- uppgifter med personnummer har inneburit en stor potential för framgångsrik svensk forskning som bör utnyttjas bättre.9 Denna värdering återspeglas också i utredningens direktiv. Vi betraktar detta som utgångspunkt för den fortsatta analysen.

Uppgiften är att föreslå en långsiktig lösning på de behov som hittills enbart resulterat i lagstiftning om inrättande av vissa speci- ficerade forskningsdatabaser. Frågan om det utöver myndighets- registren och hälso- och sjukvårdens biobanker behövs särskilda data- baser eller biobanker avsedda huvudsakligen eller enbart för forsk- ning, ägnas uppmärksamhet i Registerforskningsutredningen.10 I det följande redogör vi kortfattat för deras slutsatser.

4.2.1Registerforskningsutredningens bedömning

Ett första preliminärt svar på om det behövs särskilda databaser för forskning går att få fram genom att undersöka den faktiska före- komsten av befintliga databaser som fungerar som underlag för ett

9Se exempelvis regeringens proposition Kunskap i samverkan för samhällets utmaningar och stärkt konkurrenskraft, (prop 2016/17:50) s. 97–98.

10SOU 2014:45, s. 342–362.

Behov av forskningsdatabaser

SOU 2018:36

flertal forskningsprojekt.11 En undersökning av detta slag inom samhällsvetenskap och medicin resulterade i en uppskattning av att det år 2014 förekom minst 50 sådana databaser.12 Uppskattningen var troligen en underskattning av det verkliga antalet. Inventeringen inne- håller exempelvis inte många av de forskningsbiobanker13 som används av flera projekt.14 Ingen förnyad uppskattning av antalet har gjorts efter detta.

Av detta kan man dra slutsatsen att forskningsdatabaser redan används i betydande omfattning inom ett antal centrala forsknings- områden. Registerforskningsutredningen hänvisar också till att det utöver svenska forskningsdatabaser finns utländska initiativ för att bygga upp databaser i Europa och USA. Man pekar på den satsning på forskningsinfrastruktur som gjorts av Vetenskapsrådet och som är en del av det europeiska programmet för utveckling av forskningsinfra- strukturer, ESFRI.15 I den satsningen utgör databaser en viktig kom- ponent. Detta behov framhålls även i den uppdaterade nationella guide till infrastrukturen som Vetenskapsrådet har publicerat efter Registerforskningsutredningens betänkande.16 Det har ofta fram- hållits att tillgången till registeruppgifter med personnummer har inneburit en stor potential för framgångsrik svensk forskning och att denna resurs bör utnyttjas bättre.

Varför är det då inte tillräckligt att bygga upp fokuserade data- mängder som inriktas på enskilda projekt? Registerforskningsutred- ningen anger att forskningsdatabaser kan möjliggöra olika forsknings- insatser inom breda fält17 och citerar Vetenskapsrådet som anger att forskningsdatabaser som infrastruktur handlar om ”material som kräver långsiktighet i planering, finansiering och användande och är för dyr och/eller kräver sådana tekniska och personella resurser att det

11Den nuvarande rättsliga grunden för att använda dessa personuppgifter för fler än ett ändamålsavgränsat projekt berörs inte här, men kan i allmänhet hänföras till det undantag från finalitetsprincipen som finns i 9 § personuppgiftslagen och som gäller vidareutnyttjande av uppgifter för bland annat forskningsändamål.

12Erikson R., Andersson-Rydell L., Nationell samordning av frågeundersökningar och längd- snittsstudier, Vetenskapsrådet 2014.

13En förteckning över drygt 100 sådana provsamlingar återfinns på BBMRI.SE.

14Några studier som kombinerar lagring av prover med andra uppgifter, LifeGene och EpiHealth, finns däremot med.

15European Strategy Forum on Research Infrastructures, http://www.esfri.eu/roadmap-2016

16Vetenskapsrådets guide till infrastrukturen 2014, Vetenskapsrådet 2015, s. 10.

17SOU 2014:45, s. 349.

SOU 2018:36

Behov av forskningsdatabaser

inte kan finansieras lokalt eller inom ramen för ett enskilt forsknings- projekt”.18 Det huvudsakliga generella skäl som anförs för gemen- samma databasresurser synes således vara att de medel som satsas på forskning ska användas på ett rationellt och resursbesparande sätt.

Det finns ytterligare skäl för forskningsdatabaser när det existerar behov av att i forskningen använda uppgifter från befolkningsregister, som har samlats in av centrala och regionala myndigheter för andra ändamål än forskning. Registerforskningsutredningen hade vid kon- takter med omkring femtiotalet forskare19 fått del av följande motiv till varför forskningsdatabaser med uppgifter från myndighetsregister behövs:

•Det tar tid och kostar pengar att få ut uppgifter från exempelvis SCB.

•Uppgifterna från myndighetsregistren går ofta inte att använda direkt utan kräver bearbetning, vilket tar tid, alltifrån några månader till ett år eller mer.

•Mindre fel i underlaget som inte spelar någon roll när myndigheter som SCB tar fram officiell statistik kan vara viktiga i forskningen och måste korrigeras.

•Forskare måste ofta konstruera egna variabler genom att kombinera uppgifter ur olika register.

•Det kräver tid och träning att lära sig vilka styrkor och svagheter en databas har, för att förstå hur den kan användas. Det är viktigt att några har den kompetensen för att kunna bistå forskare i konkreta forskningsprojekt.20

Registerforskningsutredningen tog också ställning till om det skulle vara tillåtet och praktiskt möjligt att i stället för lokalt lagrade forsk- ningsdatabaser bestående av uppgifter som satts samman från olika källor (i det följande kallat sambearbetade forskningsdatabaser) använda sig av fjärranslutning till de datakällor som behövs.

18Vetenskapsrådet utredning 2005 Om forskningens infrastrukturer inom humaniora och samhällsvetenskap, citerad i SOU2014:45 s. 350.

19Registerforskningsutredningen samtalade under tre månaders tid våren 2013 med femtiotalet forskare vid sju särskilda forskarmöten, deltog utöver detta i flera forskarkonferenser och arrangerade våren 2014 ett särskilt seminarium med ledande forskare.

20SOU 2014:45 s. 356–357.

Behov av forskningsdatabaser

SOU 2018:36

Vid SCB finns ett system för fjärråtkomst, Microdata Online Access (MONA). Det gör det möjligt att hos SCB lagra och använda forskningsregister med uppgifter som genererats såväl genom in- samling i forskningsprojekt som insamling och bearbetning av upp- gifter från myndighetsregister.21 Denna resurs fungerar väl när de forskargenererade uppgifterna är av begränsad omfattning och myndighetsuppgifterna tas från register som förs av eller lagras vid SCB och används inom den officiella statistiken vid myndigheten. MONA-systemet kan i viss utsträckning tillhandahålla åtkomst till uppgifter även från andra myndigheter än SCB. Den möjligheten har dock inte kunnat användas i så stor utsträckning. Socialstyrelsen har t.ex. ansett att det finns legala hinder för att lägga fullständiga kopior av hälsodataregistren i MONA. Man har också, i den utvärdering som gjordes av MONA strax efter Registerforskningsutredningens betän- kande, angivit att en rad rättsliga och finansieringsfrågor behöver genomlysas innan myndigheten är beredd att införa ett eget system för fjärråtkomst.22 Registerforskningsutredningens rekommendation att liknande system skulle etableras inom andra myndigheter, inte minst Socialstyrelsen, har således inte efterlevts.23

Det förekommer fall där många databaskällor varit aktuella och där omfattningen av de data som behöver kombineras är för stor för MONA. Det gäller exempelvis när uppgifter från biobanker ska sambearbetas med hälsodataregister och med uppgifter från SCB. Data kan också förändras i en alltför snabb takt för att ett MONA- liknande system ska vara lämpligt. Man har då undersökt möjligheten till s.k. federerade databaser, som innebär att data från olika källor sammankopplas vid analystillfället utan att uppgifterna behöver förflyttas fysiskt till en gemensam databas som lagras vid ett och samma ställe.24 Vid tiden för Registerforskningsutredningens betän- kande fanns ännu inte federerade system av den storleksordning och med den generella inriktning som skulle kunna utgjort ett realistiskt alternativ till fysiskt sambearbetade och lokalt hanterade databaser av det slag som utredningen föreslog. Utredningen konstaterade:

21Microdata Online Access, https://www.scb.se/sv_/Vara-tjanster/Bestalla-mikrodata/MONA/#

22Evaluation of the MONA system (Microdata Online Access). Vetenskapsrådets rapporter 2014, s. 19–20.

23SOU 2014:45, s. 363–364.

24SOU 2014:45, s. 364.

SOU 2018:36Behov av forskningsdatabaser

För att ett federerat system kan vara användbart i stor skala krävs ett omfattande och tekniskt avancerat utvecklingsarbete. (……) Det kan

finnas skäl för regeringen att överväga att inrätta en särskild delegation för att följa detta arbete och ta de ytterligare initiativ som kan behövas. Regeringen har i den senaste forskningspropositionen25 aviserat ett initiativ men ännu har inget sådant tagits.26

4.2.2Har förutsättningarna ändrats sedan 2014?

Vår bedömning är att de ovan angivna motiven för forskningsdata- baser i stora drag alltjämt gäller. Det är dock inte tydligt vilka förut- sättningar det finns för att på ett rättsenligt sätt behandla person- uppgifter i en forskningsdatabas. Forskningsdatautredningen har till uppgift att föreslå en långsiktig lösning på detta problem. I detta avsnitt redogörs för den utveckling som skett på området sedan 2014. När det gäller utbyggnad av de registerresurser som är potentiellt intressanta i samhället har utveckling främst skett inom dessa områden:

•Digitaliseringen har utvecklats allt mer, framför allt med avseende på möjligheterna till distansarbete och på den teknik som medger att användare på ett säkert sätt kan fjärransluta sig till gemensamt tillgängliga resurser.

•Antalet nationella kvalitetsregister inom hälso- och sjukvården har ökat och en gemensam organisation för hantering av uttag för forskningsändamål m.m. har byggts upp.27

•Befintliga resurser inom biobanksområdet har samordnats, sam- arbetet mellan det nationella biobanksrådet och BBMRI28 har förstärkts, och ytterligare en offentlig utredning har rekom- menderat inrättandet av ett nationellt biobanksregister.29

•Den registerbaserade folkbokföring som baseras på lägenhets- registret och Skatteverkets uppgifter ger en mer komplett och

25Regeringens proposition Forskning och innovation (prop. 2012/13:30).

26SOU 2014:45 s 364. Se även s. 337–340.

27Enligt patientdatalagen (2008:355) är kvalitetsregister en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

28Biobank and Molecular Resource Infrastructure, en europeisk infrastruktur för forskning med användning av biologiska prover.

29SOU 2018:4.

Behov av forskningsdatabaserSOU 2018:36

rättvisande bild av befolkning, boende och familjebildning i Sverige.

•Viss utveckling av forskaranpassade databaser och registerservice har genomförts vid några myndigheter, exempelvis SCB, Social- styrelsen och Försäkringskassan.

•Särskilt stöd till registerbaserad forskning i Vetenskapsrådets regi har inletts och myndighetens satsning på stöd till infrastrukturer som innehåller forskningsdatabaser har förstärkts.

I följande avsnitt skisseras digitaliseringens utveckling med avseende på hur forskare utvecklat sina arbetssätt när det gäller användning av personuppgifter. Därefter följer en redogörelse för den utveckling vid statliga och kommunala myndigheter som är relevant för person- uppgiftsbehandling för forskningsändamål och som skisserats punkt- vis ovan. Slutligen görs en bedömning av om fysiskt sammanhållna centraliserade forskningsdatabaser fortfarande är ett önskvärt tillväga- gångssätt för att tillgodose behovet av forskning med personuppgifter.

4.2.3Digitaliseringens inverkan på utveckling av forskningsdatabaser

Traditionella personuppgiftssamlingar för forskningsändamål

Användning i större skala av datorer i forskning inleddes på 1950- talet. Den innebar en stegvis genomgripande förändring av forsk- ningens villkor och möjligheter, både vad gäller beräkningsmöjlig- heter och möjligheten att använda stora datamängder. Inom den forskning som har personer som forskningsobjekt innebar datori- seringen till att börja med att registrerades uppgifter överfördes från insamlingskällan (exempelvis ett frågeformulär, ett provtagnings- protokoll eller en ljudinspelning) till hålkort. Vid analystillfället lästes dessa in för datorbearbetning tillsammans med de styrkort som användes för beräkningarna. Sedermera kunde man spara uppgifterna i datafiler i minnet på en dator eller på disketter, som också innehöll de datorprogram som användes för att analysera uppgifterna. In- samling, förvaltning och användning av data sköttes av enskilda forskare, forskargrupper eller programmerare vid lokala lärosäten och

SOU 2018:36

Behov av forskningsdatabaser

med användning av terminaler uppkopplade till en eller flera vid läro- sätet centralt placerade datorer.

För att få tillgång till uppgifter hos myndigheter krävdes vanligen att forskaren gjorde sina analyser på den fysiska plats där uppgifterna förvarades. Dessa principer tillämpades exempelvis av SCB på 1970- talet. Då kunde man som forskare besöka myndigheten för att ta del av uppgifter som ursprungligen hade samlats in för statistikändamål. Utvecklingen ledde efter hand till att det blev möjligt att erhålla kopior av originaluppgifter. De förflyttades då fysiskt till forskarens egna datormiljö. Uppgifter av detta slag levererades ofta i anonymi- serad form.

Efter hand uppstod behov av att analysera uppgifter om samma forskningspersoner från olika källor. Detta krävde tillgång till person- uppgifter med identifierare. Det svenska personnummersystemet, som är gemensamt för alla samhällssektorer och omfattar alla bosatta i landet, erbjöd här unika möjligheter jämfört med andra länder. Det gjorde det möjligt att komplettera egeninsamlade uppgifter med utdrag från administrativa uppgiftssamlingar och andra källor som använder personnumret. Utvecklingen ledde till att unika forsknings- material skapades i varje enskild forskningsmiljö. De bestod ofta av såväl egeninsamlade uppgifter som uppgifter från andra källor.

Överföringen av uppgifter från originalkällan gjordes genom direkta kontakter mellan registerhållaren och användaren. De upp- giftssamlingar som skapades blev därmed avgränsade till de specifika behov som förelåg för det enskilda forskningsprojektet. Sam- bearbetning av register innehållande uppgifter som härrörde från statistikmyndigheterna med andra uppgifter sköttes ofta av myndig- heten. Det var anonymiserade eller pseudonymiserade uppgifter som skickades till forskargruppen.

I Sverige uppstod under 1980-talet en debatt om de integritets- risker bevarandet av personuppgifter för forskningsändamål innebar. Det uppmärksammades särskilt i samband med att intervjusvar från föräldrar i det s.k. ”Metropolitprojektet” insamlade på 1960-talet senare, i enlighet med den lagstiftning som då gällde, kombinerades med registeruppgifter från myndigheter utan de registrerades vetskap eller godkännande.30 Debatten kring Metropolit bidrog sannolikt till att integritetsfrågorna uppmärksammades särskilt under 1980-talets

30Se Stenberg S-Å, (2013) Född 1953: Folkhemsbarn i forskarfokus. Borea.

Behov av forskningsdatabaser

SOU 2018:36

senare hälft.31 Genomgripande förändringar av lagstiftningen kom dock först efter det europeiska dataskyddsdirektivets tillkomst 1995, som 1998 implementerades i Sverige genom personuppgiftslagen (1998:204). De regler som tillkom motsvarade dåtidens behov av koncentrerade uppgiftssamlingar med specifika ändamål.

Utveckling av databibliotek

Under 1960-talet uppstod på olika håll tanken att forskare borde dela med sig av uppgifter till andra forskargrupper. I USA bildades år 1962 ett konsortium för statsvetenskaplig forskning (ICPSR)32 med syftet att utveckla gemensamma dataresurser för forskning. Organisationen omfattar i dag omkring 750 medlemsuniversitet över hela världen och omkring 750 000 uppgiftssamlingar inom ett brett område av akade- miska discipliner. En stor majoritet av samlingarna är anonymiserade och öppet tillgängliga, men cirka 2 procent kräver godkännande och är skyddade, bland annat av integritetsskyddande regler. Stora delar av den samhällsvetenskapliga forskningen har, särskilt i USA, grundats på sekundäranalys av data hämtade från konsortiet. Ett flertal svenska universitet är medlemmar och Svensk Nationell Datatjänst (SND) är nationell nod.33 På europeisk nivå finns samarbetsorganisationen Consortium of European Social Science Data Archives (CESSDA- ERIC) med säte i Bergen, Norge.

Utveckling av gemensamma forskningsdatabaser inom samhällsvetenskap och välfärdsforskning

Under 1960- och 70-talen uppstod parallellt insamling av surveydata, dvs. uppgifter insamlade från de registrerade själva med hjälp av intervjuer eller postenkäter, avsedda för fler forskargrupper. Upp- giftssamlingar av detta slag är fortfarande i dag viktiga källor för den svenska och internationella välfärdsforskningen.

31Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten (SOU 2007:22), s. 510.

32Miller, W E. (1963), The Inter-University Consortium for Political Research, American Behavioral Scientist 7:3, s. 11–12.

33SND är således det nationella databibliotek som ingår som Sveriges del av det internationella samarbetet inom ICPSR och CESSDA-ERIC.

SOU 2018:36

Behov av forskningsdatabaser

I Sverige gav 1968 års Låginkomstutredning upphov till Levnads- nivåundersökningen (LNU), som sedan 1974 har skötts av Stockholms universitet.34 LNU innehåller personuppgifter, men den identifierande nyckelfilen förvaras vid SCB. Uppgifterna identifieras i samband med att de i undersökningen ingående personerna ska återintervjuas, vilket görs med jämna mellanrum. LNU används av flera forskningsprojekt och har kommit att utgöra ett viktigt bidrag till såväl den svenska som internationella socialvetenskapen. Urvals- ramen utgörs av vuxna personer bosatta i Sverige i yrkesaktiv ålder. Uppgifterna har i begränsad omfattning kompletterats med uppgifter från myndigheter, exempelvis med avseende på inkomster från självdeklarationer och dödsfall i urvalet, och har utökats med upp- gifter om samboende, barn och äldre.

I USA finns en motsvarande frågeundersökning, General Social Survey (GSS).35 Den initierades år 1972 och genomförs av National Opinion Research Center (NORC) vid University of Chicago inom ramen för ”The National Data Program for the Social Sciences”. Pro- grammet syftar såväl till att genomföra social forskning som att tillhandahålla anonymiserade data till samhällsvetare och andra intresserade.36 På hemsidan finns möjlighet att söka data och analysera uppgifter online.

Inom SCB skapades år 1975, delvis också med bakgrund i Låg- inkomstutredningen, parallellt med LNU årsvisa undersökningar av levnadsförhållanden (ULF). Intervjuer genomförs som återkom- mande tvärsnittsundersökningar, men en mindre del av urvalet har behållits och återintervjuats med jämna mellanrum. Undersökningen syftar till att ”belysa välfärdens fördelning mellan olika grupper i befolkningen”. Den kan anses ingå i myndighetens statistikuppgift, men har använts mycket flitigt av välfärdsforskare sedan 1970-talet. 37

Från och med 2008 samordnades ULF med den europeiska under- sökningen Survey of Income and Living Conditions (SILC) genomförd av de nationella statistikmyndigheterna inom EU på uppdrag av Eurostat. SILC:s ”mikrodata” är tillgängliga för forskare

34http://www.sofi.su.se/forskning/tre-forskningsavdelningar/lnu

35http://gss.norc.org/

36gss.norc.org/About-The-GSS

37Undersökningarna av levnadsförhållanden (ULF/SILC) 2012, SCB DOK .32 s. 3.

Behov av forskningsdatabaser

SOU 2018:36

och direkt identifierade personuppgifter kan analyseras på plats hos Eurostat i Luxemburg.38

Inom ramen för de europeiska forskningsinfrastrukturerna (ESFRI)39 genomförs en undersökning av åldrande, hälsa och pensione- ring (Survey of Health, Ageing and Retirement, SHARE-ERIC) där personer följs över tid för forskningsändamål. Tillgång till anonymi- serade data från SHARE erbjuds fritt till forskare över hela världen.40

En parallell undersökning till den nordamerikanska GSS är European Social Survey (ESS-ERIC) som genomförs vartannat år sedan 2002. I 2016 års datainsamling deltog 18 länder. Den utgör en europeisk forskningsinfrastruktur med samma policy för forskar- tillgång som SHARE (fri tillgång till anonymiserade uppgifter).41

ESFRI-programmet har medfört utveckling av en europeisk organisationsform reglerad i EU-rätten, så kallade konsortier för europeisk forskningsinfrastruktur (ERIC-konsortier).42 Varje ERIC har en värdmedlemsstat i vilken organisationen erkänns status som internationell organisation. Medlemsländer kan välja att delta och för- binder sig då att stödja och lämna resurser till verksamheten i enlighet med ett avtal. Vetenskapsrådet bereder ärenden för Sveriges del och riksdagen beslutar om svenskt deltagande. I de ovan beskrivna fallen (SHARE-ERIC och ESS-ERIC) innebär stödet att medlemslandet samlar in och tillhandahåller uppgifter i enlighet med ett överens- kommet protokoll. För CESSDA-ERIC innebär samarbetet att man förbinder sig att finansiera och stödja datautbyte genom det euro- peiska databiblioteket i Bergen (se Utveckling av databibliotek ovan).

De ovanstående exemplen illustrerar att datainsamling avsedd för breda forskningsområden och fler forskargrupper har pågått under lång tid. Behoven ökar alltjämt, har internationaliserats, och har givits en fastare gemensam reglering genom tillkomsten av ERIC-systemet. De beskrivna datamängderna samlas in för brett definierade ändamål och uppdateras för samma eller nya intervjupersoner över tid. De kompletteras dock i regel inte, eller i mycket begränsad omfattning, med uppgifter om samma personer från andra undersökningar med olika innehåll, från hälsodataregister eller administrativa register.

38Regulation (EC) No 223/2009, art. 26.

39Strategy Report on Research Infrastructures. Roadmap 2016, European Strategy Forum for Research Infrastructure, s. 85.

40http://www.share-project.org/data-access.html

41http://www.europeansocialsurvey.org

42Rådets förordning (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric-konsortium).

100

SOU 2018:36

Behov av forskningsdatabaser

Tillgång till informationsdatabaser

Utveckling av samarbete mellan forskargrupper kräver gemensam information.43 Till att börja med dokumenterades gemensamma forskningsdatabaser av den typ som beskrivs i föregående avsnitt i s.k. ”kodböcker” tillsammans med tekniska rapporter som beskrev hur datainsamlingen gått till. Kodböcker innehöll metainformation med vars hjälp detaljerade beställningar av uppgiftssamlingar kunde göras.44 Förteckningar över innehållet i databibliotek publicerades periodiskt i böcker eller rapporter.45 Såväl dokumentation som data överfördes från gemensamma databibliotek, s.k. datarepositorier, till forskare med traditionell postgång.

Den tekniska utvecklingen ökade snabbt möjligheterna till informationsutbyte mellan datorer. Kontakt mellan fysiskt åtskilda datorer utvecklades under 1970-talet genom tillkomsten av kom- munikationsverktyg som TCP/IP, NNTP och Bitnet.46 Från och med 1980-talets början kunde de då nyligen utvecklade persondatorerna sammankopplas i lokala nätverk, s.k. ”Local Area Networks” (LAN). I mitten på 1980-talet utvecklade det amerikanska vetenskapsrådet (National Science Foundation) ett akademiskt kontrollerat internet- system, det s.k. NSFNET, som sedermera kommersialiserades och blev World Wide Web (”www”). Utvecklingen av stationära och sedermera portabla persondatorer innebar således en snabb decentra- lisering av forskares digitaliserade verktyg samtidigt som möjligheten att nå gemensamma informationskällor på distans utvecklades. Detta har lett till att forskare kan nå gemensamma resurser utan att behöva befinna sig på samma fysiska plats. Den fortsatta utvecklingen av datorer och nätverksteknik har medfört att dokumentation av data i dag huvudsakligen erbjuds genom fjärråtkomst.

De tekniska möjligheterna har inneburit ökade möjligheter att utveckla dokumentation enligt gemensamma standarder och på platt- formar som är tillgängliga för många forskare. Dokumentation såsom ”kodböcker” kan göras tillgänglig på nätet via PDF eller andra digitala

43Den information som här avses innefattar beskrivningar av uppgiftssamlingarna och inte själva uppgifterna.

44Se t.ex. The 1972-73 Quality of Employment Survey, Survey Research Center, Institute for Social Research, University of Michigan, Ann Arbor, USA.

45Katalogen Guide to Resources and Service gavs till en början ut årsvis i bokform, men har nu ersatts av online-dokumentation.

46Transmission Control Protocol/Internet Protocol (TCP/IP), Network News Transfer Protocol (NNTP) och ”Because It’s Time”-Net (BITNET).

101

Behov av forskningsdatabaser

SOU 2018:36

format. Dokumentationen kan också samordnas i digitaliserade infor- mationsdatabaser för forskning som använder gemensam semantik och är sökbara. En metadokumentation kan innefatta uppgifter om insamlingskontext, insamlingsmetoder, klassifikationer, årgångar, variabler och värdemängder. Informationsdatabaser som är till- gängliga online omfattar dock vanligen inte personuppgifter. De kan därför skapas utan att begränsas av de regler som har till syfte att skydda personers integritet.

Utvecklingen av gemensam information för fysiskt utspridda användare via centraliserade informationsdatabaser har blivit ett allt viktigare instrument i forskningen. Vid Vetenskapsrådets enhet för registerforskning47 pågår för närvarande uppbyggnad av ett gemen- samt dokumentationsverktyg, Register Utility Tool (RUT) som är avsett att med gemensam semantik dokumentera databaser vid myndigheter och hos forskargrupper. RUT innehåller detaljerad infor- mation om variabler och värdemängder i databaserna och myndigheten rekommenderar att dokumentationsverktyget används av de data- basinfrastrukturer som får stöd av Vetenskapsrådet. Tillsammans med detta utvecklas stöd för att utforma ansökningar om etikprövning och utlämnande av uppgifter från registerhållare. Allt detta underlättar planering av forskning med utnyttjande av befintliga gemensamma databaser.

Mot bakgrund av ovanstående är det utredningens uppfattning att det under senare år har gjorts viktiga framsteg på dokumentations- området. Därmed har möjligheterna till samordning av forskning mellan forskargrupper stärkts. Möjligheterna till uppbyggnad av forskningsdatabaser har också ökat. Det är vår bedömning att önske- målen om att bygga upp sådana strukturer har ökat inom flertalet vetenskapsområden som använder personuppgifter. Detta har vi också erfarit i samband med en rad besök på olika lärosäten.

Forskningsdatabaser

Begreppet forskningsdatabas används i denna utredning såsom det definierats i Registerforskningsutredningen, men med viss modi- fiering (se avsnitt 3.3.3). Forskningsdatabasen är en samordnad upp- giftssamling, som tillhandahåller uppgifter för flera forskningsprojekt

47Se https://registerforskning.se

102

SOU 2018:36

Behov av forskningsdatabaser

och/eller forskargrupper. Forskningsdatabasen innehåller såväl meta- data som personuppgifter. I praktiken utvecklas enhetlig semantik och dokumentation ofta parallellt med att behandling av person- uppgifter från olika källor samordnas i en forskningsdatabas.

En forskningsdatabas kan utgöras av en enskild insamling av uppgifter som från början är samordnad inom ett projekt, men som är avsedd att betjäna flera forskargrupper under en viss tidsperiod. Upp- gifterna uppdateras och kompletteras med ny insamling under forskningsdatabasens livscykel. Beskrivningen i föregående avsnitt av de nationella välfärdsundersökningarna LNU och ULF är exempel på detta.

Forskningsdatabaser kan också bestå av en sammanläggning av observationer som samlats in i flera olika projekt i enlighet med samma eller i stort sett liknande undersökningsprotokoll.

En internationellt samordnad surveyundersökning utförd enligt samma protokoll i flera länder kan utgöra en forskningsdatabas. Den i kapitel 11 behandlade Luxembourg Income Study innebär insamling av inkomstuppgifter från deklarationer för gemensam jämförande analys i en europeisk forskningsdatabas.

Så kallad ”pooling” innebär att man samlar uppgifter från många olika källor i en forskningsdatabas. Detta genomförs ofta för att uppnå tillräckligt antal observationer för forskning. Den forskning som rör sällsynta sjukdomar hos barn baseras på uppgifter från många olika länder som läggs samman i en databas.48

Ett tredje exempel är genomdatabanker där hela eller delar av individers genetiska kod samlas och görs tillgängliga för olika forsk- ningsprojekt.49

Forskningsdatabaser kan således skapas genom att observationer av samma karaktär samlas från olika håll för att åstadkomma en stor- skalig dataresurs för forskningssamarbete. I detta fall sammanförs likadana uppgifter om olika personer i en större uppgiftssamling.

Forskningsdatabaser kan också bestå av sammanläggning av uppgifter som samlats in från olika håll och som rör olika personer. Forskningsdatabasen kommer då att innehålla kopior av uppgifter från olika originalkällor. Källorna kan vara statistikmyndigheter,

48Se t.ex. Adler A. et. al., PhenoDis: a comprehensive database for phenotypic characterization of rare cardiac diseases, Orphanet J Rare Dis 2018 Jan 25:13(1), s. 22.

49Fusi F et. al., Building Global Genomics Initiatives and Enabling Data Sharing: Insights from Multiple Case Studies, OMICS 2018 Mar. doi:10 1089/omi.2017.02.14, (E-publikation innan tryckning).

103

Behov av forskningsdatabaser

SOU 2018:36

andra myndigheter eller organisationer som inte är forskningsorgani- sationer, eller forskningsmaterial som återanvänds och kombineras med andra uppgifter. Resultat av analyser av prover från hälso- och sjukvårdens regionala biobanker sambearbetade med hälsodata- register och/eller uppgifter om de registrerades exponering för risker, upprättade för samarbete kring ett forskningsområde, kan utgöra exempel på en sådan forskningsdatabas.

Biobanksutredningen föreslår att ett nationellt spårbarhetsregister för forskningsändamål upprättas vid Socialstyrelsen som kan använ- das på detta sätt.50 Enligt en debattartikel författad av tre ministrar i samband med presentationen av regeringens Life Science-kontor i februari 201851 är det först när dessa (biobanker och register) sam- utnyttjas som industrin och den akademiska forskningen kan utnyttja sina fulla potentialer.

De forskningsdatabaser som beskrevs av Registerforsknings- utredningen bestod huvudsakligen av sambearbetningar av myndig- hetsuppgifter som i begränsad omfattning är föremål för förändringar. Innehållet behöver dock med jämna mellanrum uppdateras och kompletteras, exempelvis i samband med att nya årgångar av register- material från SCB och Socialstyrelsen blir tillgängliga.

Under 1990- och 2000-talet skapades allt fler uppgiftssamlingar med uppgifter från SCB och Socialstyrelsen som huvudsaklig bas, men där uppgifter från andra registerförande myndigheter också kan ha ingått. Sedan dess har utvecklingen främst inom det medicinska området lett till behov av att samordna alltmer omfattande och snabbt föränderliga dynamiska uppgiftssamlingar från olika håll. Tillgången till biologiskt material kan innebära att forskningsdatabaser löpande behöver tillföras data från förnyade analyser av vävnadsprover. Även uppgifter från vårdregister och läkemedelsregister behöver uppdateras med korta mellanrum. Regeringens satsningar på livsvetenskaperna innebär att det behövs ett ökat samarbete mellan hälso- och sjuk- vården, industrin och forskningen. Uppgiftssamlingarna behöver kunna kombineras med personuppgifter från Socialstyrelsen, SCB och andra myndigheter.

50SOU 2018:4, s. 59.

51Damberg M, Hellmark-Knutsson H, Strandhäll A, Regeringen tar ett helhetsgrepp om life science, Dagens Medicin 5 februari 2018.

104

SOU 2018:36

Behov av forskningsdatabaser

Den tekniska utvecklingen har inneburit att det är möjligt att samköra stora datamängder i centraliserade forskningsdatabaser. De kan med dagens teknik nås med fjärråtkomst av många användare. Säkra tunneluppkopplingar med krypterad information och system för säker behörighetskontroll har utvecklats.52 Den decentralisering av datafiler och programvara som kännetecknade den inledande ut- vecklingen av persondatorer på 1980- och 90-talen har därmed under 2000-talet kompletterats av tjänster som radikalt har förbättrat möjlig- heten att utnyttja centraliserade resurser med hjälp av fjärråtkomst. Vissa resurser har därmed decentraliserats medan andra har centrali- serats. Behoven av samordning har därmed medfört ökad centrali- sering som inbegriper såväl programvara som fjärråtkomst till data.

Det kan konstateras att

•behovet av att samordna och anpassa uppgifter från statliga myndigheter för forskningsändamål kvarstår,

•antalet potentiella användare ökar,

•behovet att använda generellt syftande surveyundersökningar kvarstår,

•forskargrupper verksamma inom samma fält har i ökande utsträck- ning uttryckt behov av att samverka kring gemensamma databaser,

•forskningen använder i högre grad uppgifter från hälso- och sjuk- vård för forskningsändamål, och

•nationell samordning av biobanker möjliggör uppbyggnad av forskningsdatabaser där biologiska uppgifter kan användas tillsam- mans med undersökningar om levnadsvanor och de statliga myndigheternas uppgifter om hälsa och välfärd.

De tekniska möjligheterna att med fjärråtkomst använda centra- liserade tjänster som betjänar många har förbättrats. Detta gäller såväl informationstjänster som uppgiftssamlingar. Det är utredningens bedömning att behovet av att skapa säkra centraliserade forsknings- databaser som verktyg för samarbete mellan forskningsprojekt har ökat.

52Point-to-point tunneling (PPTP) och IPSec är två säkra system för skydd av de uppgifter som skickas.

105

Behov av forskningsdatabaser

SOU 2018:36

Distribuerade databaser

Det traditionella systemet med mindre uppgiftssamlingar avsedda för enskilda projekt har inneburit att ett stort antal kopior på uppgifter från den ursprungliga källan har lämnats ut till olika forsknings- projekt. Varje sådan uppgiftssamling har dock haft begränsad sprid- ning. Detta återspeglas i den tolkning av ändamålsbegränsningen som råder. Ett system med centraliserade53 forskningsdatabaser av det slag som vi föreslår och som kan nås med fjärråtkomst medför att antalet kopior på uppgiftssamlingarna kan reduceras. Detta är i sig en säker- hetshöjande åtgärd. Eftersom uppgifterna kommer att användas för flera ändamål under en längre tidsperiod uppstår dock ett behov av att uppdatera och revidera forskningsdatabaserna med jämna mellanrum som inte förelåg i samma utsträckning i det traditionella systemet där uppgiftssamlingar var fokuserade på mer begränsade användnings- områden.

Ett alternativ till centraliserade databaser är ett system med distri- buerade databaser.54 Som användare kan man i ett distribuerat system nå uppgifter genom samtidig fjärråtkomst till fler källor. Distri- buerade databaser kan vara fysiskt utspridda men organiseras så att deltagandet i systemet kontinuerligt kontrolleras av varje register- hållare. Detta utgör i så fall en s.k. federerad databas55 där fler huvud- män och/eller registerhållare är involverade i ett ömsesidigt sam- arbete. De olika registerhållarna behåller kontrollen över de egna upp- gifterna och deras tillgänglighet eftersom alla uppgifter ligger kvar hos den ursprungliga registerhållaren. En viss vidareutveckling har skett av federerade system för ”pooling” (se föregående avsnitt), dvs. sam- bearbetning av likadana uppgifter för olika personer från olika datakällor.56

Forskningsdatautredningen känner däremot inte till något funge- rande federerat system för den tekniskt mer komplicerade ut- maningen att i realtid samtidigt analysera stora mängder av uppgifter från olika källor för samma personer. I ett sådant system förekommer

53I avsnitt 3.3.10 finns en genomgång av hur begreppen centraliserad och decentraliserad används i detta betänkande.

54Begreppet används här i motsats till centraliserade databaser och avser den fysiska hante- ringen av uppgifter. Se vidare avsnitt 3.3.10 för begreppsdefinitioner.

55En federerad databas har således en utspridd fysisk hantering av uppgifter samtidigt med att också ha en decentraliserad kontroll över hur uppgifterna behandlas.

56Carter KW et al. (2016), ViPAR: a software platform for the Vitual Pooling and Analysis of Research Data, Int J Epidemiolog, 45:2, s. 408–416.

106

SOU 2018:36

Behov av forskningsdatabaser

med nödvändighet kopiering av samma uppgifter från originalkällan till forskningsdatabasen. I en federerad databas existerar dock dessa kopior endast under korta sekvenser när uppgifterna analyseras till- sammans. Utöver det ökade integritetsskydd detta kan innebära har systemet fördelen att de uppgifter som analyseras vid varje tillfälle kommer att vara identiska med originaldata. Det finns således inget behov av uppdatering av uppgifter i den distribuerade databasen utöver de som görs i originalregistren.

Det kan synas tveksamt att personuppgifter från olika källor ska kopieras till centraliserade forskningsdatabaser som fortlever under längre tid och görs tillgängliga för många forskare. SCB anser i sitt remissvar på Registerforskningsutredningens betänkande att det inte finns behov av att bygga upp forskningsdatabaser för befintliga register eftersom uppgifterna redan är tillgängliga för forskning enligt dagens regelverk.57

Det skulle av integritetsskäl kunna vara en fördel om de centra- liserade databaserna kunde ersättas med distribuerade databaser där uppgifterna kan nås direkt från källan. Om källorna är av varandra oberoende huvudmän som ansvarar för sina egna beslut om ut- lämnande av uppgifter till forskning så krävs att databaserna är federerade. Visst försöksarbete med federerade databaser har bedrivits och bedrivs med finansiering av Vetenskapsrådet, bland annat genom ett pågående försöksprojekt vid Umeå universitet58 och ett tidigare projekt vid Karolinska Institutet.59

Registerforskningsutredningen konstaterar i sitt slutbetänkande att omfattande och tekniskt avancerat utvecklingsarbete krävs för att ett federerat system ska kunna bli användbart i stor skala.60 Den tekniska utvecklingen har gått snabbt framåt. Regeringen har ambitioner att satsa på denna utveckling inom ramen för digitali- seringspolitiken (se avsnitt 7.2.3). Forskningsdatautredningens bedömning är att det trots detta inte har tagits några initiativ som möjliggör federerade system av den storleksordning och komplexitet som skulle krävas för att ersätta behovet av att sambearbeta uppgifter och spara dem på samma ställe i centraliserade forskningsdatabaser

57Statistiska Centralbyråns remissvar på betänkandet Unik kunskap genom registerforskning (SOU 2014:45), dnr 2014/1519, s. 6.

58https://infotechumea.se/nyheter/federerade-databaser-ska-ge-sakrare-personuppgifter.

59Fomkin R, Stenbeck M, Litton J. (2009) Federated databases as a basis for infrastructure supporting epidemiological research, Conference Proceedings 20th International Workshop on Database and Expert Systems Application.

60SOU 2014:45 s. 364.

107

Behov av forskningsdatabaser

SOU 2018:36

som innehåller kopior på originaldata. Situationen vad avser möjlig- heter att använda distribuerade databaslösningar som en integritets- höjande åtgärd har således inte förändrats sedan Registerforsknings- utredningens slutbetänkande.

4.3Utveckling av gemensamma resurser vid myndigheter

I de följande fyra avsnitten redogörs för sådan utveckling vid statliga och kommunala myndigheter som har inneburit uppbyggnad av databaser för analysändamål, och som har betydelse för forskningens användning av gemensamma forskningsdatabaser, eller på annat sätt kan underlätta arbetet för forskare som använder personuppgifter.

4.3.1Satsningen på hälso- och sjukvårdens kvalitetsregister

Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen (2008:355) en automatiserad och strukturerad samling av person- uppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

För att säkra och utveckla kvaliteten i hälso- och sjukvården och därigenom bidra till bättre resultat för patienterna, används i dag omkring 100 nationella kvalitetsregister. Med ett nationellt eller regionalt kvalitetsregister avses ett register i vilket personuppgifter samlas in från flera olika vårdgivare. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitets- säkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Kvalitetsregistren används både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära för- bättringsarbete. Det gör bl.a. att patienter som i dag deltar i kvalitets- register i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan.

Uppgifter som behövs och som behandlas för kvalitetssäkring i ett nationellt eller regionalt kvalitetsregister får även behandlas för statistikframställning och forskning. All forskning som har för avsikt

108

SOU 2018:36

Behov av forskningsdatabaser

att utföras med hjälp av känsliga personuppgifter i nationella kvalitets- register måste underställas etikprövningsnämndens bedömning. Utlämnandet av uppgifter måste också alltid föregås av en prövning om uppgifterna får lämnas ut med hänsyn till hälso- och sjukvårds- sekretessen.61 Sekretessprövningen görs av den huvudman som förvaltar uppgifterna.

Varje vårdgivare med ansvar för ett nationellt register har en registerstyrgrupp. Den agerar, utöver det personuppgiftsansvar som ligger på varje vårdgivare, som centralt personuppgiftsansvarig för alla uppgifter i det nationella registret oavsett var uppgifterna förvaras. Det finns en nationell styrgrupp för satsningen som har stöd av ett kansli placerat vid Sveriges kommuner och landsting (SKL). Sats- ningen har också lett till uppbyggnad av ett s.k. registercentrum i var och en av de sex sjukvårdsregionerna. Socialstyrelsen har dessutom byggt upp en enhet för registerservice som har till uppgift att stödja kvalitetsregisterhållare med förbättring av datakvaliteten och forskare med information och dokumentation.

Myndighetens för vårdanalys utvärdering och förslag till fortsatt verksamhet

Myndigheten för vård och omsorgsanalys (Vårdanalys) utvärderade satsningen på kvalitetsregister genom en delrapport och en PM år 201462 och en slutrapport år 201763. Den slutliga utvärderingen är kritisk och anger att satsningen trots att den inneburit förbättringar inte uppnått något av dess effektmål. Utvärderingen visar också att såväl vårdens professioner som forskare, patienter, företag och myndigheter upplever att de inte har tillräcklig tillgång till infor- mation om vårdens kvalitet. En stor mängd data samlas in men informationen är inte tillgänglig för den som behöver den. Myndig- heten rekommenderar därför att man överger de separata nationella kvalitetsregistren till förmån för en mer samlad informationsstruktur, men anser att tills dess dessa förändringar genomförts bör de befintliga registren behållas ”på nuvarande nivå”.64

6125 kap. 1 § offentlighets- och sekretesslagen (2009:400).

62Rapport 2014:38.

63Rapport 2017:39.

64Det vill säga 2017 års i förhållande till 2012–2016 reducerade finansieringsnivå.

109

Behov av forskningsdatabaser

SOU 2018:36

Efter publiceringen av Vårdanalys slutrapport levererade en projektgrupp som tillsatts av den nationella styrgruppen för registren ett förslag till framtida organisation och finansiering av systemet.65 Gruppen föreslår en rad åtgärder i syfte att konsolidera den nuvarande organisationen med kvalitetsregister och regionala kompetenscentra och dess styrning. Den huvudsakliga rollen att stödja kvalitets- registerbaserad forskning bör enligt gruppen ges till staten, medan sjukvårdshuvudmännens ansvar inriktas på utveckling av vårdens kvalitet. En funktion som samordnar forskning och samarbete med livsvetenskapssektorn föreslås inrättas på nationell nivå, men dess närmare organisation beskrivs inte.

Ett långsiktigt beslut om fortsatt finansiering och organisation saknas alltjämt. Den klinikspecifika uppdelning av kvalitetsregistren som motiveras av deras uppföljnings- och kvalitetssäkringsmål behöver inte alltid vara optimal för forskningen, där det ibland finns anledning att inhämta information från olika kliniska register. Den tydligare fördelningen av ansvar mellan staten och huvudmännen som föreslås kan leda till att särskilda statliga satsningar på kliniska forsk- ningsdatabaser kommer att behövas utöver de kvalitetsregister hälso- och sjukvården förvaltar. Det kan mot denna bakgrund ifrågasättas om den organisation som skisseras av styrgruppens projektgrupp kommer att göra kvalitetsregistren till en långsiktig resurs som kan ersätta behovet av särskilda databaser för klinisk och annan forskning som använder uppgifter från hälso- och sjukvården.

Den utveckling av kvalitetsregister som skett under de senaste åren kan inte enligt vår mening ersätta behovet av forskningsdatabaser på den prekliniska och kliniska forskningens områden.

4.3.2Utveckling av ett nationellt biobanksregister och BBMRI

Utvecklingen inom den epigenetiska forskningen har visat på behovet av att kunna koppla samman personers molekylärbiologiska karak- teristika med uppgifter om levnadsvanor och livsvillkor. Det står allt- mer klart att de uttryck medfödda biologiska förutsättningar tar sig inte enbart påverkar, utan också påverkas av, individens livsvillkor.

65Förslag: Framtidens kvalitetsregister, Förslag från projektgrupp tillsatt av Styrgruppen för Nationella Kvalitetsregister, maj 2017.

110

SOU 2018:36

Behov av forskningsdatabaser

Denna insikt har lett till utveckling av långsiktiga forskningsprogram som LifeGene66 och EpiHealth67. I allmänhet står det klart att den framtida kunskapsutvecklingen kräver att genetiska uppgifter på ett effektivt sätt kan kombineras med uppgifter om hälsa och sjukdom och med sociala och ekonomiska uppgifter.

Detta kräver till att börja med samordning och tillgänggörande av den stora mängd provsamlingar som finns i svenska biobanker. Registerforskningsutredningen redogjorde för det samordnings- arbete som intill dess gjorts i det Nationella biobanksrådet (NBR), planer på att utveckla ett nationellt provregister (Svenska Biobanks- registret, SBR), och inrättandet av den europeiska forskningsinfra- strukturen Biobanking and Biomolecular Resources Research Infra- structure (BBMRI)68. Denna utveckling har fortsatt och förstärkts. I Sverige har dessa parallella satsningar på infrastruktur, forskning och hälso- och sjukvård nu slagits samman till den gemensamma resursen Biobank Sverige.69

Registerforskningsutredningen lämnade förslag till reglering av ett nationellt biobanksregister.70 Uppgifterna i registret skulle möjliggöra spårning av prover. Dessutom föreslogs att registret skulle innehålla provsvar. Socialstyrelsen skulle ansvara för registret. Utredningen om regleringen av biobanker har överlämnat sitt slutbetänkande.71 Utred- ningen föreslår att Socialstyrelsen ska föra ett nationellt biobanks- register som ska kunna användas för att spåra prover för bland annat forskningsändamål. Registret föreslås inte innehålla några provsvar.

Vår utredning har också fått i uppdrag att utreda vissa frågor som har med spårbarhet till prover i biobanker att göra. Kapitel 10 inne- håller våra ställningstaganden i denna del.

66https://www.lifegene.se/

67https://www.epihealth.se/vad-ar-epihealth/

68SOU 2017:50, s. 309-11.

69http://biobanksverige.se/

70SOU 2014:45 s. 66–69.

71SOU 2018:4.

111

Behov av forskningsdatabaser

SOU 2018:36

4.3.3Utveckling av stöd till forskning vid statliga myndigheter

Nytt register hos SCB

Ett viktigt tillskott för medicinsk och samhällsvetenskaplig forskning är den registerbaserade folkbokföringen. Det lägenhetsregister som sedan 2006 förs vid Lantmäteriet72 har sedan 2012 kombinerats med uppgifter om vilka personer som är folkbokförda73 på respektive lägenhet.74 Detta görs genom en sambearbetning av registret över totalbefolkningen (RTB) och SCB:s lägenhetsregister. 75 Genom folk- bokföring på lägenhet kan personer som är folkbokförda på samma lägenhet kopplas ihop till bostadshushåll, och hushållens boende kan beskrivas löpande. Detta system ersätter tidigare folkbokföring genom frågeundersökningar, som upphörde i och med 1990 års folk- bokföring. Genom systemet finns nu fullständiga uppgifter över lägenheter och om vem som är bosatt där. Materialet utgör en viktig ny potential för forskningen, förutsatt att det i framtiden på ett effektivt sätt kan tillgängliggöras för forskare med beaktande av integritetsskyddet. Liksom de andra register vid SCB som används för statistikändamål är uppgifterna skyddade genom statistiksekre- tessen.76

Analysdatabaser vid myndigheter

Försäkringskassan har sedan 2003 utvecklat en särskild databas för analysarbete kallad Mikrodata för analys av socialförsäkringen (MiDAS). Enligt Försäkringskassans dokumentation77 syftar denna dels till att minska informationsmängden i myndighetens administra- tiva data, dels till att strukturera data i en enhetlig och lättanvänd form för olika typer av frågeställningar och användare. I myndighetens grunddata finns en mängd administrativa uppgifter som har rensats bort, och uppgifter om försäkringsbeslut som hänför sig till samma

72Lag (2006:378) om lägenhetsregister, https://www.lantmateriet.se/lagenhetsregistret

73Regleras i folkbokföringslagen (SFS 1991:481).

74Se PM Statistiska Centralbyrån Hushållens boende 2016 (SCBDOK 3.2): ” Vidare har folk- bokföringslagen (SFS 1991:481) kompletterats i 6 § med att en person som är bosatt på en fastighet som innehåller flera bostadslägenheter ska folkbokföras även på lägenhet.”

75En bearbetning av Lantmäteriets lägenhetsregister för statistikändamål.

7624 kap. 8 § offentlighets- och sekretesslagen.

77Midas. Sjukpenning och rehabiliteringspenning, PM Försäkringskassan, mars 2011.

112

SOU 2018:36

Behov av forskningsdatabaser

person har länkats samman. Därmed har möjligheten att använda upp- gifter från socialförsäkringen i forskningsverksamhet underlättats.

En motsvarande från grundregister sammanställd databas avsedd för analyser, har sedan tidigare funnits vid SCB. Det är den av forskare flitigt använda Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA)78 och dess föregångare Longitudi- nell databas kring utbildning, inkomst och sysselsättning (LOUISE), som skapades år 2005. Dessa databaser har efter hand intagit en alltmer betydelsefull roll i den registerbaserade forskningen. Forskar- beställningar innebär ofta att utdrag från LISA sambearbetas med uppgifter från andra myndigheter.

Utöver dessa två analysdatabaser finns vid statistikmyndigheterna huvudsakligen databaser som är anpassade för myndigheternas statistikproduktion och som kräver särskild bearbetning för att anpassas för forskningsanvändning.

Registerservice vid Socialstyrelsen

Socialstyrelsen har inom ramen för satsningen på hälso- och sjuk- vårdens kvalitetsregister skapat en särskild verksamhet för att stödja registerbaserad forskning med användning av patientuppgifter. Registerservice betjänar de nationella kvalitetsregistren, statistik- beställare och forskare. Den omfattar såväl information om kvalitets- register som beställningsfunktioner som rör register vid Social- styrelsen. Informationen har härmed förstärkts. Forskare har dock uttryckt att man trots detta ännu inte uppnått tillräcklig snabbhet i handläggningen av ansökningar om forskningsuttag.

Fjärråtkomst till centraliserade databaser

Vid SCB finns, som nämnts ovan (avsnitt 4.2.1), sedan 2004 ett system för fjärråtkomst till registerdata, Microdata Online Access (MONA). Systemet är ett centraliserat system för fjärråtkomst där användaren efter prövning får åtkomst till uppgifter som förvaras vid myndigheten. Det finns också möjligheter att inom systemets ram sambearbeta forskarens egna uppgifter med myndighetens register. Man kan således skicka in egna uppgifter till systemet och få möjlighet

78SOU 2017:50 s. 89.

113

Behov av forskningsdatabaser

SOU 2018:36

att via fjärråtkomst koppla uppgifterna till myndighetsdata. En inter- nationell utvärderingspanel tillsatt av Vetenskapsrådet rekommen- derade år 2014 en rad åtgärder för att stärka systemet, bland annat att inlemma också Socialstyrelsens data i ett fjärråtkomstsystem, att ge MONA en mer självständig ställning i förhållande till värdmyndig- heten SCB, samt att SCB borde etablera en särskild enhet för register- service.79 SCB har sedan dess centraliserat sin forskarservice och viss ytterligare försöksverksamhet har pågått, men forskares tillgänglighet till myndighetsuppgifter på distans har ännu inte på något avgörande sätt underlättats.

Sammanfattning

Den information som finns om uppgifter vid de registerförande statistikmyndigheterna har förbättrats. När det gäller möjligheterna att få ut uppgifter från dessa myndigheters uppgiftssamlingar för forskningsändamål ser situationen i stort sett ut på samma sätt som vid tiden för Registerforskningsutredningens slutbetänkande. Den bild som tecknades av den utredningen när det gäller forskningens behov av centraliserade forskningsdatabaser, som innehåller bearbetade myndig- hetsuppgifter, förefaller därför inte ha påverkats nämnvärt av det utvecklingsarbete som pågått och pågår vid de registerförande statistikmyndigheterna.

4.3.4Vetenskapsrådets satsningar på forskningsdatabaser

Sedan 1 januari 2005 bedriver Vetenskapsrådet en särskild verksamhet med syfte att stödja, utveckla och utvärdera forskningsinfrastruk- turer. Till en början inrättades denna verksamhet som en kommitté vid sidan av de reguljära ämnesråd som finns för olika forsknings- områden.80 Från och med 2009 behandlas bidrag som ges för in- rättande av forskningsinfrastruktur inom ett särskilt Råd för forsk- ningens infrastruktur (RFI).81 Myndighetens satsning på sådan

79Evaluation of the MONA system (Microdata online access), Vetenskapsrådets rapporter 2014, s. 5–6.

80Ämnesråden för humaniora och samhällsvetenskap, medicin och hälsa, samt naturvetenskap och teknikvetenskap. Dessutom finns en kommitté för utbildningsvetenskap.

818 och 14 §§ förordningen (2009:975) med instruktion för Vetenskapsrådet.

114

SOU 2018:36

Behov av forskningsdatabaser

infrastruktur för forskning som innehåller forskningsdatabaser har således ökat. Genom ett regeringsuppdrag år 2013 har en avdelning för forskningsinfrastruktur skapats inom vilken en enhet för register- forskning har inrättats.82 I uppdraget anges följande.

Vetenskapsrådet ska avsätta 25 miljoner kronor inom området infra- struktur för registerbaserad forskning och ska inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål. Vetenskaps- rådet ska bistå forskare med information om register och om relevant lagstiftning. Vetenskapsrådet ska i samband med årsredovisningen redo- visa till Regeringskansliet (Utbildningsdepartementet) hur uppdraget fortskrider.

Satsningar har vidare gjorts på att i myndighetens regi utveckla informationsstöd,83 på att stödja verksamheten vid Svensk Nationell Datatjänst,84 och på att utlysa infrastrukturbidrag för utveckling av nationella databasinfrastrukturer som samordnar s.k. ”individdata- baser” inom humaniora, medicin och samhällsvetenskap.85

Från och med 200886 har regeringen i varje forskningsproposition identifierat behov av att särskilt stödja utnyttjandet av befolknings- baserade register i forskningen.87 Vetenskapsrådets pågående upp- byggnad av ett system för dokumentation av befolkningsbaserade register och forskningsdatabaser88 förväntas i framtiden underlätta för forskare att utforma ansökningar till anslagsgivare och etikprövnings- nämnder, samt underlätta utlämnandet av uppgifter för forskning från registerförande förvaltningsmyndigheter. Ett registerforskningsråd har inrättats vid Vetenskapsrådet med representanter för forsknings- råd, registerförande myndigheter och forskare. Registerforsknings- rådet innehåller även representanter för den centrala etikprövnings- nämnden, Biobank Sverige och SKL.

82https://www.vr.se/omvetenskapsradet/regeringsuppdrag/regeringsuppdrag/registerbaseradforskning

83Se registerforskning.se

84Se https://snd.gu.se/sv

85Med ”individdatabaser” avses här databaser som innehåller identifierbara eller anony- miserade uppgifter som avser levande eller döda personer.

86Regeringens proposition Ett lyft för forskning och innovation (prop. 2008/09:50), avsnitt 12.2, s. 190–192.

87Prop. 2012/13:30, avsnitt 12.4, s. 147–150 och prop. 2016/17:50, avsnitt 8.2.5 s. 97–98. Anslagen har successivt ökat och når fr.o.m. år 2020 50 mkr per år.

88Register Utility Tool (RUT).

115

Behov av forskningsdatabaser

SOU 2018:36

Vetenskapsrådets bidragsutlysningar år 2012 och 2015 innehöll satsningar på att stödja uppbyggnad av nationella infrastrukturer med fokus på individdatabaser.89 Motiven för detta beskrevs på följande sätt:

Ett stort antal individdatabaser inom medicin och samhällsvetenskap kan bidra till vetenskapliga genombrott inom en rad olika områden, bland annat de områden som behandlar vår tids stora samhällsutmaningar. (……). Longitudinella undersökningar är ofta strategiskt viktiga i detta

avseende. Vidare förhöjs värdet ofta avsevärt av enkätdata/fråge- undersökningar, både longitudinella och andra, genom att lägga till data från olika befintliga befolkningsregister. (………..) Denna typ av kom-

binerade databaser som skapas genom att länka undersökningar till registerdata är värdefulla både från ett nationellt och internationellt perspektiv.

Ett ökat samarbete mellan databaser på det här området förväntas leda till ett antal positiva effekter och chanserna för genombrott i forskningen förväntas öka. Omfattningen av och kvaliteten på framtida under- sökningar kommer att förbättras genom samverkan för datainsamling. Data blir också mer lättillgänglig och nya metoder för parallella analyser av data i olika databaser möjliggörs. Individdatabaser inom samhälls- vetenskap och medicin kommer att täcka områden som är av avgörande betydelse för de närmaste decenniernas forskning, och fortsatt integre- ring av registerdata kommer att ligga till grund för forskning i världsklass. Detta samarbete kommer även att svara mot några av de utmaningar som identifierats när det gäller medicin- och samhällsvetenskapsdatabaser; att undvika dubbelarbete i insamling av data och möjligen avsätta resurser för att garantera tillräckliga svarsfrekvenser (bland annat). Dessutom skapas drivkraft för att åstadkomma olika synergier.90

I det följande ger vi några exempel på infrastruktursatsningar av detta slag.

SwedPoP

SwedPop är en infrastruktur som samordnar de viktigaste historiska befolkningsdatabaserna i Sverige till en gemensam resurs för det nationella och internationella forskarsamhället. Tidsserier som om- fattar hela befolkningen finns tillgängliga från mitten av 1600-talet ända fram till i dag. Data kan användas för att belysa de långsiktiga demografiska, sociala och ekonomiska processer som omformade

89Vetenskapsrådets utlysningar 2012 Bidrag till stora databaser samt 2015 Forsknings- infrastrukturbidrag: Databaser inom samhällsvetenskap och medicin med fokus på individdata (drift), se https://www.vr.se/forskningsfinansiering/sokabidrag/stangdautlysningar

90Områden och infrastrukturer som kan söka Vetenskapsrådets bidrag till infrastruktur av nationellt intresse 2017, Vetenskapsrådet, s. 4–5.

116

SOU 2018:36

Behov av forskningsdatabaser

Sverige, från ett traditionellt bondesamhälle fram till dagens post- industriella välfärdssamhälle. I samordningsprojektet ingår: Demo- grafiska databasen (Umeå universitet), Skånes ekonomiska och demografiska databas (Lunds universitet), SweCens-databasen (Riks- arkivet, Stockholm), Rotemansarkivet (Stadsarkivet i Stockholm), samt Göteborgs Befolkningspanel (avdelningen för ekonomisk historia, Handelshögskolan, GU). Avsikten med samordningen är att skapa en gemensam databasstruktur som förbättrar möjligheten att bedriva jämförande forskning med befolkningsdata.

National Genomics Infrastructure (NGI)

NGI är en gemensam internationellt tillgänglig resurs som används för att sekvensbestämma DNA. Syftet med att sekvensera människors genom är att hitta genvarianter som bär ansvaret för det biologiska arvets orsak till vanliga sjukdomar. NGI Sweden är den svenska delen som sköts av Science for Life Laboratory (SciLifeLab). Den etable- rades år 2013 som en stödresurs och finansieras av Vetenskapsrådet, SciLifeLab, Uppsala universitet, Karolinska Institutet, Kungliga Tekniska högskolan, Stockholms universitet och Uppsala universitet. Inom denna infrastruktur lagras biologiska data som kan hänföras till personer.91

The Swedish Survey Program (SWEEP)

SWEEP är ett nationellt konsortium, dvs. ett formaliserat samarbete mellan flera forskningshuvudmän med gemensamt ansvar, för att tillhandahålla uppgifter från sju av de största samhällsvetenskapliga frågeundersökningarna.92 Syftet med SWEEP är att tillhandahålla data av hög kvalitet som ska hjälpa forskare att förklara dagens stora sam- hällsutmaningar såsom migration, en åldrande befolkning, välfärd och socialt utanförskap.

Det gemensamma för forskningsprogrammen är att de samlar in och distribuerar data om attityder, beteenden, hälsa och livskvalitet över tid baserat på den svenska befolkningen. Tillsammans ska de utgöra

91https://ngisweden.scilifelab.se/

92Dvs. svar från försökspersoner från intervjuer, postenkäter eller digitaliserade formulär.

117

Behov av forskningsdatabaser

SOU 2018:36

grunden för en databasplattform som har kapacitet att vara ett viktigt verktyg för beslutsfattande och den demokratiska diskussionen.93 Uppgifterna i dessa databaser är anonymiserade och utgör därmed inte längre personuppgifter.

National Infrastructure for Ageing Research in Sweden (NEAR)

Under det senaste halvseklet har det skett demografiska förändringar i samhället, vilka utgör långsiktiga utmaningar globalt, och särskilt i utvecklade länder som Sverige som har en växande andel äldre i befolkningen. Detta understryker behovet av att identifiera effektiva och hållbara strategier för en bättre hälsa och vård av äldre personer. NEAR syftar till att

•tillhandahålla högkvalitativa databaser för att utreda folkhälso- relaterade aspekter av åldrandet, såsom den samhälleliga bördan, trender över tid, och bestämningsfaktorer (t.ex. sociala, miljö- mässiga och biologiska/genetiska faktorer) av vanliga sjukdomar (t.ex. hjärt- och kärlsjukdomar, stroke och demens) och hälso- tillstånd (t.ex. multisjuklighet, svaghet, och funktionellt beroende) hos äldre personer;

•erbjuda dataresurser för att bedöma och planera vården för äldre;

•ge information för att identifiera åtgärdsstrategier för att förbättra hälsa, vård och omsorg, och livskvalitet för äldre människor; och

•ge tillförlitliga dataresurser för att ta itu med frågor om social ojämlikhet i åldrande och hälsa.

NEAR innehåller för närvarande 13 enskilda databaser i Sverige.

93I infrastruktursamarbetet ingår studierna: ESS (European Social Survey Programme); ISSP (Inter- national Social Survey Programme); SHARE (The Survey of Health, Aging and Retirement in Europe); LNU (Levnadsnivåundersökningen); SNES (Svensk valundersökning) och SOM-institutet (Samhälle, Opinion, Medier). Där ingår också LORE (Laboratory of Opinion Research), en organisation vid Göteborgs universitet som genomför datainsamlingar via webbenkäter för forsk- ningsändamål.

118

SOU 2018:36

Behov av forskningsdatabaser

Relations, work, and health across the life course (REWHARD)

REWHARD är ett nationellt infrastrukturkonsortium som syftar till att främja forskning om hur aktiviteter (särskilt i betalt och obetalt arbete) och sociala relationer (både i och utanför arbetet) är relaterade till levnadsförhållanden, livsstil och hälsoutveckling över livsför- loppet. Konsortiet arbetar därför för att säkerställa den långsiktiga existensen, utvecklingen och rikstäckande användningen av åtta kom- plementära longitudinella databaser med många upprepade mätningar, både självrapporterade och registerbaserade, av exponeringar och hälsoutfall från barndomen, genom vuxenlivet och in i ålderdomen.94

Swedish Cohort Consortium (COHORTS.SE)

Cohorts.se är ett svenskt samarbete som bildats för att skapa en nationell teknisk och samverkande infrastruktur för kohortstudier, dvs. studier där personer följs över tid. Denna infrastruktur har det långsiktigt vetenskapliga målet att underlätta forskning om risk- faktorer för ovanliga sjukdomar.

Genom ett samutnyttjande av flera kohorter skapas möjligheter för säkrare forskningsresultat. Konsortiet avser att möjliggöra forsk- ning på sällsynta sjukdomar som det i dag är omöjligt eller alltför resurskrävande att genomföra. Målet är att upprätta en gemensam infrastruktur för samtliga svenska prospektiva95 populationsbaserade kohorter, med syfte att stödja alla aspekter av kohortaktiviteter och samarbeten. För tillfället finns ett 40-tal anslutna kohortstudier.96

94I infrastruktursamarbetet ingår studierna: SLOSH (Swedish Longitudinal Occupational Survey of Health), LNU (LevnadsNivåUndersökningen), SWEOLD (The Swedish Panel Study of Living Conditions of the Oldest Old), IMAS (Insurance Medicine – All Sweden), STODS (The Swedish Twin project Of Disability pension and Sickness absence), NOSCO (The Northern Swedish Cohort), SPHC (Scania Public Health Cohort) och UCLS-ES (Uppsala Center for Labor Studies Employer Survey).

95Det vill säga studier där man, till skillnad från retrospektiva studier som blickar bakåt, samlar uppgifter vid studiens början och sedan följer försökspersonerna framåt i tiden., exempelvis med avseende på hur tidig exponering för risk medför sjukdom i ett senare skede eller hur familjebakgrund hänger samman med levnadsvillkor senare i livet.

96http://cohorts.se/

119

Behov av forskningsdatabaser

SOU 2018:36

4.4Vår sammanfattande bedömning

Vår bedömning: Forskare kommer under överskådlig tid att ha behov av att kunna behandla personuppgifter i forskningsdata- baser. Det behövs en reglering som tydliggör det rättsliga stödet för en sådan behandling.

Möjligheterna att använda fjärråtkomst till centraliserade forsk- ningsdatabaser har ökat. Åtkomst genom federerade forsknings- databaser har ännu inte utvecklats till ett realistiskt alternativ.

Det är Forskningsdatautredningens bedömning att digitaliseringen inneburit att behovet av att använda centraliserade forskningsdata- baser har ökat. Inte minst behoven av att samordna stora dynamiska uppgiftssamlingar från hälso- och sjukvården med uppgifter från hälsodataregister och välfärdsregister vid statliga myndigheter medför att forskningsdatabaser med uppgifter från olika registerhållare behöver utvecklas vidare. Den tekniska utvecklingen erbjuder stora möjligheter för forskare att med fjärråtkomst ansluta sig till sådana centraliserade forskningsdatabaser.

Sådana alternativa tekniker för fjärranslutning till federerade system, som erbjuder samtidig fjärråtkomst till uppgifter vid flera olika källor, har ännu inte utvecklats tillräckligt. De klarar ännu inte de tekniska och säkerhetsmässiga krav som måste ställas. Behovet av forskningsdatabaser kan enligt vår bedömning ännu inte ersättas av alternativa tekniker för fjärranslutning. I takt med den tekniska utvecklingen och satsningar på utveckling av sådana system kan behovet av forskningsdatabaser komma att minska i framtiden. Vi bedömer dock att det för överskådlig tid finns ett behov i forskningen av att kunna behandla personuppgifter i särskilda forskningsdatabaser.

120

5Rättsliga förutsättningar för forskningsdatabaser

5.1Inledning

5.1.1Innehåll och disposition

Detta kapitel innehåller en genomgång av de rättsliga förutsätt- ningarna för forskningsdatabaser. Med forskningsdatabas avses i detta sammanhang en databas (uppgiftssamling) med personuppgifter som samlats in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forsk- ningsprojekt. Begreppet diskuteras i kapitel 3.

Vi behandlar i det följande de rättsliga förutsättningarna för registerbaserad forskning för att klargöra vilka möjligheter och problem beträffande forskningsdatabaser som finns enligt gällande rätt. Vi går igenom befintlig internationell och nationell reglering av- seende personlig integritet och behandling av personuppgifter. Genomgången innehåller vidare en analys av relevanta bestämmelser i dataskyddsförordningen1 och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) samt av aktuella bestämmelser om sekretess och tystnadsplikt.

1Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

121

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

5.1.2Redovisningar av rättsliga förutsättningar i annat offentligt tryck

Vi hänvisar i det följande bl.a. till Registerforskningsutredningens genomgång av rättsliga förutsättningar för registerbaserad forskning i betänkandet Unik kunskap genom registerforskning2. Vidare refererar

vitill dataskyddslagen3 med dess proposition Ny dataskyddslag,4 Dataskyddsutredningens betänkande Ny dataskyddslag – Komplette- rande bestämmelser till EU:s dataskyddsförordning,5 till den genom- gång som finns i vårt delbetänkande Personuppgiftsbehandling för forskningsändamål6 och till utkastet till lagrådsremiss Behandling av personuppgifter för forskningsändamål.7

I betänkandet Unik kunskap genom registerforskning redovisas inledningsvis de rättsliga förutsättningarna för att behandla person- uppgifter inom forskning. Vidare innehåller betänkandet en utförlig redogörelse för rättsliga förutsättningar för registerbaserad forskning. Den centrala rättsliga förändringen sedan Registerforskningsutred- ningens betänkande lämnades är EU:s dataskyddsreform och dataskyddsförordningens tillkomst. Registerforskningsutredningens beskrivning är dock till stor del fortfarande aktuell. Vi kommer därför endast översiktligt redovisa de rättsliga förutsättningarna enligt nu gällande rätt och hänvisar för en mer ingående genomgång till Registerforskningsutredningens betänkande. I kapitel 6 redogör vi för Registerforskningsutredningens uppdrag och förslag samt remiss- instansernas synpunkter på förslagen.

Regeringen har i propositionen Ny dataskyddslag8 redogjort för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen börjar tillämpas. För en generell beskrivning av dataskyddsförord- ningens syfte, tillämpningsområde och de sakliga förändringar tillämpningen av förordningen kommer att innebära hänvisar vi till propositionen och även till Dataskyddsutredningens betänkande.9

2Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

3Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

4Regeringens proposition Ny dataskyddslag (prop. 2017/18:105).

5Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39).

6Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål SOU 2017:50).

7Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forsk- ningsändamål (Dnr U2018/01639/F).

8Prop. 2017/18:105.

9SOU 2017:39.

122

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

I vårt delbetänkande (SOU 2017:50) går vi igenom de rättsliga instrument som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Vidare finns en redogörelse för den reglering av personuppgiftsbehandling för forskningsändamål som gällde före dataskyddsförordningen samt en analys av dataskyddsreformens kon- sekvenser utifrån ett forskningsperspektiv. Vi lämnade i delbetän- kandet ett förslag till en forskningsdatalag. Detta kapitel (avsnitt 5.3) innehåller en översiktlig genomgång av de bestämmelser i dataskydds- förordningen som är särskilt viktiga när det gäller personuppgifts- behandling för forskningsändamål. För fördjupning och detaljer i denna del hänvisar vi till delbetänkandet.

Utöver Dataskyddsutredningens generella översyn som lett fram till propositionen Ny dataskyddslag samt den första delen av vårt uppdrag har flera andra utredningar analyserat konsekvenserna av dataskyddsförordningen för specifika sektorer. I de betänkanden som dessa utredningar har presenterat och i de propositioner som dessa lett till finns också genomgångar av gällande rätt och de delvis nya förutsättningar som kommer att gälla när dataskyddsförordningen ska börja tillämpas, se t.ex. Socialdataskyddsutredningens och Utbild- ningsdatautredningens betänkanden10 samt propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning11 och propositionen Behandling av personuppgifter på utbildningsområdet12.

5.2Rättsliga förutsättningar för registerbaserad forskning

5.2.1Internationell reglering

Sverige har vissa internationella åtaganden när det gäller att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av

10Socialdataskyddsutredningens betänkande Dataskydd inom Socialdepartementets verksam- hetsområde (SOU 2017:66) och Utbildningsdatautredningens betänkande EU:s dataskydds- förordning och utbildningsområdet (SOU 2017:49).

11Regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171).

12Regeringens proposition Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218).

123

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

personuppgifter.13 I FN:s allmänna förklaring om de mänskliga rättigheterna och FN:s internationella konvention om medborgerliga och politiska rättigheter stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem och korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare har FN:s generalförsamling antagit riktlinjer om datoriserade register med personuppgifter. Dessa riktlinjer innehåller principer för person- uppgiftsbehandling.

Enligt artikel 8 Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikeln innefattar en skyldighet för det offentliga att avhålla sig från ingrepp i den enskildes privat- och familjeliv och en offentlig myndighet får bara begränsa den enskildes rätt med stöd av lag. Sverige är också bundet till Europarådets konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Dataskyddskonven- tionen.14 Till konventionen finns en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden.

Inom OECD har riktlinjer utarbetats avseende integritetsskydd och flödet av personuppgifter över gränserna. Syftet med dessa riktlinjer är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som behandling av personuppgifter kan utgöra. Sverige har godtagit OECD:s rekommendation att beakta riktlinjerna i nationell lagstiftning.

EU:s stadga om de grundläggande rättigheterna innehåller också bestämmelser om skydd för den personliga integriteten. Enligt stadgan har var och en rätt till fysisk och mental integritet, till respekt för sitt privat och familjeliv, sin bostad och sina kommunikationer samt till skydd för personuppgifter som rör honom eller henne.

När det gäller internationella dokument till skydd för den enskilde inom hälso- och sjukvård samt forskning finns Europarådets konven- tion om mänskliga rättigheter och biomedicin (Konventionen angående skydd av de mänskliga rättigheterna och människans värdig- het med avseende på tillämpningen av biologi och medicin)15 samt de forskningsetiska riktlinjerna i Helsingforsdeklarationen.

13För en mer detaljerad genomgång såväl när det gäller internationell som nationell reglering, se SOU 2014:45 s. 115 ff. Se också avsnitt 3.2 i vårt delbetänkande.

14Konventionstexten har efter flera års arbete uppdaterats i maj 2018. http://www.coe.int/en/web/data-protection/convention108/modernisation.

15Konventionen har fortfarande inte ratificerats av Sverige.

124

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

5.2.2Regeringsformen

I regeringsformen, förkortad RF, finns de grundläggande bestäm- melserna till skydd för den personliga integriteten. I målsättnings- stadgandet i 1 kap. 2 § RF anges att den offentliga makten ska utövas med respekt bland annat för den enskilda människans frihet och att det allmänna ska värna om den enskildes privat- och familjeliv. Vidare finns ett grundlagsskydd mot intrång i den personliga integriteten i 2 kap. 6 § andra stycket RF. Här stadgas att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Bestämmelsen i andra stycket infördes år 2010. Det utökade rättighetsskyddet tar sikte på att skydda den personliga integriteten mot vissa intrång som kan anses vara särskilt känsliga.16 I pro- positionen uttalades att avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp. Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åt- gärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.17

En begränsning av rättigheterna i 2 kap. 6 § andra stycket RF ska för att vara tillåten enligt 2 kap. 20 § RF stadgas i lag. En begränsning enligt 2 kap. 20 § RF får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Enligt 2 kap. 21 § RF ska begränsningsändamålet vara godtagbart, inte gå onödigt långt, inte vara ett hot mot opinionsbildningen och får inte innebära någon diskriminering på grund av åskådning i centrala hän- seenden.

16Regeringens proposition En reformerad grundlag (prop. 2009/10:80) s. 177.

17Prop. 2009/10:80 s. 250.

125

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Det har i många lagstiftningsärenden uttalats att myndighets- register med ett stort antal registrerade och ett särskilt känsligt innehåll ska reglers särskilt genom lag. I kapitel 7, 8 och 13 diskuteras frågorna om integritetsintrång, lagkrav och proportionalitet när det gäller behandling av personuppgifter i databaser.

5.2.3EU:s dataskyddsreglering

Inom EU reglerade dataskyddsdirektivet18 behandling av person- uppgifter på helt eller delvis automatiserad väg fram till dess att data- skyddsförordningen började tillämpas. Det fanns även vissa komplet- terande rättsakter. Dataskyddsdirektivet genomfördes i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförord- ningen (1998:1191).

Personuppgiftslagen var subsidiär i förhållande till andra författ- ningar. Bestämmelser som avvek från personuppgiftslagen skulle således tillämpas i stället.

Dataskyddsdirektivet och personuppgiftslagen har ersatts av data- skyddsförordningen som började tillämpas den 25 maj 2018. I skäl 9 i förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt detta beaktandeskäl förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, riskera att snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Enligt artikel 1 i dataskyddsförordningen är syftet med förord- ningen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Det anges i skäl 159 i dataskyddsförordningen att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har

18Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter. Dataskyddsdirektivet genomfördes i svensk rätt genom personuppgiftslagen.

126

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

formulerats i artikel 179.1 i fördraget om europeiska unionens funk- tionssätt.

Dataskyddsförordningen kompletteras i svensk lagstiftning av den nya dataskyddslagen, lag (2018:218) med kompletterande bestäm- melser till EU:s dataskyddsförordning. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Precis som personuppgiftslagen är dataskyddslagen subsidiär i för- hållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar.

Registerförfattningarna reglerar inrättandet av och förfarandet för viktigare register på det offentliga området. Som exempel på sådan registerlagstiftning som reglerar register som kan användas i forskning kan nämnas lagen (1998:543) om hälsodataregister, patientdatalagen (2008:355), lagen (2002:297) om biobanker i hälso- och sjukvården

m.m.(biobankslagen) och lagen (1999:353) om rättspsykiatriskt forskningsregister.19

I ett första skede har vår utredning haft i uppdrag att undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den allmänna reglering som Dataskyddsutredningen skulle föreslå.20 Vi lämnade i delbetänkandet förslag till en lag som ska komplettera dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål, en forskningsdata- lag. Syftet med den föreslagna forskningsdatalagen var att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Forskningsdatalagen skulle enligt förslaget vara tillämplig på all personuppgiftsbehandling för forskningsändamål oavsett om den utförs av offentligrättsliga eller privaträttsliga forskningsaktörer. Delbetänkandet har remissbehand- lats. Utbildningsdepartementet har i utkast till lagrådsremiss Person- uppgiftsbehandling för forskningsändamål inte gått vidare med förslaget till forskningsdatalag.

Vi hänvisar när det gäller allmänna rättsliga konsekvenser av data- skyddsförordningen till den redogörelse som Dataskyddsutredningen gör i SOU 2017:39 och till den redogörelse som finns i propositionen Ny dataskyddslag21. När det gäller konsekvenser utifrån ett forsk- ningsperspektiv hänvisar vi till vårt delbetänkande.

19Se kapitel 9 och Registerforskningsutredningens genomgång i avsnitt 5.3.6 i SOU 2014:45.

20Dir. 2016:65.

21Prop. 2017/18:105.

127

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

5.2.4Rätt för forskare att få del av personuppgifter

Forskare har rätt att ta del av uppgifter från myndigheter med stöd av rätten att ta del av allmänna handlingar enligt tryckfrihetsförord- ningen, förkortad TF. Hantering av allmänna handlingar och sekre- tessfrågor regleras i offentlighets- och sekretesslagen (2009:400). Statistikansvariga myndigheter har rättsligt stöd i personuppgifts- lagen och förvaltningslagen (1986:223)22 när det gäller att bistå forsk- ningshuvudmännen med sambearbetning av uppgifter, alltså uppgifter ur olika register som då också kan finnas hos flera olika myndigheter.23 I personuppgiftslagen finns krav på de personuppgiftsansvariga när det gäller skydd och säkerhet för personuppgifter.24

Enligt 12 § etikprövningslagen får personuppgifter lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt förarbetena till etikprövningslagen ska paragrafen läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen. Där framgår att om personuppgifter samlats in från någon annan källa än den registrerade, ska den personuppgifts- ansvarige självmant lämna den registrerade information om behand- lingen av uppgifterna när de registreras. Sådan information behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan för- fattning. En sådan bestämmelse om utlämnande av personuppgifter för användning i forskning är 12 § etikprövningslagen. Enligt denna bestämmelse behöver forskaren som hämtar in personuppgifter från något annat håll än den registrerade inte informera den registrerade om sin personuppgiftsbehandling.

Bestämmelsen innebär inte någon skyldighet att lämna ut person- uppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut dem ifall inte något annat följer av regler om sekretess och tystnads- plikt. I delbetänkandet föreslog vi att 12 § etikprövningslagen ska flyttas till den i betänkandet föreslagna forskningsdatalagen.25

22Förvaltningslagen (2017:900) träder i kraft den 1 juli 2018.

23Se vidare SOU 2014:45 s. 334 ff.

24Se vidare SOU 2014:45 s. 340 ff.

25SOU 2017:50 s. 363 ff.

128

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

5.3Några viktiga bestämmelser i dataskyddsförordningen

5.3.1Inledning

För att behandling av personuppgifter i en forskningsdatabas ska vara laglig måste de grundläggande reglerna för dataskydd i dataskydds- förordningen och dataskyddslagen uppfyllas. I propositionen till dataskyddslagen finns en genomgång av dessa bestämmelser i för- ordningen och av bestämmelserna i dataskyddslagen.

I vårt delbetänkande lämnade vi förslag till en forskningsdatalag som skulle komplettera dataskyddsförordningen och dataskydds- lagen. Utbildningsdepartementet har enligt utkast till lagrådsremissen Behandling av personuppgifter för forskningsändamål inte för avsikt att föreslå en forskningsdatalag. I utkastet finns en genomgång av departementets bedömningar när det gäller våra förslag i delbetän- kandet och möjligheterna till en ändamålsenlig behandling av person- uppgifter för forskningsändamål.

Vi hänvisar till den nämnda propositionen, vårt delbetänkande och det nämnda utkastet till lagrådsremiss och går här endast översiktligt igenom de bestämmelser och de bedömningar som vi anser är av särskilt intresse för vårt uppdrag i denna del.

5.3.2Rättslig grund

Allmänt om rättslig grund enligt dataskyddsförordningen

Vid behandling av personuppgifter krävs att åtminstone ett av villkoren i artikel 6.1 a–f i förordningen är uppfyllt för att behand- lingen ska vara laglig – ha rättslig grund. De rättsliga grunderna för laglig behandling av personuppgifter som räknas upp i artikel 6 är i stort sett desamma som i dataskyddsdirektivet och personuppgifts- lagen. De punkter i artikeln som kan bli aktuella som rättslig grund för personuppgiftsbehandling för forskningsändamål är punkterna a (samtycke), e (uppgift av allmänt intresse) och f (intresseavvägning).

En viktig förändring i dataskyddsförordningen som har betydelse för offentliga forskningshuvudmän är att myndigheter inte längre kan åberopa den rättsliga grunden intresseavvägning som de tidigare kunnat göra enligt 10 § f personuppgiftslagen som grund för sin

129

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

behandling när de fullgör sina uppgifter. Enligt förordningen måste myndigheter i stället kunna ange en annan rättslig grund för sin behandling.

Av skäl 43 framgår vidare att samtycke inte ska kunna utgöra giltig rättslig grund för behandling i de fall där det råder betydande ojäm- likhet mellan den registrerade och den personuppgiftsansvarige, och då särskilt om den personuppgiftsansvarige är en offentlig myndighet. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt (se vidare nedan).

En annan viktig förändring är att den rättsliga grunden i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse) enligt artikel 6.3 måste vara fastställd i unionsrätten eller nationell rätt. Det kravet finns inte uttryckt i dataskyddsdirektivet i dag.

Samtycke

Allmänt om samtycke

Den rättsliga grunden samtycke stadgas i 6.1 a i dataskyddsförord- ningen. Personuppgiftsbehandling för forskningsändamål kan grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ändamål. Samtycke kan användas som rättslig grund för alla slags personuppgifter, även känsliga personuppgifter (angående känsliga personuppgifter, se avsnitt 5.3.3). Den rättsliga grunden samtycke behöver inte vara fastställd i unions- eller nationell rätt och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.

I delbetänkandet finns en analys av definitionen av samtycke i artikel 4.11 i dataskyddsförordningen och de begrepp som beskriver ett giltigt samtycke: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, samt för känsliga personuppgifter (artikel 9.2 a) uttrycklig, viljeyttring. Vår bedömning är att dataskyddsförordningen inte innebär några bety- dande förändringar när det gäller de krav som ska vara uppfyllda för att ett samtycke ska anses vara giltigt jämfört med nu gällande rätt.

130

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

Utvidgad möjlighet till breda samtycken

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när syftet inte fullt ut kan identifieras vid insamlingstillfället, såsom när uppgifter samlas in till forsk- ningsdatabaser. I skäl 33 anges nämligen att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Vidare anges att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.

Skäl 33 måste enligt vår bedömning ses som en tydligt uttryckt ambition att tillåta bredare samtycken för forskningsändamål än vad som hittills varit fallet. Registrerade bör i enlighet med vad som anges i skäl 33 ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. Som vi konstaterat i delbetänkandet är en förutsättning dock att detta kan göras utan avkall på kraven att specificera ändamålen. Forskningsändamålen kan således vid sam- tycke båda vara specifika och någorlunda breda.26

Kravet på frivillighet

Ett samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma. För att säkerställa att samtycket lämnas frivilligt bör det enligt skäl 43 inte utgöra giltig rättslig grund för behandling av personuppgifter i sådana situationer när det råder betydande ojämlikhet mellan den registrerade och den person- uppgiftsansvarige. Det ska särskilt gälla om den personuppgifts- ansvarige är en offentlig myndighet om det därför är osannolikt att samtycket har lämnats frivilligt. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge är det ett för- tydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt.

I delbetänkandet analyserade vi vad som gäller för samtycke enligt

6.1 a med hänsyn till vad som anges i skäl 43. Vi gjorde bedömningen

26SOU 2017 :50 s. 171.

131

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

att möjligheten att använda samtycke som rättslig grund för person- uppgiftsbehandling för forskningsändamål behöver prövas i varje enskilt fall, som en del av bedömningen av giltigheten av det in- hämtade samtycket. Vi menar att det för privaträttsliga forsknings- aktörer vanligtvis inte råder betydande ojämlikhet när person- uppgifter behandlas för forskningsändamål, men att det kan vara fallet i det som benämns ”en särskild situation”. I delbetänkandet nämns olika exempel på sådana särskilda situationer.27

Även när det gäller offentliga forskningsutförare kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroende- ställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning.

Nytt samtycke vid ytterligare behandling

När det gäller ytterligare behandling vid ett senare tillfälle av in- samlade personuppgifter har vi i delbetänkandet konstaterat följande. En forskningsaktör som har samlat in personuppgifter vid ett tillfälle för visst forskningsändamål, får behandla uppgifterna för ytterligare forskningsändamål utan krav på att ange en ny rättslig grund. När det gäller den situationen att personuppgifter utlämnas till annan person- uppgiftsansvarig för behandling för forskningsändamål, är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Dock måste den andra person- uppgiftsansvariga i sin tur åberopa en ny rättslig grund för behand- lingen, såsom forskning av allmänt intresse enligt 6.1 e.28

Även när uppgifterna samlats in med stöd av samtycke är ytter- ligare behandling av personuppgifter för forskningsändamål hos samma personuppgiftsansvarig inte oförenlig med de ursprungliga ändamålen enligt artikel 5.1 b i dataskyddsförordningen. I skäl 50 i dataskyddsförordningen anges att detta (5.1 b) ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Enligt Europarådets rekommendation nr R (83) 10 om skydd för person- uppgifter som används vid forskning och statistik bör dock den

27Se SOU 2017:50 s. 163 ff.

28Se SOU 2017:50 s. 146 f och 161 ff.

132

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

personuppgiftsansvarige inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet, utan att ett nytt samtycke inhämtas där detta är lämpligt och praktiskt möjligt.29

Uppgift av allmänt intresse

Enligt artikel 6.1 e är behandlingen laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning. Genom 6.3 förstärks kopp- lingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål (se avsnitt 5.3.6 om ändamåls- begränsning). I andra stycket anges nämligen att syftet med behand- lingen ska fastställas i den rättsliga grunden eller vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning.

Att grunden enligt artikel 6.3 i dataskyddsförordningen ska vara fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av innebär inte att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rätts- ordningen är i stället uppgiften av allmänt intresse.

I dataskyddslagen finns en bestämmelse som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som utförs med stöd av gällande rätt. Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskydds- förordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett stöd i den personuppgiftsansvariges myndig- hetsövning enligt lag eller annan författning.30

I propositionen till dataskyddslagen anges att regeringen gör bedömningen att alla uppgifter som riksdag eller regering gett i upp- drag åt statliga myndigheter att utföra är av allmänt intresse samt att på motsvarande sätt de obligatoriska uppgifter som ålagts kommuner och landsting att utföra är av allmänt intresse.

29Se SOU 2017:50 s. 180.

30Prop. 2017/18:105 och SOU 2017:39 s. 41.

133

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

När det gäller forskning gör Utbildningsdepartementet i utkastet till lagrådsremiss Behandling av personuppgifter för forskningsända- mål31 bedömningen att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening. Departementet konstaterar bland annat följande. Sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, får också anses som nöd- vändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig förändring i förhållande till vad som gäller enligt personuppgiftslagen är som fram- kommit ovan emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

I propositionen till dataskyddslagen konstateras att det inte är någon nyhet att en uppgift av allmänt intresse ska vara fastställd i enlighet med gällande rätt när det gäller svenska myndigheters behandling av personuppgifter eftersom legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Vidare konstateras följande. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt. Legali- tetsprincipen innebär alltså att myndigheternas maktutövning i vid- sträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.32

Av skäl 41 i dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Euro- peiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Regeringen gör i propositionen till dataskyddslagen bedömningen att vilken grad av tydlighet och precision som krävs i

31 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

32Prop. 2017/18 :105 s. 50.

134

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

fråga om den rättsliga grunden för att en viss behandling av person- uppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.

På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara tillämplig och kunna åberopas. Det ställs däremot inte något krav enligt dataskyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.

Utbildningsdepartementet har gjort bedömningen att det inte bör införas en sådan bestämmelse som vi föreslog i delbetänkandet, där det enligt förslaget skulle anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Departementet har i utkastet till lagrådsremiss i stället gjort följande bedömning. För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För de statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

Vidare konstaterar departementet att en privaträttslig forsknings- utförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikpröv- ningslagen och forskningsutföraren har fått de tillstånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt och när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser behöver en privat forskningsutförare åberopa andra rättsliga grunder. Privata forskningsutförare har då möjlighet att bedriva forskning med samtycke eller efter en intresseavvägning.

135

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Intresseavvägning

Enligt artikel 6.1 f är behandlingen laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Av artikel 6.1 andra stycket framgår att detta inte ska gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot tidigare lag- stiftning eftersom motsvarande bestämmelse i personuppgiftslagen får tillämpas även av myndigheter.

Bakgrunden till begränsningen beskrivs närmare i skäl 47 i för- ordningen. Där framhålls bland annat att denna rättsliga grund inte bör gälla den behandling offentliga myndigheter utför som ett led i fullgörandet av sina uppgifter med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för myndigheternas behandling av personuppgifter. Offentliga forsk- ningsaktörer kan alltså inte tillämpa den rättsliga grunden intresse- avvägning som grund för sin personuppgiftsbehandling.

För privata forskningsaktörer är intresseavvägning en möjlig grund att tillämpa. Som framgått ovan är det bara när det är fråga om forskning som inte involverar känsliga personuppgifter eller person- uppgifter som avser lagöverträdelser som en privat forsknings- utförare behöver åberopa andra rättsliga grunder än grunden uppgift av allmänt intresse. Eftersom presumtionen är att forskning är ett berättigat intresse finns det stora möjligheter att i sådana fall behandla personuppgifter för forskningsändamål efter en intresse- avvägning.33

5.3.3Känsliga personuppgifter

I artikel 9.1 i dataskyddsförordningen anges att behandling av känsliga personuppgifter34 är förbjuden. De personuppgifter som avses är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska

33Se Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

34Vi väljer att liksom Dataskyddsutredningen använda termen ”känsliga personuppgifter” för sådana uppgifter som i dataskyddsförordningen benämns ”särskilda kategorier av person- uppgifter”, se SOU 2017:50 s. 186.

136

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

åsikter, religiös eller filosofisk övertygelse, medlemskap i fack- förening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv eller sexuell läggning. Från huvudregeln att det är förbjudet att behandla känsliga personuppgifter finns ett antal undantag i artikel 9.2. Vår bedömning är att undantagen i punkterna a, g och j kan bli aktuella i fråga om behandling av personuppgifter i forskningsdatabaser.

Känsliga personuppgifter får enligt 9.2 a behandlas om den regist- rerade uttryckligen har lämnat sitt samtycke. I förordningens artikel 9.2 a finns liksom i dataskyddsdirektivet en möjlighet för med- lemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Dataskyddsutredningen har gjort bedömningen att det inte har framkommit något som talar för att det nu bör införas ett förbud mot behandling trots den registre- rades samtycke.

Undantag från förbudet avseende viktigt allmänt intresse finns i artikel 9.2 g. Av det undantaget framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätt eller nationell rätt. Sådan rätt måste även innehålla lämpliga och särskilda skyddsåtgärder. Begreppen allmänt intresse och viktigt allmänt intresse är unions- rättsliga och finns även i artiklarna 7 e och 8.4 i dataskyddsdirektivet.

Ett ytterligare undantag från förbudet finns i artikel 9.2 j, om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, med motsvarande krav på lämpliga och särskilda skydds- åtgärder. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Undantag från förbudet att behandla känsliga personuppgifter kräver att nationell rätt innehåller bestämmelser om skyddsåtgärder.35

35 Känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen, se avsnitt 5.4.

137

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

5.3.4Personuppgifter om lagöverträdelser m.m.

I artikel 10 i dataskyddsförordningen regleras behandling av ”person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Det stadgas att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. För att behandling av sådana personuppgifter om lagöverträdelser m.m. ska vara möjlig för forskningsändamål för andra än myndigheter behövs reglering i nationell rätt. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder.36

5.3.5Principer för personuppgiftsbehandling

Artiklarna 5–11 i dataskyddsförordningen innehåller principer, såsom grundläggande principer för behandling av personuppgifter, vad som gäller för att behandling av personuppgifter ska vara laglig, villkor för samtycke och behandling av känsliga personuppgifter (särskilda kategorier av personuppgifter). I artikel 5 stadgas allmänna krav som gäller för all personuppgiftsbehandling. Artikel 5 i dataskyddsförord- ningen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.

I artikel 5 i dataskyddsförordningen anges följande principer för behandling av personuppgifter:

•laglighet, korrekthet och öppenhet,

•ändamålsbegränsning,

•uppgiftsminimering,

•korrekthet

•lagringsminimering,

•integritet och konfidentialitet samt

36För en genomgång av alla led i artikel 10, se SOU 2017:50 s. 206 ff.

138

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

•ansvarsskyldighet.

5.3.6Ändamålsbegränsning

Artikel 5.1 b

I dataskyddsförordningen stadgas om ändamålsbegränsning i artikel 5.1 b.37 Personuppgifter ska enligt denna bestämmelse samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Att uppgifterna inte senare får behandlas på ett sätt som är oförenligt med det ursprungliga ändamålet för vilket uppgifterna samlades in kallas finalitetsprincipen. Från finalitetsprincipen finns det så kallade forskningsundantaget. Ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål ska enligt artikel 5.1 b inte anses vara oförenlig med de ursprungliga ändamålen. Skrivningen innebär alltså att ytterligare behandling av person- uppgifter för forskningsändamål, precis som tidigare enligt person- uppgiftslagen, är särskild gynnad. Även om ytterligare behandling av personuppgifter för forskningsändamål inte ska anses stå i strid med de ursprungliga ändamålen gäller kravet på att ändamålet ska vara särskilt, inte allmänt.

Behandling får alltså, i nuläget enligt personuppgiftslagen och även när dataskyddsförordningen börjar tillämpas, bara genomföras för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgif- terna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. De på förhand fastställda ändamålen sätter ramarna för behandlingen.

Syftet är öppenhet, rättssäkerhet och förutsägbarhet så att den registrerade skyddas genom att ramarna blir tydliga för hur upp- gifterna får användas. Det måste därför noga övervägas till vilket ändamål insamlade personuppgifterna ska användas. Att ändamålet ska vara särskilt medför att alltför allmänt hållen ändamålsangivelse inte godtas.

I skäl 39 i dataskyddsförordningen anges bland annat att de speci- fika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna

37Motsvarande reglering finns i 9 § personuppgiftslagen.

139

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

samlades in, att personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Vidare anges att detta i synnerhet kräver att den period under vilken personuppgifterna lagras är begränsade till ett strikt minimum och att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.

Ändamålsbegränsningen som stadgas i artikel 5 har ett nära sam- band med kravet på laglig behandling i artikel 6. Personuppgifts- behandling för forskningsändamål grundat på samtycke bygger enligt

6.1a på att den registrerade lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Ett tydligt angivet ändamål är som regel en förutsättning för att det ska kunna bedömas om en viss behandling är laglig, alltså om ett giltigt samtycke föreligger (6.1 a) eller om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. När det gäller samtycke måste den enskilde, utifrån ändamålet, kunna ge ett samtycke till att uppgifterna om den enskilde används i den aktuella forskningen.

Principen om att ändamålen ska vara berättigade enligt artikel 5.1 b utgör en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Kravet på att ända- målen ska vara berättigade går dock längre än så och omfattar även ett krav på förenlighet med till exempel konstitutionella och andra rättsliga principer. Vidare kan även det allmänna sammanhanget och omständigheterna i det aktuella ärendet vara av betydelse för bedöm- ningen av om ändamålen är berättigade.38

Ändamålsbegränsningen har också betydelse för att Data- inspektionen39 ska kunna bedöma om behandling av personuppgifter är förenlig med förordningen. Vidare har ändamålsbegränsningen betydelse för att etikprövningsnämnden40 ska kunna göra bedöm- ningen avseende nyttan av forskningen och väga den mot riskerna för de enskilda. Dessutom har ändamålsbegränsningen betydelse för att

38Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning (Opinion 03/2013 on purpose limitation), s. 11 f. och 19 f.

39I ett pressmeddelande den 15 december 2017 informerar regeringen att den kommer att tillföra Datainspektionen 30 miljoner kronor för att stärka arbetet med den personliga integriteten. Myndigheten föreslås också att byta namn till Integritetsskyddsmyndigheten. Dessutom ska myndighetens uppdrag ändras så att dess stödjande och rådgivande roll blir tydligare.

40I januari 2019 ändras organisationen på så sätt att Centrala etikprövningsnämnden och de nuvarande sex regionala etikprövningsnämnderna ersätts av Överklagandenämnden för etikprövning och en ny myndighet; Etikprövningsmyndigheten, se vidare avsnitt 5.4.

140

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

statistikansvariga utlämnande myndigheter ska kunna bedöma vilka uppgifter som behövs för forskningen i fråga vid sekretessprövningen enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), för- kortad OSL (se avsnitt 5.5).

Ändamålsbegränsning och forskningsdatabaser

Ändamålsbegränsningen har ansetts vara ett hinder för större forsk- ningsdatabaser med personuppgifter som är avsedda att tillhandahålla uppgifter till fler än ett framtida forskningsprojekt. Vid en forsknings- databas bildande krävs det att ändamålet för personuppgiftsbehand- lingen är tillräckligt tydligt för att kunna godtas. Svårigheter kan därvid uppstå eftersom det vid större forskningsdatabasers tillkomst inte alltid är klart inom vilka forskningsprojekt uppgifterna kan komma att behandlas. När uppgifterna ska kunna användas i olika forskningsprojekt med olika inriktningar behöver ändamålsbeskriv- ningarna anpassas efter detta. Frågan om ändamålet har en stark koppling till frågan om möjligheten till etikprövning, se avsnitt 5.4.

Hur bred en ändamålsbeskrivning, och ett därtill kopplat sam- tycke, lagligen kan vara har diskuterats i olika sammanhang.41 I för- arbetena till bestämmelsen om ändamålsbegränsning i personupp- giftslagen angavs att en alltför allmänt hållen ändamålsangivelse inte kan godtas men hur pass detaljerad den ska vara för att uppfylla lagens krav på att vara ”särskild” förutsattes avgöras i praxis och genom kompletterande föreskrifter.

I kommentaren till 9 § personuppgiftslagen konstateras att om inte ändamålet har en viss grad av precision går det knappast att bedöma om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Vidare anförs att en personuppgift torde vara nödvändig för ett visst ändamål, om ändamålet inte kan realiseras för det fall inte personuppgiften får användas. Om man inte kan av- göra vilka personuppgifter som behövs för att ändamålet ska kunna

41Se t.ex. angående Vetenskapsrådets satsningar på databasinfrastrukturer, LifeGene m.m. i SOU 2017:50 s. 169 ff.

141

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

uppfyllas torde ändamålet inte vara särskilt utan allmänt. Det konsta- teras således att ändamålsbestämningen avgör vilka personuppgifter som får behandlas.42 Detta gäller även enligt dataskyddsförordningen.

Artikel 29-gruppen43 har i ett yttrande framhållit att ”framtida forskning” är ett alltför brett ändamål för att kunna vara särskilt. Dock tilläggs att hur detaljerat ändamålet bör vara beror på vilka uppgifter det gäller och i vilket sammanhang dessa samlas in.44 Datainspek- tionen har i olika sammanhang varit kritiska mot ändamålsangivelser såsom ”framtida forskning” som bedömts vara alltför allmänna.45 Angående etikprövning av LifeGene och EpiHealth, se avsnitt 5.4.2.

Ändamålsbestämmelser i befintliga regleringar av forskningsdatabaser

I befintliga registerlagar och registerförordningar där forskning är syftet eller ett av syftena är ändamålen formulerade på bland annat följande sätt. I lagen (1998:543) om hälsodataregister stadgas i ända- målsbestämmelsen att personuppgifter i ett hälsodataregister får användas för bland annat forskning och epidemiologiska under- sökningar. Enligt patientdatalagen (2008:355) inrättas kvalitets- register inom hälso- och sjukvården för att systematiskt och fort- löpande utveckla och säkra vårdens kvalitet, men får också användas för det sekundära ändamålet att bidra till forskning inom hälso- och sjukvårdsområdet. Ändamålet med det rättspsykiatriska forsknings- registret är enligt lagen (1999:353) om rättspsykiatriskt forsknings- register att uppgifterna ska användas för forskning inom rätts- psykiatrin. Enligt lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) får personuppgifter endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forsk-

42Sören Öman, Hans-Olof Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kom- mentaren till 9 §.

43Article 29 Data Protection Working Party, Guidelines on Consent under Regulation 2016/679 (WP259), s. 27. Artikel 29-gruppen är en oberoende rådgivande EU-instans för skydd av personuppgifter och privatlivet. Genom dataskyddsförordningens ikraftträdande kommer arbetsgruppen byta namn till Europeiska Dataskyddsstyrelsen. http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=615239

44Artikel 29-gruppens yttrande 03/2013 om ändamålsbegränsning, s. 52.

45SOU 2014:45 s. 343. Se även s. 346 fotnot 88 angående formuleringen av ändamålet i ansökan avseende LifeGene.

142

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

ning genomföra studier, uppföljningar och utvärderingar. I myndig- hetens instruktion preciseras ändamålet något. I lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa (den så kallade LifeGene-lagen) sägs ändamålet vara att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. anges forskning som ett av flera ändamål som en biobank får användas till.

I vårt delbetänkande analyserade vi vilka anpassningar till data- skyddsförordningen som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt i lagen om rättspsykiatriskt forskningsregister när förordningen ska börja tillämpas. Vi gjorde bedömningen att de befintliga ändamåls- bestämmelserna i de båda lagarna kan och bör behållas.46

Tidigare utredningars bedömningar avseende ändamål och forskningsdatabaser

Vetenskapsrådet har i sin rapport Rättsliga förutsättningar för en data- basinfrastruktur för forskning47 från år 2010 identifierat problem- ställningar förknippade med uppbyggnaden av en generell forsknings- databas. Särskilt kravet på ändamålsprecisering konstaterades stå i motsats till uppbyggnad av en generell datasamling. Vetenskapsrådet menade att det krävs ny lagstiftning för att få till stånd en databas- infrastruktur för forskning där generella forskningsändamål är tillåtna. I Vetenskapsrådets rapport anges att en möjlighet skulle kunna vara att det införs en lag om forskningsregister som reglerar de yttre ramarna för hur forskning i register får genomföras och att det införs registerförordningar för respektive register som anger de närmare förutsättningarna. Denna idé tog sedan Registerforsknings- utredningen vidare i sina förslag.

I Registerforskningsutredningens förslag till lag om forsknings- databaser finns en ändamålsbestämmelse enligt vilken en forsknings- databas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt den föreslagna ända- målsbestämmelsen. Personuppgifter får enligt förslaget behandlas för

46SOU 2017:50 s. 387 ff. och 408 ff.

47Vetenskapsrådets rapportserie 11:2010.

143

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till forskningsprojekt.

I det betänkandet diskuteras om det ändamål som anges i lag- förslaget är tillräckligt specifikt trots att det måste vara relativt brett för att kunna inrymma alla de forskningsdatabaser som kan bli aktuella att bygga upp. Det poängteras att syftet är att möjliggöra insamling av uppgifter inom olika ämnesområden till en forsknings- databas som ska kunna utgöra grund för framtida forskning.

Enligt utredaren är det inte möjligt att i den då föreslagna lagen om forskningsdatabaser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Däremot bör enligt utredaren ändamålet preciseras så långt som möjligt i de särskilda förordningar som förutsätts reglera varje enskild databas.48 Registerforskningsutredningens förlag behandlas i kapitel 6.

5.3.7Begränsningar i registrerades rättigheter

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstiftning eller i medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i vissa artiklar. Vi föreslog i delbetänkandet vissa sådana undantag från registrerades rättigheter. I utkastet till lagrådsremiss görs bedömningen att inga undantag från de angivna rättigheterna ska införas.

Den registrerade har enligt artikel 16 i dataskyddsförordningen rätt till rättelse av felaktiga personuppgifter som rör honom eller henne. När det gäller arkiverat forskningsmaterial, som bevaras bland annat för att det ska finnas möjlighet att granska handlingar för att verifiera forskningsresultat, skulle rättelse avsevärt försvåra verifiering och därmed strida mot syftet att bevara forskningsmaterialet.

I artikel 18 i dataskyddsförordningen stadgas om rätt för den registrerade att kräva att personuppgiftsbehandlingen begränsas under vissa förutsättningar.

Om den registrerade kan kräva att personuppgifterna är undan- tagna från behandling i forskning under en period kan det leda till skevhet i materialet som används i forskningen.

48SOU 2014:45 s. 433.

144

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

5.3.8Skyddsåtgärder

I dataskyddsförordningen ställs i artikel 89.1 krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter. Skydds- åtgärderna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. I artikel 5.1 c i dataskyddsförordningen stadgas om uppgifts- minimering. Vid personuppgiftsbehandling ska enligt stadgandet gälla att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas

Utbildningsdepartementet har i utkastet till lagrådsremiss före- slagit att en bestämmelse, motsvarande den som funnits i person- uppgiftslagen, med följande lydelse förs in i dataskyddslagen. Person- uppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I vårt delbetänkande föreslog vi en motsvarande bestämmelse i förslaget till forskningsdatalag.

Departementet har vidare gjort följande bedömningar. Att person- uppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål framgår direkt av EU:s dataskyddsförordning och bör därför inte föreskrivas i svensk rätt. En skyddsåtgärd som innebär att personuppgifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning. Etikprövning enligt etikprövningslagen är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forsk- ningsändamål än klinisk läkemedelsprövning och för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen.

145

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

5.4Etikprövning

5.4.1Etikprövningslagens innehåll, syfte och tillämpningsområde

Etikprövningslagen innehåller bestämmelser om forskningsetisk granskning och syftar till att skydda den enskilda människan och respekten för människovärdet vid forskning. För forskning som omfattas av lagen krävs etikgodkännande. Detta gäller oavsett om forskningspersonerna har lämnat sitt samtycke till att delta i forsk- ningen eller inte. Etikprövningslagen gäller enligt 5 § för forskning som ska utföras i Sverige.49

Enligt 3 § ska etikprövningslagen tillämpas på forskning som inne- fattar behandling av känsliga personuppgifter enligt 13 § person- uppgiftslagen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Lagen ska också tillämpas vid behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.50

Lagen gäller enligt 4 § för forskning som innebär ett fysiskt ingrepp på en person, som utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt. Lagen är också tillämplig på studier på biologiskt material från en levande person och som kan härledas till denna person. Inom lagens tillämpningsområde faller även forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna person. Det innebär bland annat

49I kapitel 14 i vårt delbetänkande SOU 2017:50 finns en genomgång av etikprövning av personuppgiftsbehandling för forskningsändamål. Där ingår en analys av personuppgifts- lagens relation till etikprövningslagen. Vi hänvisar även till Registerforskningsutredningens genomgång avseende etikprövningslagen i SOU 2014:45 s. 189 ff.

50Vi föreslog i vårt delbetänkande SOU 2017:50 anpassningar av etikprövningslagen till data- skyddsförordningen. Enligt förslaget skulle 3 § hänvisa till artikel 9.1 i dataskyddsförord- ningen i stället för till 13 § personuppgiftslagen. Även Utbildningsdepartementet har i utkastet till lagrådsremiss Personuppgiftsbehandling för forskningsändamål (Dnr U2018/01639/F) före- slagit detta. Enligt övergångsbestämmelserna till dataskyddslagen gäller personnuppgiftslagen fortfarande i den utsträckning det i annan lag eller förordning finns bestämmelser som inne- håller hänvisningar till den lagen.

146

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

att det behövs etikgodkännande för att använda material från en biobank i ett forskningsprojekt.

Etikprövningsnämndernas organisation har varit föremål för utred- ning.51 I januari 2019 ändras organisationen på så sätt att Centrala etik- prövningsnämnden och de nuvarande sex regionala etikprövnings- nämnderna ersätts av Överklagandenämnden för etikprövning och en ny myndighet; Etikprövningsmyndigheten.52 Etikprövning av forsk- ning som avser människor ska i stället för av nämnderna hanteras av en den nya myndigheten. En särskild utredare har fått i uppdrag att förbereda och genomföra bildandet av Etikprövningsmyndigheten. Uppdraget ska redovisas senast den 31 december 2018.53

En översyn av etikprövningslagen och regleringen för verksamhet i gränsområdet mellan klinisk forskning och hälso- och sjukvård samt en bestämmelse om etisk bedömning av vissa metoder i hälso- och sjukvården har gjorts av Utredningen om översyn av etikprövningen. I betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård finns förslag till förändringar i etikprövnings- lagen.54

5.4.2Villkor för etikprövning

Den forskning som etikprövningslagen omfattar enligt 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett god- kännande får förenas med villkor. Ett godkännande ska enligt 6 § avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser

m.m.enligt 13 och 21 §§ personuppgiftslagen får bara utföras om behandlingen av uppgifter har godkänts vid en etikprövning.

Med att forskning utförs avses själva genomförandefasen, dvs. att forskningspersoner rekryteras och inhämtande av underlag påbörjas, försök genomförs samt att inhämtat underlag analyseras och be-

51Regeringens proposition En ny organisation för etikprövning av forskning som avser människor (prop. 2017/18:45).

52Lagen (2018:147) om ändring i lagen (2003:460) om etikprövning av forskning som avser människor.

53Kommittédirektiv (2017:127) Inrättande av etikprövningsmyndigheten.

54Utredningens om översyn av etikprövningslagen betänkande Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

147

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

arbetas. Rent inledande planeringsarbete eller ordnande av finan- siering omfattas inte eftersom det är först i samband med forsk- ningens utförande i angiven bemärkelse som risker för skada avseende forskningspersonens hälsa, säkerhet och personliga integritet upp- kommer.55 Ett forskningsprojekt består ofta av flera delar. Etik- prövning ska endast göras av den del av projektet som omfattas av kravet på godkännande vid etikprövning.

Ett projekt är ofta avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner, forskningsledningen, finansiering eller på något annat sätt. I propositionen till etikpröv- ningslagen anges att några generella, principiella godkännanden till att under oöverskådlig framtid få utföra forskning på ett visst material inom ett visst område eller dylikt, inte kan medges.56

Centrala etikprövningsnämnden har konstaterat att det inte är möjligt att med stöd av etikprövningslagen behandla och godkänna forskningsdatabaser för framtida forskning. Anledningen till det är att den forskning som ska etikprövas måste vara avgränsad och att generella, principiella godkännanden till att under överskådlig framtid få utföra forskning på ett visst material, inom ett visst område eller liknande, inte kan lämnas. Etikprövningsnämnderna har dock i vissa fall ansett sig oförhindrade att godkänna projekt även med ganska breda ändamålsbeskrivningar. Gränsdragningen kan beskrivas som oklar mellan vad som anses vara ett projekt eller på något liknande sätt bestämd forskning och som därmed kan ges etikgodkännande respektive forskningsdatabaser som i dag inte anses kunna prövas enligt etikprövningslagen.57

Som exempel på den oklara gränsdragningen kan nämnas projekten LifeGene och EpiHealth58 som båda syftar till att samla in data från individer och följa dem under flera år för att få underlag att analysera sambanden mellan arv, miljö och hälsa. Projekten syftar till att skapa forskningsdatabaser som kan användas i framtida projekt. För de konkreta projekt till vilka forskare önskar få ut uppgifter från LifeGene eller EpiHealth krävs etiktillstånd precis som för annan forskning som använder sig av känsliga personuppgifter.

55Prop. 2002/03:50 s. 114.

56Prop. 2002/03:50 s. 114 f.

57Se vidare SOU 2014:45 s. 343 ff.

58LifeGene är ett samarbete mellan flera universitet som leds av Karolinska Institutet. EpiHealth leds av Uppsala universitet och Lunds universitet.

148

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

För att skapa databaserna ansökte såväl LifeGene som EpiHealth om etikprövning och fick båda etiktillstånd. När det gäller LifeGene innehöll beslutet ett förbehåll och överklagades till Centrala etik- prövningsnämnden, som ansåg sig förhindrad att pröva ansökan. Nämnden konstaterade dock att projektet inte behövde etikgod- kännande för att få genomföras och att godkännande av etikpröv- ningsnämnd bara aktualiseras med avseende på sådan konkret forsk- ning som kan komma att planeras i framtiden.59 Datainspektionen beslutade dock, med stöd av personuppgiftslagen, att uppgiftssam- lingen skulle upphöra. Beslutet motiverades med att ändamålet fram- tida forskning var alltför brett och det i sin tur gjorde det omöjligt för forskningspersonerna att ge ett giltigt samtycke. Efter Datainspek- tionens beslut lämnade regeringen förslag till en lag för att möjliggöra LifeGene-projektet. Den tillfälliga lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den så kallade LifeGene-lagen) trädde i kraft den 1 december 2013. Tiden för lagen har förlängts två gånger och gäller enligt den senaste för- längningen till den 31 december 2020.60

EpiHealth prövades inte av Centrala etikprövningsnämnden och Datainspektionen har inte funnit anledning att pröva behandlingens laglighet. Det kan dock konstateras att ansökan avseende EpiHealth var något mer utförlig när det gäller ändamålsbeskrivningen än den som avsåg LifeGene. 61 Angående ändamålsbestämning, se avsnitt 5.3.6.

5.5Offentlighet, sekretess och tystnadsplikt

5.5.1Inledning

Av dataskyddsförordningens artikel 86 framgår det att person- uppgifter i allmänna handlingar får lämnas ut av myndighet eller ett offentligt organ i enlighet med medlemsstatens nationella rätt. I Sverige kommer detta till uttryck i offentlighetsprincipen.

Offentlighetsprincipen är central i svensk rätt och kommer till uttryck bland annat genom rätten att ta del av allmänna handlingar.

59CEPN beslut 2011-03-04, dnr Ö 28-2010.

60Förslaget till förlängningen lades fram i regeringens proposition Fortsatt giltighet av lagen om vad vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2016/17:204).

61I SOU 2014:45 s. 347 f. finns en översikt som innehåller jämförelse mellan ändamåls- beskrivningarna i de båda ansökningarna.

149

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

När forskningsdata förvaras hos en myndighet (t.ex. ett statligt lärosäte) och vissa andra organ blir bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. TF tillämpliga. Denna rätt gäller dock inte utan begränsningar. Av 2 kap. 2 § TF framgår nämligen att denna rätt får begränsas om det är påkallat med hänsyn till vissa i paragrafen angivna intressen, bl.a. skyddet av enskildas personliga och ekonomiska förhållanden.

Varje begränsning i rätten att ta del av allmänna handlingar ska enligt 2 kap. 2 § andra stycket TF anges noga i en särskild lag. Det är i huvudsak regleringen i offentlighets- och sekretesslagen (2009:400), OSL, och offentlighets- och sekretessförordningen (2009:641) som styr i vilka fall en myndighet får lämna ut uppgifter för olika ändamål, bl.a. forskning.

Enligt 2 kap. OSL ska vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar gälla också handlingar hos vissa andra organ. Dessa kan vara statliga aktiebolag, ekonomiska föreningar eller stiftelser (2 kap. 3 § OSL), men även andra privaträttsliga organ än statliga företag såsom en del enskilda utbildningsanordnare med examensrätt. I bilagan till OSL finns reglerat vilka övriga juridiska personer som enligt 2 kap. 4 § OSL – s.k. jämställda organ – som omfattas av offentlighetsprincipen om handlingarna hör till den verksamhet som nämns där. Dessa organ ska således vid tillämpningen av OSL jämställas med myndigheter.

Utöver att organ som räknas upp i bilagan till OSL omfattas av offentlighetsprincipen finns en koppling mellan bilagan och arkiv- lagen (1990:782). Enligt 2 § arkivlagen gäller det som enligt lagen gäller för statliga myndigheters arkiv även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekre- tesslagen (se vidare avsnitt 5.6.1). Arkivlagens koppling till bilagan till offentlighets- och sekretesslagen innebär att tillämpningsområdet kan förändras utan att det krävs ändringar i arkivlagen. Bilagan till offent- lighets- och sekretesslagen kan ändras genom att nya organ kommer till eller genom att organ tas bort och på så sätt ändras även arkivlagens tillämpningsområde.

En viktig skillnad mellan OSL och dataskyddsförordningen är att dataskyddsförordningen inte omfattar behandling av uppgifter om avlidna, medan sekretess enligt OSL kan göra det.

150

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

5.5.2Sekretessbestämmelsernas utformning

Föremål, räckvidd och styrka

Sekretessbestämmelserna i OSL består av tre olika rekvisit: föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.

Med föremålet för sekretessen avses vilken slags uppgift som ska omfattas av sekretessregleringen. Detta ska vara en så uttömmande reglering som möjligt.

Räckvidden för sekretessen är, om inget annat anges, hela den offentliga förvaltningen och därmed jämställda organ och verksam- heter. Det är dock vanligast att sekretessbestämmelserna anger en mer begränsad räckvidd. Detta uttrycks genom att sekretessen gäller inom en viss verksamhet eller i ett ärende av angivet slag. I undantagsfall hänvisas till en viss bestämd myndighet. Sekretess som på detta vis inskränks till information som hör samman med verksamheten, ärendet eller myndigheten brukar kallas för primär sekretess (se vidare nedan).

I nästan alla sekretessregler krävs det en bedömning av hur stor risken för skada är om en viss uppgift lämnas ut. Två olika typer av skaderisker kan förekomma. Begreppet ”skada” avser risk för ekono- misk skada. När det i stället gäller risken för integritetskränkningar används beteckningen ”men”. I vissa bestämmelser förekommer bägge varianterna. Det finns också regler där någon skaderisk inte anges. I de fallen är sekretessen absolut och gäller alltid för den aktuella uppgiften i den angivna verksamheten. Det är dessa rekvisit som anger sekretessens styrka.

Skaderekvisit

Som nämnts ovan omfattas vanligtvis en sekretessbestämmelse av ett skaderekvisit som anger sekretessens styrka. Ett skaderekvisit måste vara uppfyllt för att uppgifterna i en allmän handling ska anses omfattas av sekretess. I det följande redogörs för de olika skade- rekvisiten.

Det raka skaderekvisitet formuleras som att sekretess gäller för en uppgift ”om det kan antas” att ett utlämnande leder till skada. Det krävs särskilda omständigheter i det enskilda fallet som talar för att ett

151

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

utlämnande är skadligt.62 Vid rakt skaderekvisit är offentlighet huvud- regeln. En myndighet ska alltså kunna redovisa konkreta skäl för sekretess om den trots det raka skaderekvisitet vill hemlighålla en uppgift.63

Omvänt skaderekvisit innebär att uppgifterna i en allmän handling som huvudregel är sekretesskyddade, så kallad stark sekretess, och formuleras så ”att det måste stå klart” att utlämnandet inte kan anses leda till skada för att ett utlämnande ska kunna göras.64

Slutligen är den absoluta sekretessen den allra starkaste formen av sekretess där huvudregeln är att uppgifter inte får lämnas ut oavsett om de kan orsaka skada eller inte. Här behöver inte någon skade- prövning göras och inget skaderekvisit vara uppfyllt för att det ska föreligga sekretess.65

De olika skaderekvisiten som anges ovan innebär konkret att sekretessen enligt olika bestämmelser har olika typer av styrkegrad. Ett exempel på uppgifter som omfattas av sekretess med ett rakt kvalificerat skaderekvisit är uppgifter om enskilds hälsa eller sexualliv (21 kap. 1 § OSL).66

Överföring av sekretess

Bestämmelser om överföring av sekretess finns i 11 kap. OSL där överföring av sekretess i forskningsverksamhet regleras särskilt i 3 §. Överföring av sekretess blir aktuellt i de fall det inte finns någon primär sekretessbestämmelse hos den mottagande myndigheten som är tillämplig på uppgifterna som behandlas i ett forskningsprojekt. Det kan i stället finnas sekretess som genom bestämmelsen om över- föring av sekretess har förts över från den myndighet från vilken uppgifterna är hämtad. Sekretessen överförs i det fall uppgifterna lämnas till en myndighets forskningsverksamhet under förutsättning att uppgifterna inte redan omfattas av en annan sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar konkurrens mellan primära och sekundära sekretessbestämmelser.

62Se bland annat RÅ 1994 ref. 91 och RÅ 1981 2:34 I.

63Regeringens proposition med förslag till sekretesslag m.m. Del A (prop. 1979/80:2) s. 80.

64Prop. 1979/80:2 Del A s. 80.

65Prop. 1979/80:2 Del A s. 82.

66Tansjö, Geijer och Lenberg Lagkommentaren till Offentlighets- och sekretesslagen.

152

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

Regleringen om primär och sekundär sekretess återfinns i 3 kap. 1 § OSL. Med primär sekretessbestämmelse avses en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestäm- melsen antingen riktar sig direkt till myndigheten, omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndig- heten eller omfattar vissa uppgifter som finns förvarade hos myndig- heten. Primär sekretess kan dock spridas utanför det primära sekre- tessområdet med stöd av bestämmelser om överföring av sekretess, dvs. sekundär sekretess.67

Sekundär sekretess kallas den sekretess som den som begärt ut en uppgift ska tillämpa på uppgiften på grund av att sekretessen över- förts. Om den mottagande myndigheten har en egen sekretess- bestämmelse som gäller för uppgiften, är det i stället den sekretessen som mottagen ska tillämpa.

Vid införandet av den gamla sekretesslagen (1980:100) ansåg lagstiftaren att en allmän bestämmelse om överföring av sekretess inte behövdes tas in i sekretessregleringen. I stället bedömde man att sekretessbehovet som huvudregel kunde tillgodoses genom primära sekretessbestämmelser. Denna inställning har följt med till den nya offentlighets- och sekretesslagen. Det har medfört att de olika primära sekretessbestämmelserna var och en för sig har ett begränsat tillämpningsområde, vilket i sin tur innebär att det finns en del luckor i sekretesskyddet.

Om det finns en primär sekretessbestämmelse som är tillämplig på uppgiften hos den mottagande myndigheten, så gäller den sekretess- bestämmelsen före den sekundära sekretessbestämmelsen. Detta gäller oavsett vad för styrka den primära sekretessens har hos den utlämnande myndigheten. Med andra ord kan detta komma att inne- bära att uppgifterna kommer att omfattas av en sekretessbestämmelse som har ett svagare skydd än om sekretessen överfördes från den utlämnande myndigheten. I de fall som det visat sig att sådana luckor föranleder praktiska olägenheter för utlämnande myndighet ansåg lagstiftaren att man i första hand får åtgärda luckorna genom justeringar i de primära sekretessbestämmelserna.68 Detta har dock inte gjorts i någon större utsträckning inom forskningsområdet.

67Tansjö, Geijer och Lenberg Lagkommentaren till Offentlighets- och sekretesslagen.

68Prop. 1979/80:2 Del A s. 76 ff., SOU 2014:45 s. 206.

153

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Bestämmelsen om överföring av sekretess är central för sekre- tesskyddet för personuppgifter i forskningssammanhang. Den inne- bär att en myndighet som i sin forskningsverksamhet får en sekretess- reglerad uppgift från en annan myndighet ska tillämpa samma sekre- tessbestämmelse på uppgiften som den utlämnande myndigheten gör. Detta under förutsättning att den mottagande myndigheten inte har någon egen sekretessbestämmelse att tillämpa. Det innebär t.ex. att den absoluta sekretess som gäller enligt 24 kap. 8 § OSL eller den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL, överförs till en mottagande myndighet. I de fall en uppgift för vilken överförd sekretess gäller begärs ut från den mottagande myndigheten, ska den mottagande myndigheten göra en självständig bedömning av om uppgiften omfattas av den överförda sekretessen eller inte (2 kap. 14 § första stycket TF).69

Överföring av sekretess innebär att en sekretessbestämmelse både kan fungera som en primär sekretessbestämmelse hos den utlämnande myndigheten och som en sekundär sekretessbestämmelse hos den mottagande myndigheten. Av bestämmelser om överföring av sekre- tess framgår det att den överförda sekretessen bara kan tillämpas på sådana uppgifter som den mottagande myndigheten har fått från den utlämnande myndigheten.

Eftersom sekretessregleringen bara gäller för det allmänna finns det inte någon sekretess hos en enskild som kan överföras när den enskilde lämnar en uppgift till en myndighet.70 Det finns inte heller någon sekretess som kan överföras från myndighet till en enskild vid ett utlämnande av uppgifter. En myndighet kan dock välja att lämna ut uppgifterna mot ett förbehåll enligt 10 kap. 14 § OSL.

5.5.3Sekretessbestämmelser till skydd för enskild inom forskning

Statistiksekretess

Den sekretess som ofta är aktuell när en forskare begär ut uppgifter från en myndighet är den så kallade statistiksekretessen, vilken regleras i 24 kap. 8 § OSL. När det är en forskare knuten till en myndighet anses det vara myndigheten som begär ut uppgifterna,

69SOU 2014:45 s. 225 ff.

70SOU 2014:45 s. 206, proposition 1979/80 Del A s. 75 ff.

154

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

medan det när det gäller privata forskningshuvudmän anses vara den enskilde forskaren.

Statistik kan framställas för att användas som underlag för ett beslut i ett ärende hos en myndighet, men det är inte sådan verk- samhet som omfattas av den här bestämmelsen. I stället är det fråga om en mera allmänt utredande verksamhet som sekretessen reglerar hos många av de myndigheter som ansvarar för register som är intressanta för registerbaserad forskning (exempelvis de statistik- ansvariga myndigheterna Brå, SCB och Socialstyrelsen).71

Sekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Alltså skyddas inte bara sådana uppgifter som innehåller identitets- beteckningar som namn och personnummer på en enskild utan även uppgifter som på något sätt kan hänföras till en enskild och gäller oavsett varifrån uppgiften härrör eller hur den kommit till myndig- heten.72 Det är inte ändamålet med uppgiften som är avgörande för om uppgifterna omfattas av statistiksekretess. Avgörande för om uppgifterna omfattas av sådan sekretess hos en myndighet är i stället verksamheten som uppgiften förekommer i. Det kan leda till att en uppgift hos en myndighet är offentlig inom en handläggande avdel- ning, men sekretessbelagd inom en avdelning som framställer statistik eller sysslar med forskning, exempelvis när uppgifter hos en personal- avdelning lämnas över till en enhet för statistik.

Statistiksekretessen i 24 kap. 8 § OSL är omfattande. Det följande fokuserar därför enbart på de delar som är av vikt för området forsk- ning, nämligen första och tredje styckena i bestämmelsen. Bestäm- melsens första stycke innehåller huvudregeln som anger att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser fram- ställning av statistik. Sekretessen är enligt huvudregeln i bestäm- melsen absolut, vilket innebär att inga uppgifter får lämnas ut. Absolut sekretess är den starkaste formen av sekretess. Uppgifter som omfattas av absolut sekretess är alltid hemliga, och får därmed inte lämnas ut oavsett om de kan orsaka skada eller inte. Således behöver inte någon skadeprövning göras och inget s.k. skaderekvisit vara uppfyllt.

71Proposition 1979/80:2 Del A s. 263.

72Statistikutredningens slutbetänkande Vad är officiell statistik? En översyn av statistiksystemet och SCB (SOU 2012:83) s. 138 ff.

155

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

I denna bestämmelse finns fyra undantag från huvudregeln, varav två av undantagen är av intresse i forskningssammanhang. Det undan- tag som är mest väsentligt för forskning är att uppgifter som behövs för forsknings- eller statistikändamål får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Här gäller med andra ord ett omvänt skaderekvisit. Möjligheten till utlämnande för forskningsändamål är avsedd att tillämpas restriktivt.73

Det andra undantag som kan bli aktuellt vid utlämnande av uppgifter för forskningsändamål är att uppgift som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock endast göras under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Undan- taget infördes för att tillgodose behovet av detaljerad statistik inom både statistik och forskning. Det avser inte bara utlämnande till forsk- nings- och statistikändamål, utan är generellt tillämpligt.74

Skälen till att statistiksekretessen är så stark har diskuterats i förarbetena både till den tidigare sekretesslagen (1980:100) och i de förarbeten som togs fram i samband med att den nya offentlighets- och sekretesslagen infördes samt i arbetet med att ändra statistik- sekretessen.75 När det är fråga om statistikuppgifter finns det ofta en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial76 och hänsynen till den enskildes integritet.77 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset på detta område är förhållandevis svagt medan integritetsintresset däremot väger tyngre. Exempelvis är registeruppgifter från SCB visserligen var för sig relativt harmlösa, men en sammanställning av sådana uppgifter kan vara integritetskänslig. Behovet av ett starkt sekretesskydd beror också på att statistikkvaliteten kan påverkas negativt om inte den enskilde uppgiftslämnaren är säker på att hans eller hennes uppgifter inte kommer ut. Risken finns annars att man då blir mindre benägen att lämna ut sina uppgifter. Det handlar här alltså om allmänhetens

73 Regeringens proposition Lag om vissa personregister för officiell statistik m.m. (prop. 1994/95:200) s. 38.

74Prop. 1994/95 :200 s. 38.

75Prop. 1979/80:2 Del A s. 262–265.

76Med statistiskt primärmaterial avses s.k. grunddata, även kallad rådata, som samlas in för att utgöra underlaget till den statistiska framställningen.

77Prop. 1979/80:2 Del A s. 262.

156

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

tilltro till att uppgifterna hanteras med respekt för den enskildes behov av personlig integritet.78

Dataskyddssekretess

En annan sekretessbestämmelse som aktualiseras oavsett från vilken myndighet en forskare begär ut uppgifter är den sekretess som gäller enligt 21 kap. 7 § OSL. Bestämmelsen anger att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen eller data- skyddslagen. Uttrycken personuppgift och behandling i bestäm- melsen har samma innebörd som den i dataskyddsförordningen. I samband med att dataskyddsförordningen ersätter personuppgifts- lagen förändras bestämmelsen i 21 kap. 7 § OSL så att det framgår att sekretess gäller om det kan antas att uppgiften efter ett utlämnande kommer behandlas i strid med dataskyddsförordningen och data- skyddslagen. Skaderekvisitet är därmed detsamma som innan.

Bestämmelsen är tillämplig hos sådana myndigheter som är person- uppgiftsansvariga eller som annars har tillgång till personuppgifter. Den innebär ett förbud att lämna ut personuppgifter om det kan antas att uppgifter efter utlämnandet kommer att behandlas i strid med bestämmelserna i dataskyddsförordningen.79 Bestämmelsen innebär att den utlämnande myndigheten kan behöva undersöka hur uppgif- terna kommer att behandlas hos den som har begärt ut dem, till exem- pel hos den forskningshuvudman som uppgifterna ska lämnas ut till.80

Sekretessbestämmelsen har kritiserats av både JO och olika statliga utredningar.81 Kritiken handlar främst om att bestämmelsen är otydlig och att den utgör ett hot mot öppenheten och därför bör upphävas.82 Inget av kritiken som framförts har emellertid lett till någon åtgärd från lagstiftarens håll.

78Proposition 1979/80:2 Del A s. 262, SOU 2014:45 s. 213.

79Prop. 2017/18:105, förslag till ändrad lydelse av 21 kap. 7 § OSL.

80SOU 2014:45 s. 216 ff.

81Se t.ex. Personuppgiftsutredningens betänkande Översyn av personuppgiftslagen (SOU 2004:6).

82Eva Spira och Ann Dahlin, Stockholm 2000 7:16 och andra hot mot öppenheten. Om offentlig- het och sekretess i Sverige och EU, Ny sekretesslag (SOU 2003:99), SOU 2004:6 och Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4).

157

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Sekretessen i 21 kap. 7 § OSL är försedd med ett rakt skaderekvisit, vilket innebär att utgångspunkten är att uppgifterna ifråga är offent- liga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften lämnas ut.

Sekretess för uppgifter om hälsa

Det är inte ovanligt att forskare hämtar personuppgifter ur journaler eller från ett nationellt, regionalt eller lokalt s.k. kvalitetsregister. Kvalitetsregister innehåller personbundna uppgifter inom specifika områden i hälso- och sjukvården och används bl.a. för förbättrings- åtgärder och forskning. I kvalitetsregistren återfinns känsliga person- uppgifter om hälsa. Sådana uppgifter skyddas av sekretess enligt 25 kap. 1 § OSL.

Med uttrycket hälso- och sjukvård avses den öppna eller slutna sjukvården. Grundläggande bestämmelser för sådan verksamhet finns i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Till begreppet hör även bl.a. förebyggande medicinsk hälsovård, till exempel verk- samheten på mödra- och barnavårdscentralerna, inom psykiatrisk barn- och ungdomsvård och tandvården. Utanför bestämmelsens tillämpningsområde faller däremot verksamhet som bedrivs i privat verksamhet för vilken i stället föreskrifterna om tystnadsplikt i patientsäkerhetslagen (2010:659) gäller. Av bestämmelsen framgår att sekretessen även gäller ”i annan medicinsk verksamhet”, för vilket avses verksamhet som inte primärt har vård- eller behandlingssyfte, till exempel verksamhet som bedrivs hos Rättsmedicinalverket eller Rättsliga rådet vid Socialstyrelsen.

Sekretessen omfattar uppgift om enskilds hälsotillstånd eller andra personliga förhållanden och avser uppgifter om den vårdbehövande eller därmed jämställda personer samt uppgifter som en vård- behövande lämnar om andra personer, exempelvis närstående, grannar eller arbetskamrater. Det framgår att sekretessen även gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Även här har vi med andra ord ett omvänt skaderekvisit. Om uppgifter lämnas ut från den allmänna hälso- och sjukvården för forskningsändamål följer det av 11 kap. 3 §

158

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

OSL att hälso- och sjukvårdssekretessen kan föras över till den mot- tagande myndigheten. Om det finns en primär sekretessbestämmelse hos den mottagande myndigheten ska dock den gälla i första hand.

Det finns ytterligare en sekretessbestämmelse som omfattar hälsouppgifter. Bestämmelsen har inte begränsats till någon särskild verksamhet eller myndighet, vilket innebär att den ska användas av alla myndigheter och andra organ som ska tillämpa OSL. Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könskorrigering, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Efter att myndigheten beaktat omständigheterna i det enskilda fallet kan även mindre käns- liga uppgifter sekretessbeläggas med stöd av bestämmelsen. Bestäm- melsen innehåller ett skaderekvisit som medför att bestämmelsen ger ett minimiskydd för känsliga uppgifter om enskildas hälsa och sexual- liv inom hela den offentliga sektorn.

Andra sekretessbestämmelser som berör forskningsområdet

I 24 kap. OSL finns det sekretessbestämmelser särskilt till skydd för enskild inom forskning och statistik. Enligt bestämmelsen i 24 kap. 1 § gäller sekretess för uppgift som hänför sig till psykologisk under- sökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men. Alla slags uppgifter som hänför sig till sådana undersökningar kan vara föremål för sekretess.

Enligt 10 kap. 23 § OSL får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 8 § och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet. Misstanken måste dock gälla brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168). Bestämmelsen innebär en möjlighet att bryta sekretessen

159

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

för vissa allvarliga brott, men inte någon skyldighet att lämna ut upp- gifterna. I bestämmelsen anges också vilka sekretessbestämmelser som omfattas av denna möjlighet att bryta sekretessen. Denna möjlig- het gäller t.ex. avseende sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (24 kap. 2 a § OSL).

Inre sekretess

Förtroendet för integritetsskyddet i samband med uppgiftshante- ringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och i samband med överföring av personupp- gifter. Även inom en sådan verksamhet som hanterar personuppgifter måste det finnas ett integritetsskydd avseende hanteringen av upp- gifter om enskilda dvs. som har med den s.k. inre sekretessen att göra.

Det finns ingen legaldefinition av begreppet inre sekretess. Oftast avser det i vilken utsträckning uppgifter som omfattas av sekretess får lämnas mellan befattningshavarna inom en myndighet.83

I förarbetena till patientdatalagen (2008:355), används begreppet i en vidare bemärkelse. Där menar man att inre sekretess inrymmer ett antal frågeställningar om hur känsliga personuppgifter om enskildas hälsa och andra personliga förhållanden bör hanteras inom en verk- samhet för att motverka obefogade intrång i den personliga integri- teten. Exempel på åtgärder som bedömdes som viktiga för att stärka den inre sekretessen var behörighetstilldelning och kontroll av elek- tronisk åtkomst, s.k. loggning.84

Av betydelse för gällande rätt om inre sekretess är att olovligt intrång och olovligt efterforskande i elektroniska informationssystem kan vara straffbart enligt straffbestämmelser om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatiserad databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 c § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till en

83Manolis Nymark, Patientdatalagen – Informationshantering och journalföring i hälso- och sjukvården m.m., s. 82 ff.

84Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) s. 141 ff.

160

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

forskningsdatabas för att läsa uppgifter om en enskild utan att detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet.

Meddelarfrihet

Den grundläggande bestämmelsen om meddelarfriheten finns i 1 kap.

1§ tredje stycket TF. Där stadgas att det ska stå envar fritt att meddela uppgifter och underrättelser i vad ämne som helst för offentlig- görande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om det för skriften finns en särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelan- den till periodiska skrifter. Motsvarande rätt återfinns i yttrande- frihetsgrundlagen, förkortad YGL, gällande radio- och tv sändningar. Meddelarfriheten gäller i princip oberoende av om meddelandet publiceras. Det räcker alltså att meddelarens syfte är att offentliggöra uppgiften. Detta innebär konkret att meddelarfriheten tar över tystnadsplikten.85

Meddelarfriheten är dock inte en oinskränkt rättighet. Den gäller inte vid s.k. kvalificerade tystnadsplikter där det i offentlighets- och sekretesslagen finns reglerat att meddelarfriheten inte gäller. Av

24kap. 9 § 1 och 25 kap. 18 § OSL framgår det att statistiksekretessen och hälso- och sjukvårdssekretessen är sådana kvalificerade tystnads- plikter att meddelarfriheten inte gäller.

5.5.4Tystnadsplikt vid privat verksamhet

Privat verksamhet

Även forskare verksamma hos en privat forskningshuvudman behand- lar personuppgifter för forskningsändamål. Inom den privata sfären saknas ofta sekretesskydd för uppgifterna eftersom de flesta privata forskningshuvudmän inte finns omnämnda i bilaga till OSL. Det innebär att en myndighet av det skälet kan vägra att lämna ut upp- gifterna till forskning. En myndighet ska dock alltid ta ställning till om uppgifter som är sekretesskyddade ändå kan lämnas ut med ett s.k. förbehåll enligt 10 kap. 14 § OSL.

85SOU 1990:12 Meddelarrätt s. 12.

161

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Av bestämmelsen följer att om en myndighet finner att sådan risk för skada men eller annan olägenhet som enligt en sekretessbestäm- melse hindrar att en uppgift lämnas ut kan undanröjas genom ett förbehåll, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas ut. Ett förbehåll innebär att myndigheten inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den. Bestäm- melsen ska bara tillämpas vid utlämnande till enskilda, inte till en annan myndighet. Förbehållet kan därmed inte rikta sig till en person som vill ta del av uppgifterna i egenskap av offentlig funktionär eller anställd vid en myndighet. Handlingar eller uppgifter som utlämnas till en myndighet omfattas i sådana fall i stället av den sekretess som gäller hos den myndigheten och i vissa fall av sekundär sekretess.

I forskningssammanhang kan således förbehåll endast användas vid utlämnande av uppgifter till forskning som bedrivs av enskild huvud- man. Ett förbehåll kan också ställas upp om den som uppgiften rör samtycker till att en sekretessbelagd uppgift lämnas ut med förbehåll. Ett förbehåll får ställas upp endast om förbehållet behövs för att undanröja den skaderisk som annars skulle utgöra ett hinder mot utlämnande och om förbehållet, med hänsyn taget till alla om- ständigheter i det enskilda fallet, är tillräckligt för att undanröja risken. Förbehållet innebär att den som tar emot uppgifterna har tystnads- plikt. Om den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar för brott mot tystnadsplikten bli aktuellt enligt 20 kap. 3 § brottsbalken. Straffskalan innehåller böter och fängelse upp till ett år.

I betänkandet Unik kunskap genom registerforskning lägger utredaren fram slutsatsen att uppgifter som lämnas ut till aktörer som inte omfattas av offentlighets- och sekretesslagen kommer att få samma skydd genom en tillämpning av bestämmelsen om förbehåll i OSL. Någon närmare analys av denna uppfattning har inte gjorts, men den har bland annat kritiserats av Datainspektionen.86

86Datainspektionens remissvar till SOU 2014:45, Datainspektionens dnr 2469-2014.

162

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

5.5.5Prövningen av en forskares begäran av att få ta del av uppgifter från en statistikansvarig myndighet

I detta avsnitt redogör vi kort för hur en sekretessprövning hos utlämnande myndighet kan gå till. Notera dock att det enbart är ramarna för sekretessprövningen som återges och att rutinerna kan skiljas åt något mellan myndigheterna. Den utförligare beskrivningen av vilka regler som gäller framgår av avsnitten ovan.

De statistikansvariga myndigheternas register är, som ovan nämnts, belagda med absolut sekretess enligt 24 kap. 8 § OSL. Den absoluta sekretessen kan brytas för forskningsändamål, om det står klart att den som uppgifterna avser eller någon närstående inte kan lida skada eller men. När en begäran om att få ta del av uppgifter för forskningsändamål, kommit in till berörd myndighet måste en sekre- tessprövning genomföras innan ett formellt beslut om utlämnande kan fattas.

Sekretessprövningen, som syftar till att värna om den personliga integriteten hos forskningspersonerna, tar sitt avstamp i OSL, data- skyddsförordningen samt etikprövningslagen. Såväl nya ärenden som pågående projekt som tidigare fått ut uppgifter måste genomgå en sekretessprövning innan personuppgifterna får lämnas ut.

Ett godkännande av projektet från en etikprövningsnämnd är en förutsättning för att känsliga personuppgifter ska få behandlas, men beslutet innebär dock inte att myndigheten automatiskt kan bryta sekretessen och lämna ut uppgifterna. En godkänd etikprövning är snarare ett underlag för den sekretessprövning som myndigheten är skyldig att utföra inför varje utlämnande. Därför är det viktigt att etikansökan bl.a. innehåller uppgifter om vilka register som är av intresse för forskningsprojektet och vilken typ av personuppgifter som behövs. Myndigheten får inte heller bryta sekretessen om det kan antas att forskningshuvudmannen kommer att behandla person- uppgifter i strid med dataskyddsförordningen eller mot dataskydds- lagen.

163

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

5.6Arkivering och gallring

5.6.1Tryckfrihetsförordningen och arkivlagen

När uppgifter inte längre används i forskning uppstår frågan hur uppgifterna ska hanteras, dvs. om de ska gallras eller arkiveras. Detta avsnitt innehåller en genomgång av de rättsliga förutsättningarna för arkivering och gallring.

Enligt 2 kap. TF har varje svensk medborgare en grundlagsfäst rätt att ta del av myndigheters och andra offentliga och därmed jämställda organs87 allmänna handlingar. Av 2 kap. 1 § TF framgår att syftet är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar är ett av de viktigaste inslagen i offentlighetsprincipen. Vad som är en allmän handling definieras i 2 kap. TF. Med handling förstås, enligt 2 kap. 3 § TF, framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän om den, i enlighet med vad som närmare anges i vissa andra bestäm- melser, förvaras hos en myndighet eller hos vissa andra jämställda organ och är att anse som inkommen till eller upprättad hos myndig- heten. (När det gäller den härtill hörande sekretesslagstiftningen, se avsnitt 5.5.)

För att offentlighetsprincipen i form av handlingsoffentlighet ska få genomslag och kunna utnyttjas i praktiken krävs att allmänna hand- lingar bevaras efter det att deras omedelbara nytta i den löpande verk- samheten har upphört. Myndigheterna och de andra organ som om- fattas har därför grundläggande skyldigheter att bevara sina allmänna handlingar i arkiv.

En myndighets allmänna handlingar ska hållas ordnade och vårdas bland annat för att tillgodose allmänhetens rätt att ta del av allmänna handlingar i ett långsiktigt perspektiv. Arkivsystemets anknytning till handlingsoffentligheten tydliggörs i 2 kap. 18 § TF. Där stadgas att grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar med- delas i lag. Varje myndighet är ansvarig för arkivvården av den egna myndighetens handlingar. Arkivvården innefattar även gallring.

87Se 2 kap. OSL.

164

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

I arkivlagen finns bestämmelser om myndigheternas och vissa andra organs, t.ex. kommunala bolag och vissa andra utpekade en- skilda organ, arkiv samt om arkivmyndigheterna. Enligt 1 § arkivlagen finns i lagen bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Reglerna för statliga och kom- munala kommun skiljer sig något åt. I 2 § anges att det som gäller för statliga myndigheters arkiv ska gälla även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekre- tesslagen (se avsnitt 5.5.1).

Arkivlagens koppling till bilagan till offentlighets- och sekre- tesslagen innebär att tillämpningsområdet för arkivlagen är beroende av vilka organ som är upptagna i bilagan till OSL och kan förändras utan att det krävs ändringar i arkivlagen. När organ läggs till i eller tas bort från bilagan till OSL ändras vilka som har att tillämpa arkivlagen.

I arkivlagen finns grundläggande bestämmelser om bevarande och gallring av allmänna handlingar. Härtill kommer arkivförordningen (1991:446) och de myndighetsspecifika beslut eller generella före- skrifter som arkivmyndigheterna, såsom Riksarkivet, utfärdar. Riks- arkivet är statlig arkivmyndighet, kommunstyrelsen är arkivmyndig- het i en kommun och landstingsstyrelsen i ett landsting, om inte kom- munfullmäktige eller landstingsstyrelsen har utsett någon annan nämnd eller styrelse till arkivmyndighet.

Enligt 3 § arkivlagen bildas en myndighets arkiv av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar, vissa minnesanteckningar, utkast och koncept, som avses i 2 kap. 9 § TF och som myndigheten beslutar ska tas om hand för arkivering. Enligt samma paragraf är myndigheternas arkiv en del av det nationella kulturarvet och de ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.

Huvudprincipen enligt arkivlagen är bevarande, alltså att allmänna handlingar ska bevaras i myndigheternas arkiv. Från denna princip finns dock undantag. Ett undantag är bestämmelser om gallring. Allmänna handlingar får enligt 10 § arkivlagen gallras. Därvid ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår, alltså inte gallras, ska kunna tillgodose

165

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.

Det kan konstateras att arkivlagen inte föreskriver att bevarande- och gallringsfrågor ska beaktas också utifrån intresset av skydd för den personliga integriteten. Gallring enligt arkivlagen ska göras av praktiska och ekonomiska skäl och syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde eller som har ett informationsvärde som är markant begränsat i tid. Gallringen ska göra att arkiven blir mer överskådliga och effektiva som informationskällor.88 Värt att notera är att begreppet gallring bara avser allmänna handlingar. Förstöring av handlingar som inte är allmänna kallas rensning.

Allmänna handlingar hos en statlig myndighet får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Regeln gäller även för sådana organ som finns i bilagan till OSL. Särskilda gallringsföre- skrifter finns ofta i s.k. registerförfattningar. Enligt 10 § tredje stycket arkivlagen är denna lag subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. Om det finns avvikande bestämmelser om gallring av vissa allmänna hand- lingar i annan lag eller förordning gäller alltså dessa bestämmelser. Bestämmelser om att uppgifter ska gallras ur register med känsliga uppgifter finns i olika registerförfattningar (se vidare avsnitt 5.6.4).

På det kommunala området gäller att beslut om gallring kan meddelas av kommunfullmäktige respektive landstingsfullmäktige.

5.6.2Dataskyddsförordningens bestämmelser om arkivering

När det gäller frågor om arkivering och gallring som rör personupp- gifter finns bestämmelser i dataskyddsregleringen. Lagring av person- uppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. I dataskyddsförordningen finns ett antal artiklar som särskilt rör personuppgiftsbehandling för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål.

88Regeringens proposition om arkiv m.m. (prop. 1989/90:72), s. 40 f.

166

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

Enligt artikel 5.1 b gäller att ytterligare behandling för arkivända- mål av allmänt intresse, vetenskapliga eller historiska forskningsända- mål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses oförenliga med de ursprungliga ändamålen (ändamålsbegränsning). Den behandling av personuppgifter som myndigheter och andra utför när de arkiverar sina handlingar i enlighet med bestämmelser om arkiv utgör en sådan ytterligare behandling, vidarebehandling, som görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt

5.1b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta förtydligas i skäl 50.

Det är inte fråga om sådan vidarebehandling när en arkivmyndig- het, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet. Då övergår enligt 9 § tredje stycket arkivlagen hela ansvaret för det övertagna materialet till arkivmyndigheten. Arkivmyndigheten bär personuppgiftsansvaret för de behandlingar som görs därefter. Den rättsliga grunden för dessa behandlingar är i enlighet med artikel 6.1 e i dataskyddsförordningen att de görs för att utföra en i arkivlag- stiftningen fastställd uppgift av allmänt intresse.

I artikel 5.1 e stadgas om lagringsminimering. Här framgår arkiv- ändamålens särställning. Det föreskrivs att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivända- mål av allmänt intresse, vetenskapliga eller historiska forskningsända- mål eller statistiska ändamål i enlighet med artikel 89.1, under förut- sättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

Av artikel 9.2 j framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syfte, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter

167

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

och intressen. Enligt 3 kap. 6 § dataskyddslagen får känsliga person- uppgifter behandlas för arkivändamål av allmänt intresse om behand- lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

I artikel 10 stadgas om behandling av personuppgifter om lagöver- trädelser och även enligt denna bestämmelse ställs krav på skydds- åtgärder. I 3 kap. 8 § dataskyddslagen stadgas att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndig- heter och att även andra än myndigheter får behandla sådana person- uppgifter, om behandlingen är nödvändig för att den personuppgifts- ansvarige ska kunna följa föreskrifter om arkiv.

I 89.1 stadgas om skyddsåtgärder och undantag för behandling för bl.a. arkivändamål av allmänt intresse. Av denna artikel framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tek- niska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får in- begripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dess ändamål uppfyllas på det sättet. Regeringen har inte föreslagit några generella undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.89

5.6.3Reglering i dataskyddslagen

I dataskyddslagen finns kompletterande bestämmelser till data- skyddsförordningen. Av propositionen till lagen framgår att reger- ingen har gjort bedömningen att myndigheter och andra som om- fattas av föreskrifter om arkiv, såsom arkivlagen och anslutande före- skrifter, har rättslig grund i enlighet med 5.1 e för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidare har regeringen gjort bedömningen att den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som

89Prop. 2017/18:105 s. 120 f.

168

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen.90

I 2 kap. 3 § dataskyddslagen stadgas att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Vidare får den myndighet regeringen bestämmer även i enskilda fall tillåta sådan behandling och ett beslut får förenas med villkor. Skälen för regleringen är att även de som inte omfattas av arkivlagstiftningen i vissa fall kan behandla personuppgifter för arkivändamål av allmänt intresse och att det därför bör finnas en möjlighet att meddela före- skrifter som tillåter detta. Som exempel nämns i propositionen att en föreskrift kan tillåta en förening att behandla personuppgifter för arkivändamål av allmänt intresse och att detta innebär att föreningen erkänns ha befogenhet att driva arkivverksamhet av allmänt intresse. Detta innebär enligt regeringen att en uppgift av allmänt intresse är fastställd på det sätt som krävs enligt 6.3 första stycket i data- skyddsförordningen.91

Enligt 3 kap. 6 och 8 §§ dataskyddslagen får känsliga person- uppgifter och personuppgifter som rör lagöverträdelser behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

När det gäller känsliga personuppgifter stadgas i 3 kap. 6 § första stycket dataskyddslagen att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i data- skyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Likt vad som gällt enligt personuppgiftslagen, tydliggörs i denna bestäm- melse att dataskyddslagstiftningen inte hindrar att en myndighet arkiverar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I propositionen konstateras att ett undantag från förbudet i artikel 9.1 mot behandling av känsliga uppgifter regleras i 9.2 j, det vill säga vid behandling som är nödvändig för arkivändamål av allmänt intresse. Vidare anges att de lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g och j motsvarar det krav på skyddsåtgärder som

90Prop. 2017/18:105 s. 109 ff.

91Prop. 2017/18:105 s. 112 f.

169

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

ställs enligt dataskyddsdirektivet och att det därmed inte innebär någon ny begränsning av möjligheten att behandla känsliga person- uppgifter för arkivändamål av allmänt intresse. I propositionen kon- stateras också att den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter samt att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hantering av allmänna handlingar, i synnerhet i form av sekretess eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn, men även genom rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring.92

Enligt 3 kap. 6 § andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter som tillåter att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Regeringen har för avsikt att delegera föreskriftsrätten till Riksarkivet.

I propositionen anges att även hos personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv kan det finnas ett allmänt intresse av att känsliga personuppgifter bevaras och att sådant bevarande under vissa förutsättningar bör tillåtas.

Enligt 3 kap. 6 § tredje stycket får den myndighet som regeringen bestämmer även i enskilda fall besluta att personuppgiftsansvariga får behandla sådana personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor. I propositionen anges att sådana föreskrifter och förvaltningsbeslut lämpligen bör meddelas i samband med att den rättsliga grunden fastställs för den personuppgifts- ansvariges behandling av personuppgifter för arkivändamål av allmänt intresse.93

I propositionen anges också att det bör ankomma på Riksarkivet att, efter samråd med Datainspektionen, bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter ska villkoras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Enligt regeringen kan det röra sig om åtkomst- begränsningar, krav på särskilda tekniska säkerhetsåtgärder eller

92Prop. 2017/18:105 s. 116.

93Prop. 2017/18:105 s. 117 f.

170

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

någon annan åtgärd som bedöms lämplig och proportionerlig i det aktuella fallet.94

I 3 kap. 8 § andra stycket dataskyddslagen stadgas, på motsvarande sätt som avseende känsliga personuppgifter, att även andra än myndigheter får behandla personuppgifter som rör lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Avseende uppgifter om lag- överträdelser konstaterar regeringen följande i propositionen. Arkiv- lagen och andra föreskrifter om arkiv omfattar inte bara myndigheter utan även t.ex. kommunala bolag och vissa andra utpekade enskilda organ. För dessa skulle det i enstaka fall kunna uppstå en norm- konflikt mellan arkivlagstiftningen och regleringen i artikel 10 i data- skyddsförordningen avseende behandlingen av personuppgifter som rör lagöverträdelser.

När det gäller arkivmaterial som överlämnas från enskilda organ till kommunala arkivmyndigheter konstaterar regeringen i proposi- tionen att det i det enskilda fallet kan vara så att arkiven överlämnas till arkivmyndigheten som deposition, dvs. utan att äganderätten övergår och att parterna i sådana fall kan avtala om att arkivmyndig- heten ska ges ett privaträttsligt uppdrag att i egenskap av person- uppgiftsbiträde förvara och vårda materialet för deponentens räkning.

5.6.4Reglering i registerförfattningar

I registerförfattningar som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Det rör sig då om bestämmelser som på grund av integritetshänsyn avviker från arkivlagstiftningens huvudregel om bevarande. I sådana författ- ningar gäller normalt en omvänd princip i förhållande till den som gäller enligt arkivlagen. Gallring ska således göras på visst sätt, om inte något annat uttryckligen föreskrivs.

Det förekommer, på grund av bland annat insynsaspekter och rättssäkerhetsaspekter, undantag från gallringsskyldigheten. Det är vanligt att det i förordningar som utfärdats i anslutning till register- lagen överlåtits till Riksarkivet att meddela närmare föreskrifter om undantag för gallring.

94Prop. 2017/18:105 s. 118.

171

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Som exempel på registerförfattningar med bestämmelser om gallring kan nämnas lagen (2012:741) om behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen).

I 14 § IFAU-lagen stadgas att personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska göras senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Gallring när upp- gifterna inte längre behövs är alltså huvudregeln enligt den lagen men det finns möjlighet till föreskrifter eller beslut om bevarande.

Det anförs i förarbetena att IFAU genom lagen kommer att bygga upp och administrera varaktiga och förhållandevis omfattande sam- lingar av personuppgifter, som även kommer att innehålla känsliga personuppgifter. Merparten av de uppgifter som IFAU behandlar har ursprungligen hämtats från andra myndigheter. Intresset av att uppgifterna bevaras får anses tillgodosett genom att de myndigheter uppgifterna hämtats ifrån i stor utsträckning bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser. När det gällde IFAU-lagen ansågs integritetsskyddsintresset väga över intresset att av bevara handlingarna.

I LifeGene-lagen stadgas i 12 § att personuppgifter som inte längre behövs för ändamålet att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till sådan forskning gallras, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för histo- riska, statistiska eller vetenskapliga ändamål. I propositionen konsta- terades att register som kommer att föras med stöd av lagen kommer att innehålla särskilt känsliga personuppgifter, bland annat uppgifter om genetiska undersökningsresultat.95 Behandling av uppgifterna i registren ska göras med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. De primära ändamålen för behandlingen är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt samt att lämna ut

95Regeringens proposition Vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2012/13:163), s. 49.

172

SOU 2018:36

Rättsliga förutsättningar för forskningsdatabaser

uppgifter till sådan forskning under de förutsättningar som anges i lagen.

Avsikten med lagen är att personuppgifter ska kunna sparas i registret under lång tid för att göra det möjligt att efter utlämnande genomföra longitudinella studier som exempelvis kan innebära att undersöka vad olika förhållanden i ungdomen har för betydelse för sjukdom senare i livet. Trots att det alltså är troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid finns en särskild gallringsbestämmelse i lagen. Grunden för den bestämmelsen är att det inte ansetts kunna uteslutas att det kan komma att visa sig att vissa uppgifter inte behövs längre och därför kan gallras.

Som ovan angetts finns i lagen ett bemyndigande som möjliggör att uppgifter får bevaras för ”historiska, statistiska eller vetenskapliga ändamål”. Vi föreslog i delbetänkandet att terminologin i denna bestämmelse ska anpassas till dataskyddsförordningen på så sätt att ”historiska, statistiska eller vetenskapliga ändamål” ska ändras. I enlig- het med formuleringen i 5.1 e i dataskyddsförordningen bör uppgifter få bevaras för ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Vi konsta- terade dock att omformuleringen inte torde innebära någon skillnad i sak.96

I likhet med vår bedömning när det gäller LifeGene-lagen har reger- ingen i propositionen Dataskydd inom Socialdepartementets verksam- hetsområde – en anpassning till EU:s dataskyddsförordning gjort bedömningen att bestämmelser i registerförfattningar inom Social- departementetens verksamhetsområde om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande inte behöver ändras i sak. Detta gäller under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning (artikel 6.1 e) i dataskyddsförordningen. Regeringen före- slår att formuleringarna i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.97

96SOU 2017:50 s. 395.

97Regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171) s. 142 ff.

173

Rättsliga förutsättningar för forskningsdatabaser

SOU 2018:36

Avslutningsvis kan nämnas att en utredning tillsatts med upp- draget att se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till den utvecklingen inom området. Utredaren ska bl.a. analysera om regler- ingen för enskilda arkiv bör förändras för att tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras. Uppdraget ska redovisas senast den 18 november 2019.98

5.7Sammanfattning

I detta kapitel har vi redovisat mycket av den lagstiftning som har betydelse för förutsättningarna att behandla personuppgifter i forsk- ningsdatabaser.

För att sådan behandling ska vara laglig måste den uppfylla de grundläggande reglerna för dataskydd som regleras i dataskydds- förordningen och den föreslagna dataskyddslagen. Det är främst inom detta rättsområde som många av de svårigheter identifierats, som det ingår i vårt uppdrag att lösa. Det handlar t.ex. om att det kan vara svårt att fullt ut specificera syftet med behandlingen av personuppgifterna i samband med att uppgifterna samlas in.

Personuppgifterna måste också hanteras i enligt med de krav som gäller enligt offentlighets- och sekretesslagen och andra bestämmelser som kan finnas om tystnadsplikt. Dessa regler har också betydelse för möjligheten att samla in uppgifter till en forskningsdatabas. Endast om de registerförandemyndigheterna anser att det är förenligt med sekretesskyddet att lämna ut uppgifterna, kan en forskningshuvud- man få del av dessa. Det finns därför anledning att stärka sekre- tesskyddet för uppgifter som hanteras i forskningen. Vi bedömer att en reglering av forskningsdatabaser som innefattar flera olika skydds- åtgärder kommer att göra det lättare att samla in uppgifter.

Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. får bara utföras om

98Dir. 2017:106.

174

6Registerforskningsutredningens förslag

6.1Inledning

Vi har i uppdrag att föreslå en långsiktig reglering av forskningsdata- baser. En sådan reglering har tidigare föreslagits av Registerforsk- ningsutredningen i betänkandet Unik kunskap genom register- forskning.1 Det betänkandet har remissbehandlats och vi har i uppdrag att göra en vidare beredning av förslagen med beaktande av remiss- instansernas synpunkter.2

I detta kapitel redovisar vi Registerforskningsutredningens upp- drag och förslag. Vi lägger tyngdpunkten i vår redovisning på de för- slag som är mest relevanta för vårt uppdrag, dvs. förslaget på reglering av forskningsdatabaser. I kapitlet redovisar vi också de remissvar som avser dessa delar av Registerforskningsutredningens förslag.

6.2Registerforskningsutredningens uppdrag och förslag

6.2.1Förslag till lag om forskningsdatabaser

Registerforskningsutredningen hade i uppdrag att undersöka förut- sättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.

1Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

2Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 15.

177

Registerforskningsutredningens förslag

SOU 2018:36

I betänkandet Unik kunskap genom registerforskning lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller högskolor och andra statliga myndig- heter, som har i uppdrag att bedriva forskning, att utföra behandling av personuppgifter i forskningsdatabaser.3 I den föreslagna lagen angavs vissa generella regler för forskningsdatabaser. Varje databas skulle sedan enligt förslaget regleras i en förordning med bestäm- melser om vad som närmare ska gälla, till exempel ändamål och inne- håll. Förslaget till lag om forskningsdatabaser beskrivs utförligare i avsnitt 6.3.

6.2.2Registerforskningsutredningens övriga uppdrag

Övriga uppdrag

Utöver ett förslag till lag om forskningsdatabaser lämnade Register- forskningsutredningen förslag till en lag om Nationella biobanks- registret, förslag till ett enklare etikprövningsförfarande,4 förslag beträffande tid för bevarande av kodnycklar och förslag angående sekretesskyddet i forskning. I detta avsnitt följer en kort genomgång av dessa frågor.

Nationella biobanksregistret

Registerforskningsutredningen lämnade förslag till en lag om Natio- nella biobanksregistret. Lagförslaget innehåller bland annat bestäm- melser om förhållandet till personuppgiftslagen (1998:204), den registrerades inställning till personuppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den registrerade.

Registerforskningsutredningens förslag innehåller i denna del även en ändring i patientsäkerhetslagen (2010:659) gällande undantag från tystnadsplikt för den som tillhör eller har tillhört hälso- och sjuk- vårdspersonal inom den enskilda hälso- och sjukvården. Den före- slagna bestämmelsen innebär att tystnadsplikt inte hindrar att uppgift

3Angående begreppet forskningsdatabaser, se kapitel 3.

4I vårt delbetänkande analyserade vi de frågor som ingick i vårt uppdrag gällande etikprövning.

178

SOU 2018:36

Registerforskningsutredningens förslag

lämnas till register som förs med stöd av den föreslagna lagen om Nationella biobanksregistret.

Vi har i uppdrag att även i denna del göra en vidare beredning av Registerforskningsutredningens förslag och lämna förslag till en reglering av ett nationellt biobanksregister. Denna fråga behandlar vi i kapitel 10.

Etikprövning

I Registerforskningsutredningens betänkande föreslogs ett enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndig- hetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. I sådana fall föreslogs att etikprövningsnämnderna skulle kunna dele- gera ärendena till ordföranden.

Vidare föreslog Registerforskningsutredningen att forskare skulle ha rätt att få ett yttrande från etikprövningsnämnden över forsk- ningsprojekt som inte faller under lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Vi hade i utredningens första skede i uppdrag att analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikpröv- ningslagen som reglerar handläggningen av ärendena, överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och lämna de författningsförslag som behövs. Vår bedömning var att ett mer ändamålsenligt etikprövnings- förfarande för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång bör utredas vidare. Våra överväganden i denna del finns i vårt delbetänkande.

När det gäller forskningsdatabaser föreslog Registerforsknings- utredningen en ändring i etikprövningslagen om att utlämnande från forskningsdatabaser alltid ska kräva etiktillstånd, oavsett om det handlar om känsliga personuppgifter eller inte (se vidare avsnitt 6.3.4). Någon utvidgning av etikprövningslagen till att även gälla etikprövning av forskningsdatabaser föreslogs dock inte (se avsnitt 6.3.7).

179

Registerforskningsutredningens förslag

SOU 2018:36

Kodnyckelförfarande

Gällande kodnycklar föreslog Registerforskningsutredningen ändringar i lagen (2001:99) om den officiella statistiken. Utredaren föreslog att en statistikansvarig myndighet som lämnar ut uppgifter för forskningsändamål som inte direkt kan hänföras till en enskild alltid ska förse uppgifterna med en beteckning som hos den statistik- ansvariga myndigheten kan kopplas till personnummer eller mot- svarande. Detta ska göra det möjligt att senare komplettera upp- gifterna i ett forskningsprojekt eller utföra uppföljning, replikation eller granskning av samma projekt eller att använda uppgifterna i ett delvis förändrat forskningsprojekt.

Vidare föreslogs att en förteckning över vilken beteckning som motsvarar ett visst personnummer, en så kallad kodnyckel, ska bevaras hos den myndighet som upprättat den i 20 år efter utlämnandet av uppgifterna som kodnyckeln avser. Tiden föreslogs kunna förlängas efter beslut av den myndighet som upprättat den eller efter ansökan från den som använder kodnyckeln.

En motsvarande reglering avseende kodnyckelförfarande föreslogs i lagen om forskningsdatabaser (se avsnitt 6.3.9).

Forskningssekretess

Registerforskningsutredningen lämnade förslag om förstärkning av sekretesskyddet i forskning genom ett förslag till bestämmelse om forskningssekretess i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Den föreslagna bestämmelsen innebär att person- uppgifter avseende enskilds personliga och ekonomiska förhållanden som samlas in för forskning alltid ska vara skyddade av absolut sekretess. Sekretess ska alltså alltid gälla, utan att någon risk- bedömning avseende skada eller men behöver göras. För uppgift i allmän handling föreslogs sekretessen gälla i 70 år om uppgiften avser en enskilds personliga förhållanden och annars i högst 20 år. Om en uppgift som omfattas av den nya sekretessbestämmelsen överförs till en annan myndighet ska den enligt förslaget vara tillämplig även hos den mottagande myndigheten.

Vidare föreslogs att det ska finnas en sekretessbrytande bestäm- melse som innebär att uppgifterna, om vissa villkor är uppfyllda, kan lämnas ut till annan forskning samt för utredning av oredlighet i

180

SOU 2018:36

Registerforskningsutredningens förslag

forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning. Förutsättningen för att uppgifterna i sådana fall ska kunna lämnas ut är att det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denna lider men.

Det ska enligt föreslagna ändringar i andra paragrafer i OSL vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott. Forskningssekretessen föreslogs också gälla i verksamhet som avser förande av eller uttag ur databaser enligt den föreslagna lagen om forskningsdatabaser (se avsnitt 6.3.17).

Regleringsbrev

Registerforskningsutredningen föreslog att regeringen i reglerings- brev till statliga universitet och högskolor skulle uppmana dessa att lägga större vikt vid skydd och säkerhet vid behandling av person- uppgifter, bland annat genom att stärka personuppgiftsombudets ställning och att begära återrapportering om hur skyddet hanteras.

6.2.3Remissbehandling

Betänkandet Unik kunskap genom registerforskning skickades på remiss till berörda instanser. Drygt 90 remissvar kom in under början av år 2015 (se vidare avsnitt 6.4). Någon beredning av remiss- yttrandena har inte gjorts.

6.3Förslaget till lag om forskningsdatabaser

6.3.1Reglering genom en lag och kompletterande förordningar

Lag och förordningar

181

Registerforskningsutredningens förslag

SOU 2018:36

ningsdatabaser.5 Syftet med den föreslagna lagen om forsknings- databaser är enligt utredaren bl.a. att möjliggöra många olika typer av databaser: databaser som helt baseras på uppgifter som samlats in direkt från enskilda personer, på uppgifter som hämtas från andra register eller, vilket enligt utredaren torde bli vanligast, på en kombination av registeruppgifter och uppgifter som samlats in direkt från enskilda.6

I den föreslagna lagen anges vissa generella regler för forsknings- databaser. Vidare skulle varje databas regleras i en förordning med bestämmelser om vad som närmare ska gälla, till exempel ändamål och innehåll.7

När det gäller den valda lösningen för regleringen diskuterade utredaren ifall bestämmelser om forskningsdatabaser bör regleras genom lag eller förordning. Utredaren refererade till tidigare lag- stiftningsärenden där det konstaterats att det bör vara en målsättning att i de fall register med ett stort antal registrerade och ett känsligt innehåll inrättas ska bestämmelserna meddelas i form av lag. Utredaren ansåg därför att en reglering som möjliggör person- uppgiftsbehandling i forskningsdatabaser bör ha lagform. 8

Utredaren ansåg dock att forskningsdatabaser inte utgör ett sådant betydande intrång i den personliga integriteten att det på grund av bestämmelsen i 2 kap. 6 § andra stycket regeringsformen skulle krävas en särskild lag för varje forskningsdatabas.9 Utredaren konstaterade att det redan finns registerlagar för existerande forskningsdatabaser som t.ex. lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen), lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) och lagen om rättspsykiatriskt forskningsregister. Sådana författningar reglerar ofta i detalj vilken information som får behandlas, vilka som får ha tillgång till uppgifterna och hur det får användas. Utredaren noterade att systemändringar då måste föregås av lagändringar, vilket kan göra ett system med lagreglering av varje enskild forskningsdatabas stelbent.

5Angående begreppet forskningsdatabaser, se kapitel 3 i detta betänkande.

6SOU 2014:45 s. 440.

7Utredaren diskuterar normgivningsmakten och regeringens möjligheter att meddela före- skrifter om forskningsdatabaser, m.m., se SOU 2014:45 s. 455 f.

8SOU 2014:45 s. 422.

9SOU 2014:45 s. 264 ff.

182

SOU 2018:36

Registerforskningsutredningens förslag

Det skulle enligt utredaren kunna innebära svårigheter att anpassa bestämmelserna efter det verkliga behovet hos dem som ska använda uppgifterna för forskning.10

Registerforskningsutredningens förslag till lag om forsknings- databaser innehåller allmänna bestämmelser om bl.a. ändamål, inne- håll, sökbegrepp, direktåtkomst, intern elektronisk tillgång, gallring och villkor för utlämnande av uppgifter från forskningsdatabasen. Utredaren ansåg att det i de kompletterande förordningarna skulle finnas mer detaljerade bestämmelser och specifika regleringar för varje databas.11

Beredning av Vetenskapsrådet och beslut av regeringen

Registerforskningsutredningen föreslog att Vetenskapsrådet ska ges i uppgift att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige och göra en framställan till regeringen om detta. Regeringen ska då enligt utredaren pröva om införandet av de före- slagna databaserna faller inom ramen för vad som är tillåtet enligt 2 kap. 6 § RF, artikel 8 i Europakonventionen och personuppgifts- lagen. Om så är fallet och regeringen i övrigt anser förslagen vara lämpliga, ska regeringen besluta om de förordningar som närmare ska reglera verksamheten. Enligt utredaren kommer det att krävas att bestämmelserna anpassas till varje enskild forskningsdatabas eftersom behovet av forskningsdatabaser kan uppkomma inom alla forsk- ningsområden med stor spännvidd av ändamål.12

Registerforskningsutredningen gjorde bedömningen att det inte vore lämpligt att utvidga etikprövningslagens tillämpningsområde till att även omfatta uppbyggnad av forskningsdatabaser (se avsnitt 6.3.7). Däremot ansåg utredaren att etiska överväganden av motsvarande slag som vid etikprövning, kommer att göras vid den beredning som Vetenskapsrådet föreslogs göra och den prövning som det sedan är tänkt att regeringen ska göra inför att en ny databasförordning ska införas. Utredaren påtalade att regeringen i processen kommer att ha

10SOU 2014:45 s. 423.

11SOU 2014:45 s. 423.

12SOU 2014 :45 s. 424 f.

183

Registerforskningsutredningens förslag

SOU 2018:36

möjlighet att inhämta yttranden från till exempel Centrala etikpröv- ningsnämnden, SCB och Datainspektionen för att belysa föreslagets etiska aspekter.13

En forskningsdatabas per forskningsfält

Utredaren redovisade vidare bland annat följande tankar när det gäller forskningsdatabaserna. Det ska endast finnas en forskningsdatabas för varje större forskningsfält i Sverige och databasen ska kunna användas av forskare i hela Sverige. Finansieringen av databasen ska för att garantera långsiktighet och kvalitet vara säkerställd för i vart fall åtta år. Den myndighet som ska föra databasen ska ha kompetens och tillräckliga resurser för att behandla ansökningar om uttag ur forskningsdatabasen inom rimlig tid och utlämnande av person- uppgifter till forskningsprojekt ska kunna göras till rimliga kostnader. Ett vetenskapligt råd bör vara knutet till forskningsdatabasen och detta bör vara ansvarigt för uppbyggnad och utveckling samt ha möjlighet att behandla frågor av etisk karaktär som kan uppkomma i samband med databasen. Vetenskapsrådet ska ansvara för en regel- bunden utvärdering av de databaser som etableras med stöd av den föreslagna lagen.

6.3.2Statliga myndigheter ska kunna vara ansvariga för forskningsdatabaser

Statliga universitet och högskolor som omfattas av högskolelagen och andra statliga myndigheter som har i uppdrag att bedriva forskning föreslogs få utföra behandling av personuppgifter i en forskningsdata- bas för att skapa underlag för forskningsprojekt och lämna ut upp- gifter till forskningsprojekt.

Under utredningen av frågan om vem som ska få föra forsknings- databaser var Registerforskningsutredningen i kontakt med statliga universitet och högskolor som omfattas av högskolelagen. Dessa bekräftade då behovet av att bygga upp databaser för olika framtida forskningsprojekt.

13SOU 2014 :45 s. 425.

184

SOU 2018:36

Registerforskningsutredningens förslag

Utredaren gjorde bedömningen att statliga universitet och hög- skolor också är lämpliga för att behandla personuppgifter i forsk- ningsdatabaser i syfte att uppgifterna ska få användas i framtida forskningsprojekt. Utredaren gjorde vidare bedömningen att även andra statliga myndigheter kan ha behov av att bygga upp databaser med uppgifter som kan användas för framtida forskning. Brottsföre- byggande rådet (Brå) och IFAU t.ex., bör kunna vara ansvariga för forskningsdatabaser enligt den föreslagna lagen.14

När det gäller möjlighet för andra än statliga myndigheter att bygga upp forskningsdatabaser för framtida forskning ansåg utredaren att det bör finnas någon form av grundläggande krav på tystnadsplikt inom forskning i privat regi innan det kan bli aktuellt för forsknings- huvudmän inom enskilt bedriven forskning att bygga upp forsk- ningsdatabaser.15

6.3.3Definitioner

I lagförslaget finns en bestämmelse med definitioner av forsknings- databas och forskning.

Forskningsdatabas definierades som en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndig- hetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.

Forskning angavs vara detsamma som enligt etikprövningslagen.

I2 § etikprövningslagen stadgas att med forskning avses vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

6.3.4Ändamål och utlämnande

Personuppgifter får enligt en föreslagen ändamålsbestämmelse behandlas för att skapa underlag för forskning och att lämna ut upp- gifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt

14Se bl.a. SOU 2014:45 s. 428 f.

15SOU 2014:45 s. 429 f.

185

Registerforskningsutredningens förslag

SOU 2018:36

etikprövningslagen. Ingen begränsning till att etikprövning bara ska göras när det gäller känsliga personuppgifter föreslås. Utredaren gjorde bedömningen att uppgifter bör kunna lämnas ut såväl till forsk- ningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs i privat regi.

En bestämmelse föreslogs som stadgar att personuppgifter också får lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Dessutom föreslogs att personuppgifter som registrerats enligt lagen skulle få lämnas ut till den registrerade själv, dock inte i fråga om personuppgifter som inte direkt kan hänföras till en person.

Gällande utlämning av personuppgifter föreslogs vidare att upp- gifter skulle få lämnas ut om det finns en skyldighet i lag. Denna bestämmelse föreslogs för att det inte skulle uppstå konflikt mellan bestämmelsen i den föreslagna lagen och exempelvis bestämmelser i annan lag som gäller så kallad uppgiftsskyldighet.16

En hänvisning till 9 § första stycket d och andra stycket person- uppgiftslagen föreslogs i lagen om forskningsdatabaser. Där stadgas att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, den så kallade finalitetsprincipen. I 9 § andra stycket personuppgiftslagen finns det så kallade forskningsundan- taget. Enligt detta gäller i fråga om första stycket d att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ända- mål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Ett alternativ som utredaren nämner hade varit att föreslå en reglering om att uppgifter bara får behandlas för sådana ändamål som anges i lagen. Den typen av bestämmelse finns i LifeGene-lagen. Den föreslagna regleringen innebär jämfört med detta en utvidgning av de ändamål som en uppgift i en forskningsdatabas kan lämnas ut till.

Utredaren ansåg att integritetsskyddet kan upprätthållas även om uppgifter kommer att lämnas ut med stöd av finalitetsprincipen och forskningsundantaget. Som skäl angavs följande.

•Uppgifter får endast lämnas ut för forskningsändamål och för granskning av forskning.

16SOU 2014:45 s. 438.

186

SOU 2018:36

Registerforskningsutredningens förslag

•Samma sekretess kommer gälla hos den mottagande myndigheten vid utlämnande till en annan myndighet.

•Uppgifter till enskild kan lämnas med förbehåll enligt 10 kap. 14 § OSL.

•Ett krav på etikgodkännande kommer att gälla.17

6.3.5Databasens innehåll

I lagförslaget finns en bestämmelse om databasens innehåll som definierar vilka personuppgifter som ska få samlas i en databas. Regleringen av databasens innehåll kopplas till ändamålsbestäm- melsen på så sätt att det är tänkt att vara tydligt att endast de uppgifter som är relevanta för ändamålet får behandlas i databasen. En forsk- ningsdatabas ska således endast få innehålla de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt den föreslagna ändamålsbestämmelsen, alltså för att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till forsknings- projekt.

Enligt utredaren är det inte möjligt att i den föreslagna lagen om forskningsdatabaser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Utredaren föreslog i stället att regeringen i respektive registerförordning närmare ska bestämma vad som får föras in i databasen och om det ska krävas samtycke från den person som uppgifterna avser.18

6.3.6Insamling av uppgifter

Samtycke när uppgifter samlas in från enskilda

Registerforskningsutredningen föreslår att personuppgifter som samlas in direkt från den enskilde endast får behandlas om han eller hon har lämnat ett vad man betecknar informerat uttryckligt sam- tycke till behandlingen. Med samtycke skulle enligt utredaren avses detsamma som enligt personuppgiftslagen. Det ska alltså vara fråga om en frivillig, särskild, otvetydig viljeyttring genom vilken den

17SOU 2014:45 s. 439.

18SOU 2014:45 s. 441.

187

Registerforskningsutredningens förslag

SOU 2018:36

registrerade, efter att ha fått viss information som framgår av lagen, godtar behandlingen av personuppgifter som rör honom eller henne. Samtycket måste ha kommit till uttryck på något sätt som är möjligt för en utomstående att iaktta. Utredaren poängterade att den enskilde kan samtycka till att kompletterande uppgifter hämtas från olika register.19

Utredaren föreslog att samma rätt till återkallelse av samtycke som enligt personuppgiftslagen ska gälla. Enligt 12 § personuppgiftslagen innebär ett återkallande av samtycke att ytterligare personuppgifter om den registrerade därefter inte får behandlas. Eftersom bestäm- melsen i personuppgiftslagen endast gäller samtycken som lämnats enligt personuppgiftslagens bestämmelser föreslogs att det i lagen om forskningsdatabaser särskilt ska anges att bestämmelsen är tillämplig för samtycken som samlas in direkt från den enskilde. När det gäller behandling av personuppgifter som inhämtas från någon annan källa än den enskilde föreslogs att bestämmelser tas i en förordning anpassad till varje enskild forskningsdatabas.20

Information när uppgifter samlas in från enskilda

Registerforskningsutredningen föreslog bestämmelser om infor- mation vid insamling av personuppgifter. Det föreslogs att innan en person lämnar sitt samtycke ska han eller hon ha informerats om att det är frivilligt att lämna uppgifter, för vilka ändamål personupp- gifterna får behandlas, vilka uppgifter som får registreras, vilka sekre- tess- och säkerhetsbestämmelser som gäller för databasen, vem som är personuppgiftsansvarig, hur länge uppgifterna kan komma att sparas, rätten till rättelse av uppgifterna, rätten till information enligt 26 § personuppgiftslagen, rätten till skadestånd samt rätten att få uppgifter utplånade. Vidare föreslogs att bestämmelserna i 26 § personuppgiftslagen om information efter ansökan inte skulle gälla i fråga om personuppgifter som inte direkt kan hänföras till en person.

Registerforskningsutredningen gjorde bedömningen att det är viktigt att den enskilde får tillräckligt med information för att kunna avgöra om han eller hon vill godkänna behandling av personuppgifter

19SOU 2014 :45 s. 426.

20SOU 2014:45 s. 427.

188

SOU 2018:36

Registerforskningsutredningens förslag

i en forskningsdatabas. Det är enligt utredaren lämpligt med ytter- ligare krav på vilken information som ska lämnas till den enskilde innan samtycke ges utöver bestämmelserna i personuppgiftslagen.

När det gäller kravet på information om hur länge en uppgift i en forskningsdatabas kan komma att sparas kan det enligt Register- forskningsutredningen vara tillräckligt att ange vilka gallringsbestäm- melser som gäller. Skälet för det ställningstagandet är att det kan vara svårt att bedöma hur länge en uppgift i en forskningsdatabas kan komma att behövas för sitt ändamål.

I betänkandet diskuteras 24 § personuppgiftslagen. Enligt denna bestämmelse ska den personuppgiftsansvarige lämna den registrerade information om behandlingen av uppgifterna när de registreras. Ett undantag till detta krav är om det finns bestämmelser om registre- randet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Utredaren menar att undantaget från infor- mationsplikten enligt 24 § personuppgiftslagen kommer att bli tillämpligt enligt den föreslagna lagen om forskningsdatabaser. Lagen om forskningsdatabaser i förening med de särskilda förordningar som ska gälla varje forskningsdatabas kommer enligt förslaget att innehålla mer information om vad en registrering innebär och vilka personer som kan bli registrerade. Enligt Registerforskningsutredningens bedömning motsvarar detta den information som ska ges enligt personuppgiftslagen.

Uppgifter från andra myndighetsregister

Det föreslogs att uppgifter som hämtats från andra myndighets- register för de tillåtna ändamålen skulle få behandlas under förut- sättning att uppgifterna inte direkt kan hänföras till en person. Regeringen eller den myndighet regeringen bestämmer skulle dock få meddela föreskrifter om att identifierbara uppgifter ska få behandlas.

6.3.7Ingen etikprövning av forskningsdatabaser

Registerforskningsutredningen diskuterade om etikprövningslagen borde utvidgas till att gälla även etikprövning av forskningsdatabaser. Det övervägdes således om det vore lämpligt att utvidga etikpröv- ningslagens tillämpningsområde så att etikprövningen inte endast

189

Registerforskningsutredningens förslag

SOU 2018:36

skulle avse ett visst projekt eller del av projekt utan också insamlingen av uppgifter avsedda för att utgöra underlag för framtida forskning. Utredaren drog slutsatsen att det skulle vara möjligt, men att det inte vore en lämplig lösning. Problemet att registerhållande myndigheter inte anser sig kunna lämna ut uppgifter till databaser där syftet är att uppgifterna ska användas till olika ännu inte specificerade forsknings- projekt skulle ändå kvarstå. I stället förutsatte utredaren att etiska överväganden ska göras vid Vetenskapsrådets beredning och reger- ingens beslut (se avsnitt 6.3.1).21

Inget utlämnande genom direktåtkomst

Registerforskningsutredningen föreslog att utlämnande genom direktåtkomst till personuppgifter i databasen inte skulle få före- komma. Utredaren konstaterade att effektivitetsskäl talade för en direktåtkomst mellan den myndighet som för databasen och den myndighet som ska använda uppgifterna för specifika forsknings- projekt. Av integritetsskäl ansåg utredaren dock att direktåtkomst inte ska tillåtas eftersom direktåtkomst för en myndighet som ska använda personuppgifterna i en databas skulle innebära att myndig- heten får tillgång till personuppgifter, även känsliga personuppgifter, om en stor mängd personer utan att den mottagande myndigheten kommer att ha ett egentligt behov av samtliga uppgifter. Vidare angav utredaren att direktåtkomst skulle innebära att båda myndigheterna skulle göra en sekretessprövning avseende samma material och att risken då ökar för att sekretessbestämmelsen tillämpas på olika sätt.22

6.3.8Förhållandet till personuppgiftslagen och personuppgiftsansvar

När det gäller förhållandet till personuppgiftslagen föreslogs att det i lagen om forskningsdatabaser skulle stadgas att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den föreslagna lagen eller föreskrifter som meddelats med stöd av lagen.

21SOU 2014:45 s. 362, 420 och 424 f.

22SOU 2014:45 s. 443.

190

SOU 2018:36

Registerforskningsutredningens förslag

De statliga myndigheter som utför behandlingen av personupp- gifter i forskningsdatabaserna föreslogs vara personuppgiftsansvariga enligt personuppgiftslagen.

6.3.9Kodnyckelförfarande

Utredaren konstaterade att uppgifter från forskningsdatabaser i de flesta fall inte direkt kan hänföras till en enskild, utan kommer att lämnas ut i kodad form. För att möjliggöra senare uppdatering av uppgifterna föreslog Registerforskningsutredningen att den som är ansvarig för forskningsdatabasen vid utlämnande av kodade uppgifter ska förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning.

Eftersom det inte alltid är möjligt för en forskare att förutse när behov av senare uppdatering kan uppkomma föreslogs att det ska vara obligatoriskt för den som är ansvarig för forskningsdatabasen att bevara en förteckning över beteckning och personnummer eller annan identitetsbeteckning (en kodnyckel) i 20 år. Tiden föreslogs därefter kunna förlängas på begäran av den forskningshuvudman som den upprättades för eller av annan forskningshuvudman som använder uppgifter som kodnyckeln avser i sin forskning.

Vidare ska enligt förslaget den myndighet som ansvarar för registret också på eget initiativ, om behov finns, besluta att tiden för bevarande av kodnyckeln ska förlängas.23

6.3.10Rättelse m.m.

Om en uppgift rättats, blockerats eller utplånats i forskningsdata- basen, ska den personuppgiftsansvariga myndigheten enligt förslaget vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnas ut till.

Vidare föreslogs att den som fått kodade personuppgifter inte behöver lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Det föreslogs även att det ska stadgas att den som behandlar uppgifterna

23SOU 2014:45 s. 440 f.

191

Registerforskningsutredningens förslag

SOU 2018:36

inte behöver rätta, blockera eller utlåna dessa på begäran av den registrerade.

6.3.11Sökbegrepp

Utredaren poängterar att regeringen inför inrättandet av en forsk- ningsdatabas noggrant ska pröva för vilka ändamål uppgifterna i databasen ska få behandlas. I förordning ska också specificeras vilka uppgifter och kategorier av uppgifter som får ingå i databasen. Efter- som endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna innebär det att innehållet i databasen och där- med också möjliga sökbegrepp är noga avvägt och begränsat.

Utredaren drar slutsatsen att för att databasen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas.24 I den föreslagna bestämmelsen anges att som sökbegrepp får användas uppgifter som enligt förslaget får ingå i en forskningsdatabas.

6.3.12Förbud mot bakvägsidentifiering

Registerforskningsutredningen föreslog ett förbud mot bakvägs- identifiering. Enligt förslaget får personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av den föreslagna lagen om forskningsdatabaser inte behandlas i syfte att röja en persons identitet. Förbudet föreslogs vara straffsanktionerat och kunna leda till böter eller fängelse i högst ett år.

Utgångspunkten är att när personuppgifter i en forskningsdatabas eller en del därav hämtas från ett myndighetsregister är uppgifterna som lämnas ut till databasen kodade. Kodnyckeln bevaras hos den utlämnande myndigheten och är inte tillgänglig för den som är ansvarig för forskningsdatabasen. Dock utesluter detta enligt utredaren inte möjligheten att identifiera en enskild person i det kodade materialet. Sammanförandet av ett antal variabler om en person medför alltid en risk för att personens identitet röjs. Med anledning av detta föreslogs ett förbud mot behandling av kodade personuppgifter i syfte att röja en persons identitet.25

24SOU 2014:45 s. 441.

25SOU 2014:45 s. 443 f.

192

SOU 2018:36

Registerforskningsutredningens förslag

Förbudet föreslogs gälla vid all behandling av kodade uppgifter, det vill säga både för dem som hanterar kodade uppgifter i forsk- ningsdatabasen och för dem som tar emot kodade uppgifter från en forskningsdatabas.

6.3.13Intern elektronisk åtkomst

Registerforskningsutredningen lämnade förslag till en bestämmelse om begränsning av intern elektronisk åtkomst. Enligt förslaget ska den personuppgiftsansvarige begränsa sina anställdas och uppdrags- tagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om data- basen.

Syftet är enligt utredaren att stärka integritetsskyddet för dem vars personuppgifter behandlas i forskningsdatabasen genom att begränsa antalet personer som har rätt att ha åtkomst till uppgifterna samt att begränsa deras hantering av uppgifterna till det som är nödvändigt för att uppfylla ändamålet med databasen.

6.3.14Gallring

En bestämmelse om gallring föreslogs av Registerforskningsutred- ningen. Enligt denna bestämmelse ska gallring göras av person- uppgifter som inte längre behövs för ändamålen att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt som etikprövats. Regeringen eller den myndighet regeringen bestämmer föreslogs ha möjlighet att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utredaren pekar på att olika intressen ställs mot varandra. Argumenten för en specialreglering med gallring som utgångspunkt anges vara följande. Ett stort antal personuppgifter, även känsliga uppgifter, kan finnas i de databaser som möjliggörs genom lagen om forskningsdatabaser och integritetsskyddsaspekterna talar därför för gallring. Uppgifterna ska inte användas vid myndighetsutövning mot enskilda individer. Kravet på insyn och kontroll av myndighetens verksamhet är därför inte så starkt.

193

Registerforskningsutredningens förslag

SOU 2018:36

Argumenten som i stället talar för att arkivlagens (1990:782) principer om bevarande ska vara rådande anges vara följande. Många forskningsprojekt kräver att forskaren har tillgång till uppgifter som ligger långt tillbaka i tiden. Syftet med den föreslagna lagen är att möjliggöra insamlandet av personuppgifter som ska kunna användas i olika ännu inte specificerade forskningsprojekt. Det är därför svårt att fastställa när uppgifterna inte längre behövs i databasen. Dessutom är möjligheten att granska tidigare utförd forskning viktig.

Registerforskningsutredningen konstaterar att ändamålet med personuppgiftsbehandling enligt den föreslagna lagen om forsk- ningsdatabaser både är att skapa underlag för olika forskningsprojekt och att lämna ut uppgifter till olika forskningsprojekt. Eftersom detta ändamål kräver att uppgifter bevaras under lång tid för att uppgifterna ska kunna användas i forskning för exempelvis longitudinella studier finns enligt utredaren stöd för att bevara uppgifter för en lång tid framöver. Dock poängteras att det är viktigt att uppgifter som inte längre behövs för ändamålet gallras.

Möjligheten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter föreslogs med hänvisning till att det i registerförfattningar är vanligt med en sådan reglering.

6.3.15Registerutdrag

Registerforskningsutredningen föreslog ett undantag från rätten enligt personuppgiftslagen att få ett registerutdrag där det framgår om personuppgifter om honom eller henne behandlas och i så fall vilka uppgifter. Enligt förslaget ska skyldigheten att lämna information endast gälla i de fall uppgifterna som behandlas i forskningsdatabasen är direkt hänförliga till en person och inte i det fallet kodade uppgifter överlämnats från andra myndighetsregister. Som skäl för förslaget anges att en skyldighet att lämna ut registerutdrag beträffande kodade uppgifter skulle innebära att den personuppgiftsansvarige skulle vara tvungen att identifiera uppgifterna, vilket i sig skulle innebära ett integritetsintrång.

194

SOU 2018:36

Registerforskningsutredningens förslag

6.3.16Rättelse och skadestånd

Det föreslogs att bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter som äger rum i strid med den föreslagna lagen.

Enligt 28 § personuppgiftslagen har den registrerades rätt att på begäran få personuppgifter korrigerade om de inte har behandlats på ett rättsenligt sätt. Den personuppgiftsansvarige har då skyldighet att, under vissa förutsättningar, underrätta tredje man, till vilken upp- gifterna lämnats ut, om korrigeringsåtgärderna.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. I andra stycket stadgas om jämkning av ersättnings- skyldighet.

Dessa bestämmelser gäller endast vid behandling av person- uppgifter i strid med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen. I betänkandetexten står att det i den föreslagna lagen om forskningsdatabaser bör anges att bestäm- melserna om rättelse och skadestånd tillämpas på motsvarande sätt som i personuppgiftslagen vid behandling av personuppgifter i strid med den föreslagna lagen.26

6.3.17Sekretess

Uppgifterna i en forskningsdatabas ska enligt förslaget till bestäm- melse om forskningssekretess i OSL skyddas av absolut sekretess, men med vissa undantag. Den ovan nämnda (avsnitt 6.2.2) forsk- ningssekretessen föreslogs således gälla också för uppgifter i en forskningsdatabas som förs med stöd av den föreslagna lagen om forskningsdatabaser.

Utredaren menade att det är tveksamt om den verksamhet som kommer att bedrivas enligt den föreslagna lagen – insamlande och utlämnande av uppgifter för forskningsändamål – kan sägas falla in under begreppet forskningsverksamhet.27 För att det ska bli tydligt att sekretessbestämmelsen är tillämplig för uppgifter i en forsknings- databas ansåg utredaren att det bör anges särskilt i bestämmelsen.

26SOU 2014:45 s. 452.

27Jfr. vår användning av begreppet forskning, se kapitel 3 i detta betänkande.

195

Registerforskningsutredningens förslag

SOU 2018:36

Utredaren gjorde vidare bedömningen att en bestämmelse bör införas i de särskilda förordningarna som ska gälla för varje forsk- ningsdatabas som stadgar att forskningsdatabasen administreras i en särskilt avgränsad enhet hos myndigheten så att det inte ska råda någon tvekan om att den stränga forskningssekretessen är tillämplig för databasen.28

6.3.18Sambearbetning

Registerforskningsutredningen föreslog ingen generell bestämmelse om sambearbetning av uppgifter utan konstaterade att sambear- betning med uppgifter från en forskningsdatabas med andra uppgifter bör vara tillåtet så länge bearbetningen håller sig inom ramen för det ändamål som anges i den föreslagna lagen om forskningsdatabaser och den förordning som enligt förslaget ska införas för varje forsknings- databas.

6.3.19Kompletterande förordningar

Registerforskningsutredningens förslag bygger på att den föreslagna lagen om forskningsdatabaser ska kompletteras med en förordning för varje databas. I lagen om forskningsdatabaser föreslogs en bestäm- melse som stadgar vilka föreskrifter regeringen får meddela. Enligt denna bestämmelse får regeringen meddela ytterligare föreskrifter om

–vilka statliga myndigheter som får föra forskningsdatabaser enligt lagen om forskningsdatabaser,

–begränsning av de föreslagna ändamålen som personuppgifter i forskningsdatabasen får behandlas för,

–begränsningar av de uppgifter som en forskningsdatabas får innehålla enligt den föreslagna bestämmelsen om innehåll (endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas),

–begränsningar vid behandling genom utlämnande av uppgifter från en forskningsdatabas,

28SOU 2014:45 s. 455.

196

SOU 2018:36

Registerforskningsutredningens förslag

–uppgiftsskyldighet, och

–begränsningar i rätten till intern elektronisk åtkomst.

När det gäller begränsningar vid behandling genom utlämnande av uppgifter gjorde utredaren bedömningen att utlämnande vanligtvis ska avse personuppgifter som inte är direkt hänförliga till den enskilde men att det kan finnas fall när det är nödvändigt för forskaren att identifiera enskilda individer. Utredaren ansåg därför att det bör regleras mer ingående i förordning på vilket sätt uppgifter får lämnas ut från en forskningsdatabas.29

När det gäller uppgiftsskyldighet angavs att syftet är att tillförsäkra den myndighet som för en forskningsdatabas tillgång till uppgifter ur andra myndigheters register. Meningen är enligt utredaren att regeringen i de fall det är nödvändigt ska ålägga myndigheter att lämna uppgifter till den myndighet som för forskningsdatabasen. Utredaren ansåg att det bör fastställas vilka myndigheter som ska vara skyldiga att lämna uppgifter och vilka uppgifter uppgiftsskyldigheten ska omfatta.30

6.4Remissvar

6.4.1Allmänna synpunkter

Betänkandet Unik kunskap genom registerforskning var föremål för remissbehandling. Drygt 90 remissyttranden lämnades från myndig- heter och organisationer i början av år 2015. En övervägande del av remissinstanserna yttrar sig positivt om utredningens förslag. En stor del av remissinstanserna välkomnar möjligheten att inrätta allmänna forskningsdatabaser och att dessa kan få det lagliga stöd som saknas i dag. Bland annat betonas att förslagen kommer att underlätta framtida registerbaserad forskning genom att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.

Här följer en kortfattad uppräkning av utvalda delar av vissa remissinstansernas allmänna synpunkter. Remissyttrandena finns ingivna till Regeringskansliet.

29SOU 2014:45 s. 435.

30SOU 2014:45 s. 453 f.

197

Registerforskningsutredningens förslag

SOU 2018:36

Kammarrätten i Stockholm instämmer i betänkandets slutsats att registerbaserad forskning, forskningsregister och forskningsdatabaser är viktiga för framtida forskning, och att det är angeläget att det finns ett tydligt lagstöd för verksamheten samt att den enskildes personliga integritet värnas.

Datainspektionen avstyrker förslaget till lag om forsknings- databaser och anför bland annat följande. Förslaget om lagreglering av forskningsdatabaser innebär att alla typer av personuppgifter kommer att kunna samlas in för forskningsändamål som inte är tydligt av- gränsade eller specificerade. Det möjliggör en närgången kartläggning av enskildas privatliv, familjeförhållanden, sjukdomshistoria, arbetsliv, brottsuppgifter m.m. I förslaget saknas integritetsskyddande bestäm- melser som står i proportion till det integritetsintrång den enskilde utsätts för. Enskilda bör i vart fall tillförsäkras en rätt att få generell information om forskningsdatabasernas existens och den person- uppgiftsbehandling som utförs. Enskilda bör också ha en självklar rätt att motsätta sig att hans eller hennes personuppgifter lagras och behandlas för forskningsändamål i forskningsdatabaser.

Datainspektionen ifrågasätter lämpligheten i att universitetet och högskolor ska få föra egna register för befolkningsbaserad forskning och vidhåller att dessa uppgiftssamlingar är av så pass känslig karaktär att de bör förvaltas av någon eller några myndigheter som inte själva direkt nyttjar uppgifterna.

Datainspektionen kritiserar vidare utredarens uppfattning att forskningsdatabaser inte utgör ett sådant intrång i den personliga integriteten att det kräver en särskild lag för varje forskningsdatabas. Datainspektionen understryker i detta sammanhang att effekten av att samla in och lagra ett stort antal personuppgifter om ett stort antal individer blir att dessa individer utsätts för en närgången kartläggning och att detta omfattas av integritetsskyddet i 2 kap. 6 § RF. Det poängteras att denna effekt inträder direkt vid insamlingen och är helt oberoende av syftet med insamlingen och eventuellt efterföljande behandling.

Vidare menar Datainspektionen att utredarens uppfattning, att den största integritetsrisken vid behandling av personuppgifter i forsk- ningsdatabaser är att uppgifter kan läcka ut och att enskilda kan bli utsatta för andras missaktning om personliga förhållanden blir kända, är felaktig. Datainspektionen poängterar när det gäller denna fråga att skyddet mot betydande intrång gäller gentemot det allmänna och att

198

SOU 2018:36

Registerforskningsutredningens förslag

det, för att ett betydande intrång ska anses föreligga, inte krävs att uppgifter sprids till obehöriga eller på annat sätt missbrukas. Som exempel nämner Datainspektionen att ett betydande intrång i den personliga integriteten kan uppstå redan i samband med en om- fattande insamling av personuppgifter.

Enligt Datainspektionens mening uppfyller inte ändamålsbestäm- melsen i förslaget till lag om forskningsdatabaser kraven på tillräckligt särskilda, uttryckligt angivna och berättigade ändamål i dataskydds- direktivet vilket också leder till att rättsligt giltiga samtycken inte kan lämnas. Datainspektionen menar att utformningen av ändamåls- bestämmelsen är avgörande för att bedöma om ändamålen i sig är god- tagbara och behandlingen nödvändig och vilket integritetsintrång som är proportionerligt i förhållande till de givna ändamålen. Det är därför inte tillräckligt att frågan om begränsning av ändamålen regleras i förordning. Datainspektionen anser vidare att det saknas grund för att regelmässigt bevara kodnycklar i 20 år.

Justitiekanslern hänvisar till Datainspektionens remissvar och ställer sig bakom de bedömningar, synpunkter och farhågor som Datainspektionen lyfter fram i sitt remissvar.

Försvarsmakten delar inte den i utredningen uttalade uppfatt- ningen att risken för brytande av sekretess är mindre vid forskning. Försvarsmakten uppger att beroende på vilka uppgifter som forsk- ningen vill hantera kan individrelaterade uppgifter som omfattas av försvarssekretess, det vill säga skydd för rikets säkerhet, komma att omfattas av forskning. Vidare anför Försvarsmakten att den före- slagna uppgiftsskyldigheten för utlämnande myndighets kontra bestämmelserna om menprövning i OSL behöver tydliggöras.

Myndigheten för samhällsskydd och beredskap (MSB) förklarar att myndigheten i grunden är positiv till att uppgifter i olika register används i forskningen. MSB anser dock att betänkandet saknar en konsekvensanalys och en riskanalys utifrån ett nationellt perspektiv vad gäller informationssäkerheten. MSB menar att en analys som omfattar en beskrivning av nuläget beträffande informationssäker- heten i forskningsmiljöerna därför bör göras, inklusive en riskanalys som grundligt går igenom och värderar de risker som t.ex. universitet och högskolor är utsatta för genom sin informationshantering.

Socialstyrelsen tillstyrker i huvudsak utredningens förslag som möjliggör upprättande av forskningsdatabaser. Socialstyrelsen anser dock att flera juridiska frågor är otillräckligt belysta i utredningen och

199

Registerforskningsutredningens förslag

SOU 2018:36

menar att en stor del av förutsättningarna för de förslag som utredaren lägger fram kräver ytterligare utredning innan de kan genomföras. Vidare tillstyrker Socialstyrelsen förslaget att arkivlagen ska gälla för forskningsdatabaser. Socialstyrelsen anser dock att förslaget gällande gallring är otydligt formulerat och riskerar att öppna upp för god- tyckliga resonemang. Socialstyrelsen menar att det i utredningen är oklart hur datasäkerheten ska säkerställas och anser att frågan är mycket viktig.

Läkemedelsverket bedömer att många av utredningens förslag kan förbättra möjligheterna till registerbaserad forskning i Sverige. Läkemedelsverket pekar på att förutom samhällsnyttan av register- baserad forskning, inte minst inom det medicinska området, är användandet av registerdata nödvändigt för att Läkemedelsverket ska kunna lösa sina uppgifter. Detta kan enligt Läkemedelsverket göras inom ramen för verkets rutinmässiga verksamhet eller genom speci- fika forskningsprojekt för uppföljning av läkemedelseffekter och säkerhet. Läkemedelsverket anser att det är värdefullt att tiden för bevarande av kodnycklar förlängs.

Myndigheten för vårdanalys (Vårdanalys) instämmer i att register- forskningen innebär unika möjligheter till kunskap som kan vara av stort värde för patienter, brukar och medborgare. Vårdanalys anser att det därför är välkommet att det skapas bättre och tydligare förut- sättningar för forskare att hantera och få tillgång till data. Lagförslaget bör enligt Vårdanalys samtidigt åtföljas av tillsyn och uppföljning och krav på att forskarsamhället stärker kompetensen om vad lag- stiftningen innebär och vilka möjligheter och skyldigheter såväl lärosäten som de individuella forskarna har. Detta skulle leda till att man undviker att systemet fortsatt upplevs som otydligt och att missnöje eller bristande lagefterlevnad består.

Vårdanalys anser att lagändringarna i förslaget kan bidra till att det blir tydligare för både registerhållare och forskare. Det är därför angeläget att kraven skärpts avseende kompetensuppbyggnad när det gäller lagstiftning, etik, integritet och informationssäkerhet på läro- säten och bland forskare. Det anförs att vinsterna med utökade möjligheter till registerforskning belyses på ett bra sätt i betänkandet, men att samma vikt inte fästs vid de nackdelar i termer av integritets- intrång som kan komma att uppstå.

Vidare anser Vårdanalys att det är angeläget att det ställs krav på att registerhållarna säkerställer en god informationssäkerhet. Myndigheten

200

SOU 2018:36

Registerforskningsutredningens förslag

framhåller att det är angeläget att det görs regelbunden tillsyn av verk- samheterna. Vårdanalys anser att det är viktigt att staten tar ansvar för att följa utvecklingen av forskningsdatabaserna, gör bedömningar kring behoven, användningen och nyttan, eventuell misskötsamhet eller missbruk av registren samt vidtar åtgärder om utvecklingen inte är ändamålsenlig.

Statens beredning för medicinsk utvärdering (SBU) bedömer att de föreslagna ändringarna i sekretesskyddet, etikgodkännande vid utlämning, bevarande av kodnycklar under 20 år hos den utlämnande myndigheten och en särskild lag om forskningsdatabaser samman- taget ger goda förutsättningar för forskare att bättre utnyttja register samtidigt som ett högt integritetsskydd upprätthålls.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att utredaren mycket bra belyst de problem, både juridiska och andra, som forskare i dag möter vid uppbyggnad av forskningsdatabaser. Forte anser att utredningen i grunden har hittat en rimlig avvägning mellan värdet av att kunna bygga upp långsiktiga forskningsdatabaser och behovet att skydda den personliga integriteten.

Tandvårds- och läkemedelsförmånsverket (TLV) ser positivt på att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål och att för sådana ändamål under- lätta samberedning av registeruppgifter. TLV är även positivt till för- slagen som syftar till att underlätta sammanställning av longitudinella data.

Inspektionen för socialförsäkringen (ISF) ställer sig positiv till de förslag som presenteras. ISF anser att utredningen väl beskriver såväl de stora fördelar som registerforskningen erbjuder som de olika risker som registerdata kan innebära utifrån integritetssynpunkt. Speciellt när det gäller forskning är de negativa integritetsaspekterna av använ- dandet av administrativa registerdata begränsade. Den främsta risken från integritetssynpunkt med avidentifierade retrospektiva longi- tudinella registerdata är enligt ISF att en individs identitet röjs genom bakvägsidentifikation och att känsliga uppgifter om denne offentlig- görs. ISF noterar att sådan bakvägsidentifiering enligt förslagen blir straffbelagd.

Lantmäteriet har förutom vissa synpunkter på den föreslagna lagen för forskningsdatabaser inga invändningar mot utredarens förslag. Lantmäteriet tillstyrker också utredarens förslag att stärka sekretessen i forskningsverksamhet och för forskningsdatabaser.

201

Registerforskningsutredningens förslag

SOU 2018:36

Enligt Försäkringskassan behöver forskningsdatabaser uppdateras i takt med att registerhållarens register utökas och utvecklas vilket kräver resurser. Vidare anser Försäkringskassan att man måste ta höjd för kvalitets- och underhållsarbete, likaså hur man ska rätta eventuella fel i databasernas innehåll.

Landstinget i Uppsala län välkomnar utredningen och anför att de förslag som presenteras i utredningen förhoppningsvis kan bidra till att klargöra men även förbättra förutsättningarna för registerforsk- ningen framöver samtidigt som patienters och andra medborgares integritet säkerställs samt olika aktörers ansvar och befogenheter tydliggörs.

Södermanlands läns landsting ställer sig positivt till förslaget i helhet men anser att även landstinget och regioner bör kunna stå som värd för nationella forskningsdatabaser.

Jönköpings läns landsting (Region Jönköpings län) anser att vissa av förslagen ger ett alltför svagt integritetsskydd för individer när det gäller känsliga personuppgifter. I förlängningen skulle detta enligt landstinget kunna innebära minskat förtroende hos allmänheten för denna viktiga forskning vilket kan äventyra framtida forsknings- möjligheter. Vidare anser landstinget att det i utredning saknas en diskussion angående de rättsliga förutsättningarna för att bygga upp forskningsdatabaser utanför de statliga universiteten och hög- skolorna. Landstinget poängterar att det finns många forskningsdata- baser inom landstingen och regionerna och dessutom andra organi- sationsformer för lärosäten som bedriver forskning.

Kronobergs läns landsting anser att många frågor som tidigare varit otydliga klargörs. Enligt landstinget är andan i betänkandet att data ska bli mer tillgängliga för forskning och att gränserna för beslut skjuts längre från den enskilda individen. Landstinget anser att det är bra att göra data mer tillgängliga för forskning men att det samtidigt kräver en skärpning av sekretessen för den enskilda medborgaren. Det betonas att sekretess och skydd av individers integritet är viktigt i landstingets verksamhet.

Skåne läns landsting (Region Skåne) är mycket positivt till att registerforskning ges bättre förutsättningar, inte minst mot bakgrund av behovet att föra in mer kunskap och att utveckla landstingets hälso- och sjukvård men anser att utredningen i vissa delar behöver kom- pletteras.

202

SOU 2018:36

Registerforskningsutredningens förslag

Hallands läns landsting (Region Halland) anser att förslaget om lagändringar och arbetssätt för registerforskning är positivt. Vidare vill Region Halland understryka att det är ytterst viktigt att samtliga statliga myndigheter som har ansvar för register som även är använd- bara för forskning har ett uppdrag från regeringen att ge prioritet för registeruttag för forskningsändamål med den sekretess som föreslås i betänkandet för att förbättra möjligheterna för registerforskning.

Västra Götalands läns landsting anser att utredningen lägger fram flera viktiga förslag till förändringar som ska underlätta hanteringen av registerdata för forskningsändamål utan att hota personers integri- tet och sekretess. I huvudsak ställer sig Västra Götalandsregionen bakom inriktningen i förslagen men uppmärksammar några fråge- komplex som enligt landstinget behöver beaktas och beskrivas ytter- ligare. Framför allt rör detta distinktionen beträffande rollerna för landstingsmyndigheter, sjukvården och för statliga forsknings- myndigheter beträffande framtagning och lagring av data för kvalitet och verksamhetsutveckling i myndighetsregister visavi motsvarande process för data i forskningsdatabaser.

Västmanlands läns landsting ställer sig positivt till de flesta av de föreslagna författningsförändringarna och andra förslag som utred- ningen för fram. Vissa förslag behöver enligt landstinget dock beredas ytterligare dels för att se över konsekvenserna av extra kostnader och ökad administration för vården, dels för att minimera risken för att den personliga integriteten ska äventyras. I synnerhet gäller detta förslaget om att inrätta nationella forskningsdatabaser.

Dalarnas läns landsting är positivt till att registerforskningen ges bättre förutsättningar samtidigt som skyddet för den enskildes integritet bör upprätthållas och förstärkas. Landstinget vill framhålla bland annat att förslaget om att införa en enda, heltäckande sekre- tessbestämmelse för personuppgifter i forskningsverksamhet är en angelägen förbättring. Landstinget anför vidare att finansierings- principen bör tillämpas eftersom förslag i utredningen innebär kost- nader för sjukvårdshuvudmännen.

Jämtlands läns landsting (Region Jämtland Härjedalen) ställer sig i stort sett positivt till utredningen. Landstinget anför att register- forskning utgör en viktig källa till kunskap och det är därför av stor vikt att rutiner harmoniseras och även att ansvar tydligt anges. Landstinget har förhoppningen att förslagen kan leda till ett ökat utnyttjande av register i framtiden samtidigt som den personliga

203

Registerforskningsutredningens förslag

SOU 2018:36

integriteten bevaras. De unika svenska registren kan därmed ytter- ligare stärka Sveriges position som ledande inom detta område.

Statistiska centralbyrån (SCB) anser att uppgifter som samlats in för statistikproduktion så långt det är möjligt ska komma till användning för vetenskapliga ändamål. SCB är positiv till att det tydliggörs i myndighetens instruktion att man får bistå verksamhet inom det vetenskapliga området med uppgifter som behövs för forskningsändamål. Statistiska centralbyrån (SCB) anser att det inte finns behov av forskningsdatabaser baserade på befintliga register eftersom dessa uppgifter redan finns tillgängliga för forskning inom dagens regelverk. Dock anser SCB att det torde finnas möjlighet att skapa ett rättsligt stöd för upprättande av forskningsdatabaser för longitudinella studier där de registrerade har gett sitt samtycke att ingå i databasen om en sådan databas regleras på sätt som göra att ändamålet är preciserat i enlighet med de krav som ställs i data- skyddsdirektivet.

Uppsala universitet ser med tillfredsställelse på utredningens övergripande inriktning att underlätta forskning baserad på register- data. Universitetet konstaterar att det i många sammanhang är en stor fördel för forskningen att få tillgång till omfattande datamaterial. Ambitionen att i ökad utsträckning tillgängliggöra befintliga register samt uppdra åt statistikansvariga myndigheter att också bistå forsk- ningen med data välkomnas. Universitetet anser att det av resurs- effektivitetsskäl är rationellt att återanvända uppgifter som har samlats in av myndigheter i deras verksamhet eller av andra forsk- ningsprojekt. Vidare poängteras att det finns betydande kvalitativa vinster där det är till fördel att kunna använda sig av register som omfattar hela befolkningen och inte behöva gå vägen via studier som baseras på urval med allt vad det för med sig av bortfall, risk för icke- representativt urval och liknande. Universitetet anser dock att det i betänkandet saknas skrivningar som rör kvalitetsregister inom hälso- och sjukvården, vilka är av stor relevans för den kliniska forskningen.

Lunds universitet är till övervägande delar positivt inställt till förslagen och poängterar att svenska register kan, rätt utnyttjade och under kontrollerade former, bidra ytterst väsentligt till förbättrad hälsa och välfärd.

Göteborgs universitet stöder i det stora hela utredningens förslag och anser att avvägningen mellan att hitta lösningar för att skapa bättre förutsättningar för registerbaserad forskning och behovet av

204

SOU 2018:36

Registerforskningsutredningens förslag

skydd för den enskilda individens personliga integritet har gjorts på ett genomtänkt och rimligt sätt. Universitet anser vidare att förslagen rörande ny sekretessbestämmelse, ny lag om forskningsdatabaser samt etikprövningsnämndens prövning av dessa är väl avvägda och att absolut sekretess, med medföljande tystnadsplikt, samt en prövning i etikprövningsnämnden ger ett skydd för den enskilde samtidigt som forskningen kan få möjlighet att tillgodose behovet av att använda databaser för nya och tillkommande frågeställningar.

Stockholms universitet konstaterar att utredaren har genomfört ett gediget och konstruktivt arbete. Universitetet menar att detta bör leda till ökade möjligheter samt en ökad klarhet och rättssäkerhet vad gäller forskningens möjligheter att för angelägna forskningsändamål återanvända och kombinera data som ursprungligen insamlats för andra ändamål, t.ex. data insamlade av myndigheter för administrativa ändamål. Vidare bör det enligt universitetet även leda till större möjligheter att skapa forskningsdatabaser för framtida forsknings- projekt samt underlätta utlämnande av uppgifter för forskningsända- mål samtidigt som skyddet för personlig integritet och sekretess säkerställs.

Universitetet påpekar dock att finansieringen av forskningsdata- baserna är något styvmoderligt behandlad. Universitet föreslår en process med avtal mellan respektive värduniversitet och Vetenskaps- rådet om finansiering, organisation, och tillgänglighet, med säker- ställd finansiering för åtta år i taget och utvärdering vart åttonde år. Universitetet anser att regelverket bör garantera databasernas lång- siktiga fortbestånd tydligare än genom en omprövning vart åttonde år och anser att en långsiktig vetenskaplig kunskapsuppbyggnad måste vara fast institutionellt säkrad.

Stockholms universitet anser vidare att den föreslagna begräns- ningen av antalet databaser inom varje forskningsfält kräver nog- granna överväganden för att inte riskera att forskningen hämmas inom vissa områden. Universitetet menar att det grundläggande i bedöm- ningen av införandet av varje databas bör vara det vetenskapliga behovet.

Linköpings universitet anser sammantaget att förslagen är kon- struktiva och väl genomarbetade. Universitetet välkomnar förslagen alltifrån vad gäller etikprövningsnämnden, kodnyckel i 20 år, under- lättnad av bortfallsanalyser, regelverk för forskningsdatabaser till internationellt samarbete. Universitetet anser att förslagen både

205

Registerforskningsutredningens förslag

SOU 2018:36

beaktar rimlig integritetshänsyn och möjliggör nödvändig forskning. Samtidigt vill universitetet poängtera vikten av att se över finan- sieringen vid Regeringskansliets beredning av betänkandet.

Karolinska institutet ställer sig i huvudsak mycket positivt till de förslag till åtgärder som utredningen presenterat i syfte att förbättra tillgängligheten till och underlätta användningen av registeruppgifter inom forskningen. Karolinska institutet ser det som viktigt att SCB, Socialstyrelsen och andra relevanta registerhållande myndigheter ges en prioriterad uppgift att underlätta för den registerbaserade forsk- ningen och att resurser kan frigöras så att denna uppgift kan fullgöras på ett effektivt sätt. Karolinska institutet anser att handläggnings- tiderna vid dessa myndigheter i dag ofta är orimligt långa. Karolinska institutet vill också uppmärksamma de svårigheter Svensk Nationell Datatjänst (SND) vid Göteborgs universitet och liknande initiativ har hamnat i när de försökt förstärka servicen till och underlätta för forskarna och hur denna problematik ska kunna åtgärdas. Karolinska Institutet stödjer i detta avseende utredningens uppfattning att denna fråga bör utredas vidare. Detta gäller likaledes utbytet och använd- ningen av persondata mellan myndigheter som inte har som huvud- uppgift att bedriva forskning.

Kungl. Tekniska högskolan anser att argumenten för införande av en särskild ny lag rörande forskningsdatabaser inte är tillräckligt starka utan menar att de oklarheter som finns i stället bör kunna lösas genom ändringar i OSL och annan befintlig lagstiftning.

Luleå tekniska universitet ställer sig positivt till förslagen och anför att det är i universitetets intresse att göra registerforskning mera lättillgänglig utan att tumma på viktiga forskningsetiska principer eftersom den här typen av forskning kan vara intressant att utveckla för vissa av universitetets forskningsämnen.

Karlstads universitet tillstyrker det föreliggande förslaget. Det är universitetets uppfattning att författningsförslagen kommer att för- bättra tillgängligheten till och underlätta användningen av register- uppgifter för forskningsändamål.

Linnéuniversitetet ställer sig övervägande positivt till betänkandets konstruktiva förslag till hur registerforskning ska stärkas och för- enklas samtidigt som individers integritet ska tryggas. Om denna balans kan uppnås skulle förutsättningarna starkt öka för att skapa en unik kunskap som både leder till bättre vård nationellt och attraktiv

206

SOU 2018:36

Registerforskningsutredningens förslag

miljö för forskning och prövning internationellt. Linnéuniversitetet stöder de flesta av utredningens förslag.

Örebro universitet är i huvudsak positivt till förslagen och anser att de fyller sitt syfte att förbättra möjligheterna för registerbaserad forskning. Universitetet anser vidare att risken är liten för att de föreslagna förändringarna påverkar skyddet för den enskildes integri- tet, och att de är väl avvägda mot intresset att för forskningsändamål bättre utnyttja register. Örebro universitet anser dock att utform- ningen av reglerna kan medföra att data från enskilda forsknings- studier låses in i forskningsdatabaserna, med begränsad möjlighet för ansvariga för studierna att påverka användningen.

Mittuniversitetet välkomnar förslagen och anser att betänkandet i hög utsträckning tillgodoser universiteten och högskolornas behov och önskemål om åtgärder som förbättrar villkoren för registerbase- rad forskning i Sverige.

Mälardalens högskola tillstyrker i huvudsak förslagen och ser stora möjligheter i att kunna utveckla den registerbaserade forskningen i enlighet med framförda förslag.

Vetenskapsrådet ställer sig positivt till utredningens förslag till förbättrade möjligheter för registerforskningen. Vetenskapsrådet vill understryka att integritetsfrågor har stor betydelse för forskning, inte minst vad gäller förankringen i samhället.

Regionala etikprövningsnämnden i Linköping framhåller att utredaren på ett förtjänstfullt sätt gjort en mycket grundlig analys av det aktuella problemområdet. Vissa av förslagen uppfattas dock enligt nämnden ge ett alltför svagt integritetsskydd för individer när det gäller behandling av känsliga personuppgifter. Nämnden anser att detta i förlängningen kan innebära risk för minskat förtroende hos all- mänheten vilket skulle kunna begränsa framtida forskningsmöjlig- heter.

Regionala etikprövningsnämnden i Stockholm tillstyrker de för- slag som förs fram i betänkandet och anser det positivt att register- baserad forskning främjas.

Regionala etikprövningsnämnden i Umeå anser att de grund- läggande tankarna förefaller goda och underlättar för registerforsk- ningen med ett bibehållet integritetsskydd för forskningspersonerna. Etikprövningsnämnden tillstyrker därför i allt väsentligt förslagen.

Regionala etikprövningsnämnden i Lund tillstyrker förslaget att inrätta forskningsdatabaser men anser inte att dessa databaser ska

207

Registerforskningsutredningens förslag

SOU 2018:36

kunna tillföras uppgifter från myndighetsregister eftersom det utgör ett integritetsintrång för den enskilde som är alltför långtgående och inte kan överblickas. Dessutom anser nämnden att informationen från myndighetsregister inte behövs i forskningsregistren. Nämnden menar att det är lämpligare om sådana sammanställningar görs i varje enskilt fall när en forskare vill få del av data för en bestämd forsk- ningsuppgift. Det är nämndens uppfattning att MONA-systemet31 erbjuder många fördelar, inte minst när det gäller skyddet av forsk- ningspersonernas integritet jämfört med andra i dag vanliga sätt att ge forskarna tillgång till data. Nämnden anser att om system liknande MONA för att ge forskare tillgång till data utvecklas, undviks att stora mängder data kopieras och sprids till olika forskare, med de integritetsrisker som detta kan medföra. Vidare anser nämnden att den som ansvarar för en forskningsdatabas bör åläggas skyldighet att ge tydlig information till allmänheten om forskningsdatabasens syfte, innehåll och arbetsformer, eftersom allmänhetens förtroende för forskningen i stor utsträckning är beroende av att tillräcklig och tydlig information finns tillgänglig om den forskning som pågår.

Riksarkivet tillstyrker att rättsliga hinder undanröjs och andra förslag genomförs för att möjliggöra registerbaserad forskning och uppbyggande av databasinfrastrukturer för olika typer av forskning. En sådan sekundär användning av information förutsattes redan vid inrättandet av de administrativa registren hos myndigheterna och sammanfaller med Riksarkivets inställning att arkiven ska kunna användas för samhällsnyttiga eller kulturella ändamål. Den kvalitativa skillnaden med en automatiserad behandling av information som bevaras i ett längre tidsperspektiv, innebär att forskning i olika delar av världen nu visar tidigare helt okända samband. Riksarkivet poäng- terar att användningen av personuppgifter även för registerbaserad forskning givetvis ska göras under iakttagande av regler om offent- lighet och sekretess, registrering och arkivering och för ändamålet anpassad informationssäkerhet och skydd.

Arbetsmiljöverkets uppfattning är att forskning baserad på registeruppgifter kan ge mycket värdefulla bidrag till ökad kunskap. Arbetsmiljöverket anser att förslagen i betänkandet är angelägna och skulle stärka dessa möjligheter men poängterar att ökade krav på datakvalitet och nya krav på myndigheter ger upphov till ökade kostnader.

31Angående MONA-systemet, se avsnitt 4.2.1.

208

SOU 2018:36

Registerforskningsutredningens förslag

Handikappförbunden anser att det är grundläggande för att männi- skor med funktionsnedsättning och sjukdomar ska beredas möjlighet att leva på lika villkor som andra att forskningen kontinuerligt tillförs kunskaper. Förekomsten av och tillgången till olika register är en sådan kunskapsbas. Handikappförbunden ser därför i stort positivt på möjligheterna att utveckla och fördjupa kunskaperna inom områden som är viktiga för människor med funktionsnedsättning genom registerforskning. Det anförs att utredningens förslag kan öppna upp för ny forskning och longitudinella studier som kan gynna Handikapp- förbundens medlemsgrupper.

Handikappförbunden betonar att en nödvändig förutsättning dock är att den personliga integriteten är skyddad. Det anförs att utredningens förslag kommer att innebära ökad användning av uppgifter ur olika register och att uppgifter från register kan kombi- neras. För att detta inte ska medföra risker för individens integritet måste det enligt Handikappförbunden bland annat finnas tydliga ändamål för användning av uppgifter, god etikprövning och konti- nuerlig uppföljning och utvärdering av sekretesskyddet.

Statens medicinsk-etiska råd anser att register är av stor betydelse för medicinsk forskning och för verksamhetsutveckling inom hälso- och sjukvården. Inom rådet finns emellertid också uppfattningen att det finns en viss övertro på den nytta som registerbaserad forskning kan resultera i, och att det inte är självklart att nyttan alltid uppväger de integritetsrisker som forskningen kan medföra.

Svenska Journalistförbundet avstyrker utredningens förslag om absolut sekretess för all form av forskningsverksamhet och anför att är en kraftigt höjd sekretessnivå som förbundet anser för långtgående. Vidare anser förbundet att det bör utredas om det är nödvändigt med en så stark sekretess för all form av forskning. Förbundet avstyrker vidare förslaget att tystnadsplikt ska omfatta uppgifter vid utredning av oredlighet i forskning. Sammantaget har inte utredningen på ett tillfredsställande sätt utrett den svåra avvägningen mellan å ena sidan intresset av allmänhetens insyn i registerforskning och å den andra sidan intresset av att skydda identiteten för de personer som omfattas av forskningen. Detta bör därför enligt Journalistförbundet utredas ytterligare.

Svenska läkaresällskapet ställer sig positivt till de principer till lagförändring och andra åtgärder som utredningen presenterar för att

209

Registerforskningsutredningens förslag

SOU 2018:36

i större utsträckning kunna ge registeransvariga myndigheter möjlig- het att lämna ut uppgifter till forskningsändamål med bevarande av den enskildes integritet, ökade möjligheter till sambearbetning av registeruppgifter, förenklad etikprövning samt förslag till samordning och utveckling av nationell databasinfrastruktur. De konkreta för- slagen förefaller enligt Svenska läkaresällskapet vara goda och upp- dragen till myndigheter realistiska samtidigt som den personliga integriteten upprätthålls vid hantering av personuppgifter.

Sveriges akademikers centralorganisation (Saco) anser att för- slagen huvudsakligen möter upp både intresset att det är värdefullt för både samhällsanalys och för den medicinska forskningen att det finns forskningsdatabaser samt att det är viktigt att sådana databaser skyddar de enskildas personliga integritet. Saco anser att förslagen ger en tydligare och mer sammanhållen reglering av registerforskningen.

Tjänstemännens centralorganisation (TCO) tillstyrker i huvudsak utredningens förslag med undantag av frågan om sekretessbrytande regler gällande såväl forskningsdatabaser som biobanksregister.

Swedish Initiative for Research on Microdata in the Social And Medical Sciences (SIMSAM) anser att det är viktigt att forskningsstöd ingår som en central del i registerhållande myndigheternas instruk- tioner. Vidare anser SIMSAM att tiden för bevarande av kodnycklar från registeruttag bör förlängas till minst 20 år. SIMSAM menar också att Socialstyrelsen bör ha en informationsdatabas med personnummer rörande var biologiska prover finns.

Stiftelsen för strategisk forskning (SSF) poängterar att Sverige under lång tid har haft en världsledande roll inom forskning där uppgifter från svenska patientregister används tack vare dessa i många avseenden unika register och att denna typ av forskning således innebär en stor konkurrensfördel för Sverige. SSF anser det därför positivt att det finns väl genomarbetade riktlinjer och regelverk i dessa frågor och att det är viktigt att underlätta för denna typ av forskning. SSF instämmer i förslagen.

Sveriges läkarförbund betonar vikten av att Statistiska centralbyrån och Socialstyrelsen ges ett tydligare uppdrag och ökade resurser för att prioritera att tillgängliggöra data från sina register för forskning.

210

SOU 2018:36

Registerforskningsutredningens förslag

Behovet av detta har lyfts fram både av denna utredning och av Utred- ningen om nationell samordning av kliniska studier.32 Sveriges läkar- förbund ställer sig också bakom utredningens förslag att tillsätta en utredning om Svensk Nationell Datatjänsts framtid, ställning och finansiering.

Akademikerförbundet SSR anser att registerbaserad forskning generellt är en fantastisk källa till kunskap och att den komparativa fördel Sverige har i dessa välutvecklade register sedan lång tid tillbaka ska tas tillvara forskningsmässigt i största möjliga utsträckning, också med stöd av myndigheterna. SSR menar att det bör vara en självklar uppgift för våra myndigheter att bistå forskningen i största möjliga utsträckning. Vidare anser SSR att det är helt avgörande att utred- ningens förslag om ”att det är en prioriterad uppgift att bistå forsk- ningen med data” borde föras in i myndigheters instruktioner generellt, men att det skyndsamt borde göras i SCB:s regleringsbrev.

Reumatikerförbundet välkomnar utredningens förslag för att underlätta registerbaserad forskning. Förbundet instämmer i utred- ningens slutsats att registerbaserad forskning, forskningsregister och forskningsdatabaser inte innebär något betydande intrång i enskildas personliga integritet.

Sveriges tandläkarförbund ser mycket positivt på utredningens förslag. Sveriges Tandläkarförbund anser att svenska register med personnummer skapar stora möjligheter för svensk forskning inte minst inom den odontologiska forskningen där till exempel tand- hälsoregistret utgör en stor faktakälla för forskning. Att register kan användas ändamålsenligt för forskning, utan att den personliga integri- teten störs, är något Sveriges Tandläkarförbund anser vara mycket viktigt. Sveriges Tandläkarförbunds uppfattning är att ändrings- förslagen bör underlätta för forskare att använda sig av register i sin forskning samtidigt som den personliga integriteten skyddas.

Lärarnas Riksförbund anser att förslagen om ökad tillgänglighet till vissa data, förlängd bevarandetid för kodnycklar och möjlighet att upprätta forskningsdatabaser förbättrar möjligheten till en mer syste- matisk uppföljning av resursanvändning och resultat i det svenska skolväsendet. På samma sätt som det i betänkandet föreslås att ställningen bör stärkas för personuppgiftsombud vid universitet och högskolor anser Lärarnas Riksförbund att det bör slås fast att det hos

32Utredningens om nationell samordning av kliniska studier betänkande Starka tillsammans (SOU 2013:87).

211

Registerforskningsutredningens förslag

SOU 2018:36

skolhuvudmännen ska vara tydligt vem som tillser att uppgifter om elever, personal, kostnader, med mera redovisas på ett korrekt sätt.

Apotekarsocieteten instämmer i utredningens förslag vad gäller etikprövningen, kodnyckelförfarandet, nya sekretessbestämmelser, forskningsdatabaser och nationellt biobanksregister. Apotekar- societeten anser att förslagen gör det lättare att utnyttja de omfattande data som finns i befintliga register samt gör det möjligt att skapa forskningsdatabaser. Apotekarsocieteten anför att såväl registren som baserna utgör värdefulla resurser vid läkemedelsutveckling och kan hjälpa Sverige att återta en tätposition inom området.

Konjunkturinstitutet instämmer i att det finns många viktiga frågor som kan besvaras med hjälp av register och datamaterial. Konjunkturinstitutet delar utredarens förslag om att inrätta en funktion för att förbättra tillgängligheten för forskningsändamål. Dock vill Konjunkturinstitutet framhålla att utöver forskning före- kommer det även att myndigheter kan ha till uppgift att göra utred- ningar och utvärderingar som kräver tillgång till mikrodata. Även myndigheters tillgång till mikrodata för sådana ändamål behöver enligt Konjunkturinstitutet därför utredas närmare.

6.4.2Remissynpunkter på vissa delar av förslagen

Vilka som ska ansvara för forskningsdatabaser, m.m.

Det framförs kritik från remissinstanserna när det gäller förslaget att enbart statliga universitet och högskolor ska kunna vara huvudmän för forskningsdatabaser. Nästan alla landsting har uttryckt att även landsting bör kunna vara huvudmän för forskningsdatabaser. Flera universitet, såsom Uppsala universitet, Umeå universitet, Linköpings universitet och Linnéuniversitetet anser att landsting bör inbegripas.

Det förs, bland annat från landstingens sida, fram att det i utred- ningen saknas motiv till varför landstingen inte ges samma möjlig- heter som universiteten att bygga upp forskningsdatabaser eller att detta bör utredas vidare. Vidare anförs att landstingen har lång tradition, erfarenhet och kunskap om behandling av känsliga person- uppgifter som är omgärdade av sekretess genom sin dagliga verksam- het men även avseende forskning.

Det påpekas vidare att man i landstingens verksamhet är van vid att tillämpa bestämmelserna i personuppgiftslagen och att en placering av

212

SOU 2018:36

Registerforskningsutredningens förslag

vissa forskningsdatabaser hos landsting och regioner kan vara mer lämplig ur ett integritetsperspektiv. Det betonas också att flera av de forskningsdatabaser inom medicin som i dag finns eller planeras har ett landsting eller ett sjukhus som huvudman och att dessa uppfyller betänkandets definition på forskningsdatabas.

Stockholms läns landsting påpekar att sjukvårdshuvudmännens roll och ansvar för den kliniska medicinska forskningen i relation till registerforskning förbises. Landstinget förklarar att registerforskning är ett centralt verksamhetsområde för Stockholms läns landsting eftersom landstinget också per definition är forskningshuvudman.

Jönköpings läns landsting poängterar att det finns lärosäten såsom Stiftelsen Högskolan i Jönköping som med det aktuella förslaget inte tycks få samma möjligheter som de statliga universiteten och hög- skolorna i detta avseende.

När det gäller förslaget att Vetenskapsrådet ska ha i uppgift att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige, poängterar flera remissinstanser att det är viktigt att det vetenskapliga behovet får styra antalet databaser. Flera universitet kritiserar förslaget på den grunden att det kan leda till toppstyrning, ökad byråkrati, brist på mångfald i forskningen. Det anförs att lärosätena och aktiva forskare måste få ha inflytande och delaktighet i beredningen.

Folkhälsomyndigheten anser att forskare vid andra organisationer än universiteten bör få inflytande över innehåll och uppläggning av databaserna och påtalar att den föreslagna strukturen med Veten- skapsrådet som beredningsorgan riskerar att förbise behovet av forskningsdatabaser vid forskande myndigheter.

Kammarrätten i Stockholm anser att det kan vara obligatoriskt för Vetenskapsrådet att vid beredningen av nya databasförordningar inhämta synpunkter från t.ex. Centrala etikprövningsnämnden, Data- inspektionen och SCB.

Vetenskapsrådet anser att ändamålet med den regelbundna ut- värdering som utredaren föreslår att Vetenskapsrådet ska göra behöver förtydligas och det bör enligt Vetenskapsrådet dessutom utredas vilken myndighet som är bäst lämpad att utföra sådan utvärdering.

Flera universitet lämnar synpunkter angående antalet forsknings- databaser, exempelvis följande. Det finns flera forskningsfält som bör kunna rymma flera forskningsdatabaser, också spridda på flera

213

Registerforskningsutredningens förslag

SOU 2018:36

lärosäten. Enskilda projekt samt lokala och regionala forsknings- databaser kan över tid utvecklas till att bli rikstäckande vilket skapar bättre förutsättningar för framtida registerforskning. Forsknings- databaserna bör inte enbart definieras utifrån enskilda forskningsfält utan även det tvärvetenskapliga perspektivet ska beaktas.

Uppgiftsskyldighet till forskningsdatabaser

Försvarsmakten påtalar att uppgifter som omfattas av försvars- sekretess, skydd för rikets säkerhet, som hanteras av försvarsmakten endast i särskilda undantagsfall bör föras vidare till annan myndighet eller forskningsansvarig. Försvarsmakten anser att den föreslagna uppgiftsskyldigheten kontra bestämmelserna om menprövning i OSL behöver tydliggöras.

Örebro universitet pekar på att det förefaller som om det vid en jämförelse av OSL och den föreslagna lagen är oklart om uppgifts- skyldighet beslutade av regeringen får fullgöras eller inte (10 kap. 28 § OSL och 7 § i förslaget).

Ändamålsbeskrivning och samtycke

Flera remissinstanser påtalar att det är angeläget att forskningsdata- basernas ändamålsbeskrivningar är tillräckligt preciserade så att den enskilde kan lämna ett informerat samtycke. Av vissa förs fram att det bör utredas hur de närmare ändamålsbestämningarna kan se ut.

Etikprövning

Många remissinstanser ställer sig positiva till att uppgifter endast ska kunna lämnas ut till projekt som godkänts enligt etikprövningslagen oavsett om behandlingen innefattar känsliga personuppgifter eller inte. Argument såväl för som emot att skapandet av forskningsdata- baser i sig borde genomgå en oberoende granskning av etikpröv- ningsnämnderna framförs.

214

SOU 2018:36

Registerforskningsutredningens förslag

Utlämnade av uppgifter till en forskningsdatabas

Socialstyrelsen delar utredarens uppfattning att insamling av uppgifter till en forskningsdatabas inte är forskning. Därför menar Social- styrelsen att det är tveksamt om Socialstyrelsen kan bemöta en för- frågan om utlämnande av uppgifter utifrån de förordningar som styr hanteringen av Socialstyrelsens hälsodataregister.

Läkemedelsverket påtalar att det i förslaget till 7 § anges att personuppgifter får lämnas ut på grund av uppgiftsskyldighet i lag men att förslaget verkar förutsätta att uppgiftsskyldighet ska kunna stadgas i förordning och att sådan uppgiftsskyldighet inte skulle kunna leda till utlämnande enligt 7 §.

SCB gör bedömningen att det kommer att vara svårt att kunna lämna ut uppgifter till en forskningsdatabas som regleras med stöd av den föreslagna lagen eftersom uppgifterna i forskningsdatabaserna ska kunna användas vid för tidpunkten för utlämnandet okända forsk- ningsprojekt och det för den utlämnande myndighetens sekre- tessprövning krävs kännedom om vad begärda uppgifter ska användas till och av vem. SCB anser dessutom att det är tveksamt om de undantag som finns enligt 24 kap. 8 § OSL från den absoluta sekre- tessen blir tillämpliga vid ett utlämnande till en forskningsdatabas som innehåller identiteter. Det är enligt SCB oklart om ett utlämnande till en forskningsdatabas med uppgift att tillgängliggöra data är ett utlämnande för forskningsändamål. Vidare finns enligt SCB anledning att överväga om undantaget för att kunna lämna ut inte direkt identifierbara uppgifter blir tillämpligt i den aktuella situationen.

När det gäller frågan om utlämning från en forskningsdatabas anför Vetenskapsrådet följande. Det framstår som oklart om upp- gifter kommer att kunna lämnas ut från forskningsdatabaser som finns hos statliga universitet och högskolor till forskningshuvudmän som inte har att tillämpa OSL.33

Kravet på reglering i lag enligt regeringsformen

Läkemedelsverket menar att det eventuellt kan ifrågasättas om syste- met med en stor del av regleringen i förordningsform är förenligt med regeringsformens krav enligt 2 kap. 6 § andra stycket på att bestämmelser med detta innehåll ska regleras i lag.

33Vetenskapsrådet hänvisar till JO:s beslut från den 9 september 2014.

215

Registerforskningsutredningens förslag

SOU 2018:36

SCB anser att det är svårbedömt när det gäller förslagets förenlig- het med reglerna i dataskyddsdirektivet och i förhållande till 2 kap. 6 § andra stycket RF eftersom förenligheten med dessa regelverk i stor utsträckning blir beroende av hur de enskilda förordningarna som skapas med stöd av lagen kommer att utformas.

Datainspektionen avstyrker förslaget på den grunden att förslaget inte är förenligt med 2 kap. 6 § andra stycket RF. Datainspektionen anser att förslaget riskerar att leda till betydande integritetsintrång genom att tillåta omfattande insamling av personuppgifter utan att ändamålen är tillräckligt specificerade och utan att kräva integritets- skyddade åtgärder som uppväger integritetsintrånget.

Definitioner

Läkemedelsverket anser att det bör införas en definition av begreppen personuppgifter och forskningshuvudman. Vidare anser Läkemedels- verket att definitionen av forskningsdatabas skulle bli tydligare om begreppet ”nationell infrastruktur” ersätts med den tydligare beskriv- ningen i författningskommentaren: ”som är avsedd att utgöra en nationell resurs för forskning och vara utformad så att den kan utgöra en tillgång för forskare i hela landet”.

Göteborgs universitet anser att begreppet forskningsdatabas kan behöva förtydligas, t.ex. framgår det enligt Göteborgs universitet inte om en forskningsdatabas innefattar enbart forskningsregister, dvs. data insamlat från forskare, eller om kombinationen av register med regelbunden uppdatering också ingår och huruvida uppgifterna i en databas kan vara identifierbara (med personnummer).

Etikprövningsnämnden i Linköping anser att den föreslagna definitionen av forskningsdatabas kan tolkas olika och kan behöva preciseras.

Administration

Ekonomihögskolan vid Lunds universitet tycker att det är ett utmärkt förslag att forskningsdatabaserna ska administreras av en avgränsad enhet inom universitetet.

Göteborgs universitet anför att det redan finns en behörighets- administration som har sin bäring i personuppgiftslagens regler om

216

SOU 2018:36

Registerforskningsutredningens förslag

säkerhet vid behandling av personuppgifter. Hänvisning till detta redan kända regelverk bör enligt universitetet vara tillfyllest. Vidare anser Göteborgs universitet att relationen mellan Vetenskapsrådet och lärosätet bör förtydligas så att det framgår vem som ansvarar för vad. Göteborgs universitet vill öppna för möjligheten att administra- tionen kring forskningsdatabaserna läggs på Svensk Nationell Datatjänst (SND). När det gäller kravet på att forskningsdatabasen ska administreras i en särskild avgränsad enhet hos lärosätet menar universitetet att en forskningsdatabas torde få sin hemvist vid en institution vid lärosätet och att någon annan självklar organisatorisk enhet inte finns i dag.

Umeå universitet anser att förslaget att forskningsdatabasen ska administreras i en särskild avgränsad enhet kommer att bli resurs- krävande för berörda lärosäten och bör således beaktas vid regeringens resursfördelning.

Sekretess

Datainspektionen ifrågasätter utredningens uppfattning att uppgifter som lämnas ut med förbehåll till privata aktörer åtnjuter samma skyddsnivå som uppgifter som lämnats ut till en aktör som omfattas av bestämmelserna i OSL. Enligt Datainspektionen behövs det därför göras en djupare analys av hur uppgifterna ska bibehålla samma skydd hos de privata aktörerna.

6.5Avslutningsvis

I detta kapitel har vi gått igenom Registerforskningsutredningens förslag och vissa synpunkter från remissinstanserna. Registerforsk- ningsutredningens förslag och reaktionerna på detta har utgjort ett viktigt kunskapsunderlag för vår utredning. Vi har formulerat några ansatser som vi har utgått från när vi, utifrån bl.a. detta underlag, har formulerat våra förslag. Dessa utgångspunkter redovisar vi i nästa kapitel (kap. 7).

217

7 Vår ansats

7.1Inledning

I detta kapitel går vi igenom de principiella utgångspunkter som ligger till grund för våra bedömningar och förslag. Dessa bygger på våra direktiv och bakgrunden till dem samt de beskrivningar av forsknings- verksamheten som vi fått under utredningens gång, t.ex. vid kontakter med lärosäten och myndigheter.

Kapitlet är disponerat på det sättet att vi inledningsvis i avsnitt 7.2 kort redovisar allmänna utgångspunkter, därefter de utgångspunkter

vihar identifierat att forskarsamhället har, för att därefter gå igenom de politiska utgångspunkter som vi har kunnat utläsa.

Mot bakgrund av detta och de redogörelser som vi har fått del av i våra kontakter med forskare och ansvariga för databaser har vi funnit det ändamålsenligt att inta den utgångspunkten att forskningsdata- baser kan beskrivas ur ett livscykelperspektiv. Denna tänkta livscykel kan betraktas som en del av vår ansats och redovisas i avsnitt 7.3.

I avsnitt 7.4 beskriver vi ett antal modeller för forskningsdatabaser. Vi går också igenom olika typer av forskningsdatabaser inom medicin och samhällsvetenskap, också med livscykeln som utgångspunkt.

7.2Principiella utgångspunkter

7.2.1Inledande utgångspunkter

Det är nödvändigt för vårt samhälle att forskning bedrivs som ger upphov till ny kunskap. Registerbaserad forskning är en effektiv metod. Teknikutvecklingen har förenklat möjligheterna att sam- bearbeta och analysera uppgifter från olika källor och dra slutsatser från stora mängder data. Om forskningen använder sig av sådana

219

Vår ansats

SOU 2018:36

analysverktyg, ökar möjligheterna till resultat som leder till nytta för det gemensamma.

Våra direktiv utgår från att registerbaserad forskning är värdefull för vårt samhälle och måste kunna bedrivas på ett säkert och etiskt korrekt sätt. När det är fråga om forskning som förutsätter tillgång till personuppgifter finns ett starkt intresse av att skydda den enskilda individens personliga integritet. Det är självklart att regelverket måste utformas på det sättet att det tillgodoser den enskilda individens integritetsskydd så att allmänhetens förtroende för forskningen upprätthålls.

Vi anser att det är både nödvändigt och möjligt att utforma en funktionell reglering av forskningsdatabaser som både uppfyller forskningens behov och innefattar ett gott skydd för den personliga integriteten (se avsnitt 7.2.4). De lösningar vi föreslår när det gäller reglering av forskningsdatabaser ska alltså möjliggöra en ändamåls- enlig och säker behandling av personuppgifter för forskningsändamål samtidigt som det finns ett skydd för den enskildes fri- och rättig- heter.

Vi ska enligt våra direktiv föreslå de författningsförslag som behövs för en långsiktig reglering av forskningsdatabaser. För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att ett sådant regelverk tillgodoser den enskilda individens integritets- skydd. Vi anser därför att vårt förslag till lösning måste omfatta bestämmelser om sekretess och tystnadsplikt. Ett enhetligt sekre- tesskydd i forskningsverksamhet skulle underlätta såväl utlämnande av uppgifter till forskningsdatabasen som utlämnande från databasen till olika forskningsprojekt.

7.2.2Forskarsamhällets utgångspunkter

Vid våra möten med offentliga och privata lärosäten har det fram- kommit att det inom forskningen finns behov av uppgifter som samlats in såväl från enskilda individer som från andra källor. Andra källor kan vara registerförande myndigheter (t.ex. Socialstyrelsen och SCB) eller privata organisationer, t.ex. företag som samlar in uppgifter om läkemedelsanvändning eller om bilägares körning. Vidare har vi kunnat konstatera att det inom forskningen finns ett behov av att bygga upp och använda större forskningsdatabaser som kan delas av

220

SOU 2018:36

Vår ansats

flera, även framtida, forskningsprogram eller projekt. Dessutom har representanter från forskarsamhället samstämt uttryckt att det finns ett behov av en reglering som möjliggör ändamålsenlig behandling av personuppgifter för forskningsändamål. Därvid har påtalats att det i forskningsverksamhet finns en stor osäkerhet när det gäller hur data- skyddsförordningen och sekretesslagstiftningen ska tillämpas.

Från forskarrepresentanter har också följande framförts. Forsk- ningshuvudmännen lägger avsevärda resurser på insamling och bearbetning av uppgifter för forskningsändamål. Det är resursslöseri att inte återanvända uppgifterna som har samlats in och iordnings- ställts. Ofta finns en fortsättning på ett projekt, eller så startas nya projekt som kan använda samma uppgifter.

I forskarsamhället är frågor som handlar om Open Access och Open Data högaktuella. Enligt Vetenskapsrådet ska forskning finan- sierad av rådet publiceras med Open Access, vilket innebär att forsk- ningsresultaten blir fria att läsa och ladda ned från internet. Utöver att publicera resultat så brett som möjligt för att inspirera ny forskning handlar det om att öka möjligheten att återanvända uppgifter i olika databaser och utvinna ny kunskap. Dessutom krävs tydlig dokumen- tation av den forskning som är publicerad för att motverka forsk- ningsfusk och för att göra forskningen reproducerbar. Modern forskning innebär ofta samarbete mellan offentliga och privata aktörer samt över nationsgränser, vilket också kräver öppenhet.

Vi har i kapitel 4 beskrivit forskningens behov av forskningsdata- baser och Vetenskapsrådets ekonomiska satsningar på sådana.

7.2.3Politiska utgångspunkter

Allmänt

Det finns en politisk vilja att möjliggöra forskningsdatabaser med uppgifter som samlats in från enskilda individer eller från myndighets- register som kan delas av flera forskningsprogram eller projekt. Denna vilja överensstämmer med de ovan beskrivna behoven. Regeringen har länge framhållit att de svenska registren med personuppgifter utgör en potential för världsledande forskning.1

1Se nedan angivna propositioner.

221

Vår ansatsSOU 2018:36

Forskningspropositioner

År 2008 betonade regeringen i forskningspropositionen Ett lyft för forskning och innovation bland annat följande. Möjligheter till världs- ledande forskning i Sverige är på grund av unika individbaserade register mycket stor. Landet har en världsledande ställning vad gäller statistik om levnadsförhållanden och hälsa. Sveriges unika tillgång till register och databaser är en förklaring till denna framstående position och är något som behöver främjas i framtiden. Detta gör vårt land till en attraktiv forskningssamarbetspartner för andra länder. För att fullt ut kunna dra nytta av våra unika förutsättningar behövs en effektivare användning av befintliga register och databaser. Att bättre utnyttja dessa är viktigt, inte bara för forskning på området utan även för en framgångsrik och kunskapsbaserad utveckling av berörda verksam- heter inom hälso- och sjukvård. Lagstiftning för samutnyttjande av registerdata och andra data kan behöva granskas och anpassas till nya organisatoriska och tekniska förutsättningar.2

År 2012 framhöll regeringen i forskningspropositionen Forskning och innovation bland annat följande. För att kunna utnyttja den fulla potentialen av registeruppgifter vid forskning uppkommer ofta behov av sambearbetning av data från olika register. Sambearbetning av registeruppgifter kan underlättas genom att det upprättas nya data- basinfrastrukturer för bestämda, men relativt allmänt hållna forsk- ningsändamål. Det finns t.ex. behov av att kunna sambearbeta person- uppgifter från olika myndigheters register och att kunna skapa register för bestämda men relativt allmänt hållna forskningsändamål, dvs. register som är uppbyggda i syfte att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt inom ramen för det angivna ändamålet. 3

År 2016 underströk regeringen i forskningspropositionen Kunskap i samverkan – för samhällets utmaningar och stärkt konkurrenskraft4 bland annat följande. Det finns en stor potential för framgångsrik forskning i Sveriges sjukvårdssystem, biobanker och personuppgifts- register. För att bättre kunna ta till vara denna potential behövs strate- giska satsningar med långsiktiga perspektiv och stöd till nationella forskningsinfrastrukturer. Inom allt fler vetenskapsområden är

2Regeringens proposition Ett lyft för forskning och innovation (prop. 2008/09:50), bl.a. s. 190 f.

3Regeringens proposition Forskning och innovation (prop. 2012/13:30), s. 149.

4Regeringens proposition Kunskap i samverkan – för samhällets utmaningar och stärkt kon- kurrenskraft (prop. 2016/17:50), kapitel 9 och 10.

222

SOU 2018:36

Vår ansats

tillgång till ändamålsenlig och högkvalitativ forskningsinfrastruktur en förutsättning för att bedriva forskning av högsta vetenskapliga kvalitet. Området är därför av stor strategisk betydelse. Fortsatta investeringar i forskningsinfrastruktur är nödvändiga för att Sverige ska behålla sin position som ett framstående forsknings- och inno- vationsland.

Vidare hänvisade regeringen tillbaka till propositionen Ett lyft för forskning och innovation från 2008 där det aviserades att universiteten och högskolorna har fullt ansvar för infrastruktur och utrustning som används lokalt på lärosätet och anförde följande. Sådana utrustningar har i många fall potential att göras tillgängliga för fler aktörer än det egna lärosätet, exempelvis företag och andra forskargrupper.

Regeringen hänvisade också till att Vetenskapsrådet har i uppgift att finansiera forskningsinfrastruktur av nationellt intresse samt svenskt medlemskap i internationella forskningsinfrastrukturer inom alla vetenskapliga discipliner och betonar härvid att forskningsinfra- struktur av nationellt intresse kan vara såväl nationella som inter- nationella forskningsinfrastrukturer.5 Regeringen hänvisade även till att den förstärkning av anslagen för forskning och utbildning på forskarnivå som regeringen beräknat i budgetpropositionen för 2017 bl.a. syftar till att stärka lärosätenas förutsättningar att göra strategiska prioriteringar och satsningar för forskningsinfrastrukturen på lång sikt och anförde följande. Tillförseln av forskningsmedel de senaste åren har dessutom varit omfattande, särskilt för de äldre universiteten. Därför borde lärosätena ha förutsättningar att göra sådana priori- teringar och satsningar. Under perioden 2017–2020 kommer flera stora internationella forskningsinfrastrukturer att färdigställas och uppgraderas. Återkommande utvärderingar och prioriteringar av såväl nya som befintliga svenska åtaganden blir därför viktiga för att hitta en balans mellan svensk medverkan i internationell forskningsinfra- struktur och satsningar på nationell infrastruktur.6

Vidare angavs bland annat att regeringen ser positivt på Veten- skapsrådets pågående arbete med att skapa processer för att lång- siktigt prioritera infrastruktursatsningar. Det är en generell trend inom nästan alla vetenskapsområden att forskare både producerar och analyserar allt större datamängder. Genom att möjliggöra och stödja

5Prop. 2016/17:50 kapitel 9 och 10.

6Prop. 2016/17:50 kapitel 9 och 10.

223

Vår ansats

SOU 2018:36

forskning av hög vetenskaplig kvalitet bidrar forskningsinfrastruk- turer till målsättningen att Sverige ska vara ett av världens främsta forskningsländer och en ledande kunskapsnation, där högkvalitativ forskning, högre utbildning och innovation leder till samhällets utveckling och välfärd, näringslivets konkurrenskraft och svarar mot samhällsutmaningarna vi står inför, både i Sverige och globalt.

Näringslivets medverkan i utveckling och konstruktion av forsk- ningsinfrastrukturer bör bygga på den styrka som samverkan med universitet, högskolor och forskningsinstitut innebär. Det är viktigt att rådande styrdokument för forskningsinfrastrukturer inte utesluter forskare verksamma utanför universitet och högskolor. För att kunna möta samhällsutmaningarna måste styrdokumenten överensstämma med regeringens övergripande ambition om ökad tillgänglighet till forskningsinfrastrukturer

Budgetpropositionen för år 2018

I budgetpropositionen för år 2018, Utgiftsområde 16 Utbildning och universitetsforskning, framgår att regeringen ger anslag till bland annat registerbaserad forskning. I budgetpropositionen framhåller reger- ingen att Sverige har unika samlingar av biologiskt material i olika biobanker som tillsammans med välutvecklade persondataregister utgör en stor potential för forskning och innovation. Regeringen före- slår en satsning på en nationell forskningsinfrastruktur för insamlande och bevarande av biologiskt material från människor i biobanker. Regeringen föreslår vidare en satsning på tvärvetenskaplig och tvär- sektoriell registerbaserad forskning, som kan bidra till att denna forskningsinfrastruktur utvecklas och utnyttjas effektivt. Vidare ökar regeringen anslagen till bland annat datadriven forskning (register- baserad forskning, se kap. 3) och ökat nyttjande av forskningsinfra- strukturer. 7

7Regeringens proposition Budgetpropositionen för 2018 (2017/18:1), s. 213 f. samt s. 325.

224

SOU 2018:36

Vår ansats

Regeringens digitaliseringsstrategi

Regeringen presenterade i maj 2017 en strategi8 för hur digitaliserings- politiken ska bidra till konkurrenskraft, full sysselsättning samt ekonomiskt, socialt och miljömässigt hållbar utveckling. Strategin anger inriktningen för regeringens digitaliseringspolitik. Det över- gripande målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att nå det övergripande målet sätts fem delmål upp om digital kompetens, digital trygghet, digital inno- vation, digital ledning och digital infrastruktur. Delmålen förklarar hur digitalisering ska kunna bidra till en positiv samhällsutveckling. En av ambitionerna i strategin är att öka fokus på digitalt driven inno- vation och forskning.

I strategidokumentet anförs att den möjlighet som digitalisering genom avancerade analysmetoder, maskininlärning och artificiell intelligens (AI) medför när det gäller hantering av stora datamängder behöver synliggöras och potentialen tillvaratas. Exempelvis genererar modern forskning i allt snabbare takt ökande datavolymer som kräver utveckling av ändamålsenlig digital infrastruktur så att kunskap snabbare kan omsättas i nya frågeställningar. För att ytterligare stärka möjligheterna till datadriven och digitalt driven innovation behöver forskning och innovation inom relevanta områden prioriteras och uppmuntras.

Följande anförs i digitaliseringsstrategin om användningen av befintliga register.

När exempelvis forskningsdata tillhandahålls i öppen och återanvändbar form ökar förutsättningarna för datadriven forskning och innovation. Sverige har stora konkurrensfördelar inom klinisk forskning genom sina omfattande personbaserade register och biobankssamlingar, där ett ökat utnyttjande av dessa datamängder för forskning är prioriterat och kan bidra till kunskap och lösningar rörande stora folkhälsofrågor.

Vår slutsats

Vi uppfattar att det är tydligt att regeringen genom sin politik vill stimulera registerbaserad forskning och att det finns en uttalad politisk vilja att forskningen ska dra nytta av den kunskap som går att utvinna från våra gemensamma register. Regeringen vill satsa på

8För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi (dnr N2017/03643/D).

225

Vår ansats

SOU 2018:36

registerbaserad forskning och ett ökat nyttjande av forskningsinfra- strukturer.

7.2.4Vår ansats utifrån den politiska viljan och forskningens behov

I detta avsnitt redogör vi kortfattat för de ansatser som vi formulerat som utgångspunkter och stöd i utredningsarbetet och för våra val av förslag på lösningar.

Forskning är värdefullt för vårt samhälle

Vår utgångspunkt är att forskning är värdefullt för vårt samhälle och måste kunna bedrivas på ett lagenligt och etiskt korrekt sätt. Vi har i uppgift att föreslå en reglering som möjliggör en ändamålsenlig och säker behandling av personuppgifter i forskningsdatabaser. Regle- ringens ska både uppfylla forskningens behov och innefatta ett gott skydd för den personliga integriteten. Av de nämnda propositionerna och av digitaliseringsstrategin framgår att den politiska viljan i stort överensstämmer med det behov av att kunna använda ändamålsenliga forskningsmetoder som forskare uttrycker.

Inom forskningen hanteras i dag stora mängder personuppgifter. Det medför att det finns ett behov av tydliga regler om och metoder för hur dessa ska hanteras. Dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) är härvid av grundläggande betydelse. Vår ansats är att de principer och regler som gäller för behandling av personupp- gifter enligt dataskyddsförordningen kommer att utgöra en bra grund för att skapa en ändamålsenlig reglering av forskningsdatabaser. En genomgång av de rättsliga förutsättningarna enligt dataskyddsförord- ningen görs i kapitel 5.

Initiativen ska komma från forskningsverksamheten

Vi har under utredningstiden kommit till slutsatsen att initiativen till forskningsdatabaser ska komma från forskningsverksamheten. Detta ställningstagande ligger i linje med forskningens frihet som har sitt

226

SOU 2018:36

Vår ansats

stöd i 2 kap. 18 § andra stycket regeringsformen och fastslås i 1 kap. 6 § högskolelagen (1992:1434). Enligt högskolelagen gäller som all- männa princip att forskningsproblem får väljas fritt, forsknings- metoder får fritt utvecklas och forskningsresultat får fritt publiceras. Vi menar att det är i forskningsverksamheten som behoven av upp- giftssamlingar i form av forskningsdatabaser bäst kan identifieras och formuleras.

Ett integritetsskydd i balans med andra grundläggande rättigheter och legitima samhällsintressen

Enligt 2 kap. 6 § andra stycket regeringsformen ska den enskilde skyddas mot betydande intrång i den personliga integriteten om intrånget sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden. Begränsningar av denna rättighet får enbart göras genom lag, och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och dessa får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningarna. Vi bedömer således att en regle- ring av behandling av personuppgifter i en forskningsdatabas ska göras i lagform. Lagen måste uppfylla de krav som ställs i grundlagen.

I våra bedömningar och förslag går vi igenom dataskyddsprinci- perna i relation till forskningens behov av att hantera stora mängder personuppgifter. I enlighet med vårt uppdrag ska den reglering vi föreslår – utöver att uppfylla forskningens behov – också infatta ett gott skydd för den personliga integriteten. Enligt vår mening före- ligger det ett gott skydd för den personliga integriteten när denna rättighet står i balans med andra grundläggande rättigheter och legitima samhällsintressen.9

En avvägning måste därvid göras mellan forskningens behov av tillgång till personuppgifter och forskningspersonernas rätt till personlig integritet. Vi utgår från våra direktiv som anger att syftet med våra förslag i olika delar ska möjliggöra en ändamålsenlig behand- ling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Vi beaktar även Register- forskningsutredningens direktiv om att integritetsaspekterna måste beaktas vid reglering av forskningsdatabaser och att förslag måste

9 Jfr Integritetskommitténs betänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 56 ff.

227

Vår ansats

SOU 2018:36

lämnas i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forsk- ningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.10

I kapitel 13 redogör vi för vår proportionalitetsbedömning.

Principen om ansvarsskyldighet

Vi utgår från principen om ansvarsskyldighet som uttrycks i data- skyddsförordningen. Det är den personuppgiftsansvariga forsknings- huvudmannen som ska ta ansvar för en korrekt personuppgifts- behandling. Utgångspunkten är att våra författningsförslag ska göra det lätt för de ansvariga att göra rätt. Genom att föreslå bestämmelser som tydliggör forskningshuvudmannens ansvar och vilka regler som ska gälla för forskningsdatabaser kan vi göra det lättare att behandla personuppgifter på ett lagenligt sätt.

Forskningshuvudmannen ska ansvara för ett riskbaserat informationssäkerhetsarbete

Vi noterar att informationssäkerhetsfrågor har betydelse för bland annat skyddet av den personliga integriteten men också är av stor vikt av andra säkerhetsskäl. Det är ett flertal statliga utredningar som har arbetat med samhällets informationssäkerhet. I betänkandena Infor- mationssäkerhet för samhällsviktiga och digitala tjänster11 och betän- kandet En ny säkerhetsskyddslag anges exempel på områden, verk- samheter och funktioner som är av sådan karaktär att de skulle kunna omfattas av krav på skydd enligt lagen. Det framgår att hoten mot rikets säkerhet har förändrats och att främmande staters under- rättelseverksamhet de senaste decennierna har breddats mot bland annat forskning och utveckling inom civila områden. Elektroniska angrepp i olika former betraktas som ett av de allvarligare hoten samtidigt som antalet it-angrepp ökar i omfattning och blir allt mera

10Kommittédirektiv Förutsättningar för registerbaserad forskning (dir. 2013:8).

11Utredningens om genomförandet av NIS-direktivet betänkande Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36), s. 85.

228

SOU 2018:36

Vår ansats

riktade och sofistikerade.12 Dessa förhållanden beskrivs även i pro- positionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker- hetsskyddslag.13

Den som är ansvarig för en forskningsdatabas bör bedriva ett infor- mationssäkerhetsarbete med hänsyn bland annat till den beskrivna hotbilden. Informationssäkerhetsarbete måste också bedrivas på grund av behovet av skydd för den personliga integriteten i allmänhet för den vars personuppgifter förekommer i en forskningsdatabas. I detta sammanhang kan också den obligatoriska it-incidentrapporte- ring som gäller för statliga myndigheter nämnas.14

En forskningsdatabas kan innebära uppgiftsminimering

Vi har konstaterat att olika forskare och forskningsprojekt har ett behov av att dela personuppgifter med varandra. Vi finner att använd- ningen av samma personuppgifter i olika forskningsprojekt i prak- tiken utgör en särskild form av uppgiftsminimering jämfört med att samma uppgifter samlas in och behandlas i flera olika uppgifts- samlingar. Genom att samla uppgifter i forskningsdatabaser går det också att undvika att samma personuppgifter lagras på många olika ställen. I fråga om stora forskningsdatabaser är det dessutom möjligt att uppgiftsminimera inom databasen vid varje användning av upp- gifter i forskningsprojekt. På grund av forskningsdatabasens bredd kommer utlämnandet av uppgifter för enskilda projekt oftast att bestå av en mindre mängd uppgifter än de som omfattas av hela databasen.

Utlämnande från en forskningsdatabas genom fjärråtkomst kan reducera eller helt eliminera behovet av att kopiera uppgifter när de ska användas i enskilda forskningsprojekt. Med fjärråtkomst avses åtkomst till en it-miljö i vilken forskaren kan arbeta med data i en forskningsdatabas, utan att de enskilda uppgifterna behöver överföras till forskarens eget it-system. Det är en form av automatiserat ut- lämnande – inte direktåtkomst (se avsnitt 3.3.9). Denna metod för utlämnande kan ses som ett sätt att tillfredsställa dataskyddsförord-

12Utredningens om säkerhetsskyddslagen betänkande En ny säkerhetsskyddslag (SOU 2015:25), s. 221.

13Regeringens proposition Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker- hetsskyddslag (prop. 2017/18:89), s. 34.

14Myndighetens för samhällsskydd och beredskap (MSB) föreskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter.

229

Vår ansats

SOU 2018:36

ningens princip om uppgiftsminimering genom att en forsknings- databas som används av flera forskningsprojekt huvudsakligen nås genom fjärråtkomst. SCB:s MONA-system kan här användas som förebild.

Offentliga och privata lärosäten ska likställas

Vår bedömning är att det finns såväl en politisk vilja som en reell nödvändighet utifrån hur forskning bedrivs i dag att så långt det är juridiskt möjligt likställa offentliga och privata forskningshuvudmän.

Mot bakgrund av de skyddsaspekter som motiverar en noggrann reglering av forskningsdatabaser är det enligt vår bedömning nöd- vändigt att en sådan reglering omfattar åtminstone vissa privata forsk- ningshuvudmän. En reglering av forskningsdatabaser ska göra det möjligt att tillgängliggöra uppgifter för forskningsändamål samtidigt som den säkerställer ett enhetligt skydd för den personliga integri- teten. En alltför avgränsad lagstiftning riskerar att lämna ett för stort område utanför den reglering som syftar till att höja säkerheten vid behandling av personuppgifter i forskningsdatabaser.

Privata lärosäten utför ofta uppgifter av samma karaktär som de offentligrättsliga. Exempel på detta är den trafiksäkerhetsforskning som bedrivs vid såväl Kungliga Tekniska Högskolan (KTH) som vid Chalmers tekniska högskola. Denna forskning kan medföra behand- ling av ett stort antal personuppgifter som i original insamlats av privata biltillverkare och som används av såväl KTH som Chalmers.

Vi anser att det är rimligt att forskare som är verksamma vid privata lärosäten kan behandla personuppgifter under samma villkor som de som är verksamma vid de statliga lärosätena. Vi utgår vidare ifrån att lagstiftaren inte har avsett att forskning och utbildning på de lärosäten som har examensrätt ska bedrivas under olika villkor. För de som studerar och forskar på olika lärosäten ska det således inte spela någon roll om lärosättet är offentligt eller privat.

230

SOU 2018:36

Vår ansats

Ansats internationella frågor

Forskningens internationella aspekter är av största betydelse. Lissabonfördraget15 stadgar att EU ska ha som mål att skapa ett europeiskt forskningsområde med fri rörlighet för forskare, veten- skapliga rön och teknik. Svårigheten att skapa enhetlighet vid behand- ling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter inom unionen, vilket utgör ett hinder mot att förverkliga detta mål.16 Flertalet forskningsfrågor har inga nations- gränser. Gemensam resursanvändning kan leda till en snabbare kun- skapsutveckling.

Syftet med dataskyddsförordningen är att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom EU. Ett utbyte av uppgifter över gränserna är därför också i linje med dataskyddsförordningens grundläggande principer17 och gynnar det vetenskapliga arbetet.

7.3En forskningsdatabas livscykel

7.3.1Livscykelmodellen

Den tid under vilken en forskningsdatabas finns i en forsknings- huvudmans verksamhet kan delas in i olika stadier, som beskriver hur databasen skapas, används och avvecklas. De insatser som forsknings- huvudmannen måste göra är knutna till olika stadier under forsk- ningsdatabasens bestånd. Vissa aktiviteter pågår löpande, medan andra är starkare knutna till en viss period. För att kunna beskriva vilka handlingsmönster som måste regleras, har vi funnit det använd- bart att utgå från den livscykel under vilken forskningsdatabasen existerar. Livscykelperspektivet kan användas till att analysera vilka aktiviteter som behöver regleras för att åstadkomma en säker behand- ling av personuppgifter i forskningsdatabasen. De olika stegen i livs- cykeln är inte strikt avgränsade från varandra och det finns aktiviteter som hör hemma i flera steg.

15Artikel 179.1 i EUF-fördraget.

16Skäl 9 i dataskyddsförordningen.

17Art 1.3. i dataskyddsförordningen.

231

Vår ansats

SOU 2018:36

Våra överväganden och förslag till en reglering som utgår från en forskningsdatabas livscykel finns i kapitel 8. Beskrivningen av livs- cykelmodellen är avsedd att göra det lättare att förstå behovet av våra förslag till bestämmelser som både ska underlätta användningen av databaser i forskning och skydda enskildas personliga integritet.

Forskningsdatabasens livscykel redovisas i följande fem steg.

1.Skapandet av en forskningsdatabas

2.Insamlingen av personuppgifter

3.Förvaltning av forskningsdatabasen

4.Användningen av forskningsdatabasen

5.Avvecklingen av en forskningsdatabas

I det följande redovisas de olika stegen i forskningsdatabasens livs- cykel och exempel ges på de frågor som hör ihop med varje steg. Våra överväganden och förslag till reglering och andra åtgärder behandlas i senare kapitel.

7.3.2Steg 1. Skapandet

Till steg ett hör frågor om vilka villkor som ska gälla för skapandet av en forskningsdatabas. Vidare hör frågan om ansvaret för forsknings- databasen hit.

Beslut om att inrätta en forskningsdatabas kan fattas i olika situationer. Ett tänkbart scenario är att ett beslut om att inrätta en forskningsdatabas fattas innan insamling av uppgifter till denna på- börjas. Registerforskningsutredningen hade som utgångspunkt för sitt förslag att ett beslut om inrättandet av en forskningsdatabas skulle fattas av regeringen.18 Beslutet skulle fattas efter en framställning från Vetenskapsrådet, vars beredning var tänkt att garantera en vetenskap- lig förankring av processen. Registerforskningsutredningen förutsatte att antalet forskningsdatabaser skulle vara begränsat till en nationell forskningsdatabas per forskningsfält. Vi beskriver Registerforsk- ningsutredningens förslag i kapitel 6.

18Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

232

SOU 2018:36

Vår ansats

Behovet att skapa en forskningsdatabas kan dock även uppstå genom att ett forskningsområde etableras inom vilket behovet av data kommer att bli alltmer gemensamt så att uppgifterna behöver delas mellan olika forskargrupper. Det kan i sådana fall uppstå en önskan om att kunna ta del av andras personuppgifter och att dela med sig av uppgifter som man själv samlat in samt att tillsammans iordningsställa dem på lämpligt sätt. I ett sådant fall har uppgifter samlats in redan innan ett beslut om att inrätta en forskningsdatabas har fattats. Utvecklingen sker ofta stegvis utan att gränsen mellan projekt- specifika uppgiftssamlingar och forskningsdatabaser är tydlig.

7.3.3Steg 2. Insamlingen

Till steg två hör frågor om hur personuppgifterna kan samlas in till forskningsdatabasen, frågor om forskningsdatabasen ska innehålla direkt identifierbara personuppgifter, och om vilka andra uppgifter som får samlas in samt om skyddet av uppgifterna m.m. I linje med de olika varianter som vi har beskrivit när det gäller skapande av en forskningsdatabas förekommer olika tillvägagångssätt när det gäller insamling av uppgifter.

Insamling av uppgifter till forskningsdatabaser kan förekomma med den uttalade huvudmålsättningen att använda uppgifterna i en sådan databas. Uppgifter kan samlas in till en forskningsdatabas på samma sätt som när uppgifter samlas in för enskilda projekt. Det kan handla om att samla in uppgifter direkt från enskilda personer eller från andra källor såsom myndighetsregister. Det kan också vara fråga om uppgifter insamlade från individer som kombineras med uppgifter om samma personer från exempelvis populationstäckande administra- tiva register.

För att underlätta insamlingen av uppgifter behöver forsknings- huvudmannen kunna visa att uppgifterna hanteras på ett säkert sätt. Det behövs alltså regler till skydd för de uppgifter som ska behandlas i forskningsdatabasen. Därför hör frågor om inre sekretess19 och forskningssekretess m.m. också till detta steg.

19Bestämmelser om inre sekretess reglerar hur den interna elektroniska åtkomsten till person- uppgifter får användas. I kapitel 5 och avsnitt 8.10. 5 redogör vi för inre sekretess.

233

Vår ansats

SOU 2018:36

7.3.4Steg 3. Förvaltningen

Det tredje steget innefattar alla åtgärder som krävs för att sköta forskningsdatabasen så att den ska kunna användas på ett ändamåls- enligt, korrekt och säkert sätt. Forskningshuvudmannens organisa- toriska åtgärder hör till detta steg. Förvaltningen av forskningsdata- basen omfattar också en säker och ändamålsenlig behandling av personuppgifter. Det handlar om rutiner för hur uppgifterna får hanteras, och av vem med beaktande av sekretess, tystnadsplikt och informationssäkerhet.

Det är också en grundläggande förvaltningsuppgift att bearbeta uppgifterna i registret så att de kan användas för forskning. Rättning av de uppgifter som kommer från registerhållaren måste ofta genom- föras. Det kan handla om att felaktiga eller sinsemellan inkonsistenta uppgifter, eller om att ett felaktigt eller olämpligt urval av variabler eller observationer (personer) levererats från registerhållaren i för- hållande till vad forskaren beställt. Ofta krävs också en konvertering och anpassning av uppgifterna till former som är anpassade för forskningsdatabasens forskningsområde.

Även uppföljning och utvärdering av verksamheten är sådana aktiviteter som hör samman med steg tre.

Den som ansvarar för en forskningsdatabas kan också ha anledning att revidera de ändamål som gäller för forskningsdatabasen eller att ompröva behovet av att behandla uppgifter i den aktuella forsk- ningsdatabasen överhuvudtaget.

7.3.5Steg 4. Användningen

Steg fyra handlar om användningen av uppgifterna i en forsknings- databas. Hit hör frågor utlämnande av uppgifter från forsknings- databasen för specifika forskningsprojekt. Till denna punkt hör frågor om vilken typ av åtkomst som ska finnas till uppgifterna och vilka villkor som ska gälla för utlämnandet. Det finns alltså sekretessfrågor kopplade även till detta steg i livscykeln.

234

SOU 2018:36

Vår ansats

7.3.6Steg 5. Avvecklingen

Forskningsdatabaser förväntas ha en livslängd som överstiger andra uppgiftssamlingar för forskning. På grund av den vetenskapliga utvecklingen, förändringar i tillgången på uppgifter eller förändringar i regleringen av uppgifternas tillgänglighet för forskning kan det upp- stå en situation där det inte längre är motiverat att behålla forsknings- databasen. Till det femte steget hör därför de frågor som behöver hanteras när en forskningsdatabas ska avvecklas, såsom frågor om villkor för avveckling och arkivering.

7.4Forskningsdatabaser som bör omfattas av våra förslag

7.4.1Olika typer av forskningsdatabaser

Forskningsdatabaser med uppgifter direkt insamlade från enskilda

En forskningsdatabas kan byggas upp med hjälp av uppgifter som är direkt insamlade från de registrerade för ett tydligt definierat forsk- ningsområde.

Den svenska regeringen medverkar t.ex. genom Vetenskapsrådet i en frågeundersökning med syfte att samla in analysera och sprida kunskap om sociala förhållanden i Europa, inklusive attityder, värde- ringar, uppfattningar och beteenden (ESS).20 Forskningsdatabasen består av en serie urvalsundersökningar där direkta identifierade upp- gifter inte behålls efter insamlingsskedet och där ingen uppföljning av individernas utveckling görs över tid. ESS uppgifter ska enligt dess grundprinciper fritt tillgängliggöras för forskare.

Databaser av detta slag kan också ha syftet att följa personer över tid, så att direkt identifierbara personuppgifter är nödvändiga för såväl återkommande insamling som för återkommande analys. Ett exempel på denna typ av insamling är den europeiska undersökningen av hälsa,

20http://www.europeansocialsurvey.org/

235

Vår ansats

SOU 2018:36

åldrande och pensionering (SHARE).21 Uppgifter från undersök- ningen är fritt tillgängliga för forskare över hela världen med beak- tande av tillämplig dataskyddslagstiftning.

Båda dessa exempel utgör officiellt reglerade europeiska forsk- ningsinfrastrukturer (ERIC)22 med uppgifter insamlade från personer i flera europeiska länder. De är tillgängliga för forskare över hela världen. Man kan också tänka sig att denna typ av forskningsdatabaser täcker ett mer begränsat område, exempelvis Sverige,23 eller ett större geografiskt område (även utomeuropeiska länder).

Forskningsdatabaser med uppgifter inhämtade från myndigheter

En vanlig modell för forskningsdatabaser är sådana som består av enbart sekundärt insamlade uppgifter. Det handlar om uppgifter som finns tillgängliga på grund av andra ändamål än forskning, men som under vissa betingelser får användas också för forskningsändamål.

Den enklaste formen av denna modell är när alla uppgifter samlats in från en och samma myndighet, vanligen genom sammanläggning av uppgifter från flera register inom myndigheten eller är hämtade från en sådan sammanlagd databas som redan finns där. I regel utgörs upp- gifterna av longitudinella data, dvs. uppgifter om personer som härrör från flera tidpunkter och behöver uppdateras med nya uppgifter. Ett typiskt exempel på detta kan vara forskningens användning av Registret över totalbefolkningen (RTB) i demografisk forskning. Den demografiska forskningen är ofta komparativ, dvs. den jämför befolk- ningsutvecklingen i olika länder. Man behöver således ofta använda uppgifter från flera statistikmyndigheter. Ett annat exempel kan vara de vid myndigheterna för analysändamål sammanställda databaserna Longitudinell integrationsdatabas för sjukförsäkrings- och arbets- marknadsstudier (LISA) vid SCB eller Mikrodata för analys av social- försäkringen (MiDAS) vid Försäkringskassan.

Det är som regel nödvändigt att studera uppgifter longitudinellt, antingen genom att följa förändringar av en variabel över tid (som arbetsmarknadsstatus, sjukskrivning) eller att undersöka hur värdet

21Survey of Health, Ageing and Retirement (SHARE), http://www.share-project.org/

22https://ec.europa.eu/research/infrastructures/index.cfm?pg=eric

23Ett sådant exempel kan vara Levnadsnivåundersökningen, http://www.sofi.su.se/forskning/tre-forskningsavdelningar/lnu

236

SOU 2018:36

Vår ansats

på en persons bakgrund (t.ex. exponering för risk) påverkar värdet på en annan variabel flera år senare (såsom förekomst av viss sjukdom). Ibland kan detta göras genom att samla in alla uppgifter i efterhand, men ofta krävs att uppgifterna uppdateras löpande under forsknings- databasens livscykel. Ett exempel på denna typ av forskningsdatabas utgörs av den (för närvarande i särskild ordning reglerade) databasen vid Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering.24 Ett annat exempel utgörs av de uppgifter som används för mikrosimulering.25

En annan form av registerbaserad forskning är att kombinera upp- gifter från flera olika myndigheter. Det kan vara fråga om att jämföra inkomstuppgifter från SCB med uppgifter från Socialstyrelsens hälsodataregister och/eller uppgifter om sjukvård från hälso- och sjukvårdens kvalitetsregister.

Kombinerade forskningsdatabaser

En annan vanlig modell för forskningsdatabaser är den där uppgifter som samlats in direkt från den registrerade för forskningsändamål kombineras med uppgifter som tas från uppgiftssamlingar med annat ändamål insamlade vid annat tillfälle. Det kan handla om att komplet- tera en direkt frågeundersökning, en provtagning eller en medicinsk undersökning för forskningsändamål med uppgifter från sociala register eller tidigare insamlade biologiska uppgifter från hälso- och sjukvårdens biobanker. Det kan också vara fråga om att komplettera sådant material som samlats in från en myndighet (exempelvis före- komst av sjukdomsdiagnos eller riskexponering) med direkt in- samlade uppgifter (exempelvis frågor, prover, eller kompletterande uppgifter från patientjournaler).

Ibland kan en sådan insamling innebära att enbart en mindre del av det ursprungliga materialet behålls i forskningsdatabasen. Det kan vara fråga om att söka efter uppgifter i register som täcker hela befolk- ningen för en grupp personer som finns i en mindre uppgiftssamling, t.ex. en frågeundersökning på slumpmässigt utvalda personer eller ett patientmaterial från en lokal eller regional vårdgivare. Det kan också

24Se SOU 2014:45 s. 355 f.

25Se exempelvis Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2, Finansdepartementet).

237

Vår ansats

SOU 2018:36

vara fråga om att utifrån ett brett definierat material i ett befolk- ningsbaserat register (t.ex. patientregistret) söka efter uppgifter i ett begränsat register (t.ex. en biobank).

Ett välkänt exempel på en kombinerad forskningsdatabas av ovan- stående slag är LifeGene, där biologiska prover och uppgifter om levnadsvillkor samlas in för att i ett senare skede kombineras med hälsouppföljning i syfte att kartlägga inverkan från arv och miljö på hälsan på lång sikt. Denna s.k. epigenetiska forskning är på stark fram- marsch inom den epidemiologiska forskningen där man på senare år upptäckt att genetiska förutsättningar och social miljö samverkar på lång sikt. Denna forskning har inneburit ett ökat behov av att bygga upp, förvalta och uppdatera långsiktiga forskningsdatabaser.

Forskningsdatabaser som omfattades

av Registerforskningsutredningens förslag

Registerforskningsutredningens förslag till reglering av forsknings- databaser avsåg kombinerade forskningsdatabaser. De skulle alltså kunna bestå såväl av uppgifter direkt insamlade från enskilda och av uppgifter från myndighetsregister.

Enligt förslaget till reglering skulle forskningsdatabaser kunna skapas vid statliga universitet och högskolor samt vid andra statliga myndigheter som har i uppdrag att bedriva forskning. Det skulle således inte vara tillåtet för privata lärosäten eller landsting och kom- muner att ansvara för forskningsdatabaser.

Vetenskapsrådet skulle ha i uppdrag att föreslå för regeringen vilka forskningsdatabaser som ska få finnas. Vetenskapsrådet skulle träffa avtal med värduniversiteten om finansiering, organisation och till- gänglighet. Det skulle finnas ett tydligt behov av en databas inom det aktuella området och det skulle ställas höga krav på kvalitet och säkerhet hos den verksamhet som ska hålla databasen.

Tanken med förslaget var att forskningsdatabasen skulle bevaras under en längre tid och möjliggöra longitudinella studier av samma personer över tid eller jämförande studier av likvärdiga urval av personer över tid. Utgångspunkten var att det endast skulle finnas en forskningsdatabas för varje större forskningsfält i Sverige.

238

8Förslag till reglering

av forskningsdatabaser

8.1Inledning

I förevarande kapitel redogör vi för utredningens förslag till reglering av personuppgiftsbehandling i forskningsdatabaser. Detta innefattar ett förslag till en ny lag om forskningsdatabaser och förslag till ändringar i lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), i offentlighets- och sekretesslagen (2009:400), förkortad OSL, och i förordningen (2009:975) med instruktion för Vetenskapsrådet.

Från och med avsnitt 8.8 och till och med avsnitt 8.12 utgår utred- ningens presentation av förslagen från en forskningsdatabas livscykel. Livscykelmodellen beskrivs i kapitel 7.

8.2Personuppgiftsbehandling i forskningsdatabaser

Vår bedömning: I vårt förslag till reglering av forskningsdatabaser måste en forskningsdatabas godkännas vid etikprövning. Genom detta krav etableras en i nationell rätt fastställd rättslig grund för forskningshuvudmännens behandling av personuppgifter i en forskningsdatabas.

Etikprövning enligt etikprövningslagen är även en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forsknings- ändamål än klinisk läkemedelsprövning enligt dataskyddsförord- ningen.1

1Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av

241

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Etikprövning är också en sådan i svensk rätt fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförord- ningen.

8.2.1Inledning

I vårt delbetänkande har vi ingående redogjort för de rättsliga förut- sättningarna för personuppgiftsbehandling för forskningsändamål och hur förutsättningarna kommer att ändras när dataskyddsförord- ningen börjar tillämpas.

I kapitel 5 i detta slutbetänkande har vi åter gått igenom på vilket sätt dataskyddsförordningen reglerar behandling av personuppgifter för forskningsändamål i forskningsdatabaser eller på annat sätt. Här beskriver vi enbart kortfattat vilka rättsliga grunder som olika forsk- ningshuvudmän kan tillämpa vid behandling av personuppgifter och vad som i övrigt krävs för att behandlingen av personuppgifter i en forskningsdatabas ska vara förenlig med dataskyddsförordningen.

8.2.2Förenlighet med dataskyddsförordningen

För att det ska vara tillåtet att behandla personuppgifter i en forsk- ningsdatabas måste forskningshuvudmannen bedöma:

•om det finns någon rättslig grund för behandlingen (artikel 6),

•i de fall den rättsliga grunden är sådan som avses i artikel 6.1 c eller e, om den är fastställd i nationell rätt eller i unionsrätten (artikel 6.3),

•i de fall behandlingen omfattar känsliga personuppgifter (artikel 9.1), om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt (artikel 9.2), och om det i sådana fall finns stöd för undantagen i unionsrätten eller nationell rätt,

sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen.

242

SOU 2018:36

Förslag till reglering av forskningsdatabaser

•i de fall behandlingen omfattar uppgifter om lagöverträdelser (artikel 10), om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt,

•om behandlingen omfattas av lämpliga skyddsåtgärder (artikel 89.1), och

•om de grundläggande principerna för behandling är uppfyllda (artikel 5).

8.2.3Rättslig grund

Vår bedömning av vilka rättsliga grunder som de olika forsknings- huvudmännen kan tillämpa framgår kortfattat i det följande.2 Vi utgår i våra bedömningar från att uppbyggnaden av en forskningsdatabas omfattar personuppgiftsbehandling för forskningsändamål (se vidare avsnitt 3.3.1). Behandling av personuppgifter i en forskningsdatabas utgör således en fas i själva forskningsprocessen.

Uppgiften att forska är en uppgift av allmänt intresse i dataskydds- förordningens mening.3 För att den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs dock enligt artikel 6.3 att uppgiften att forska är fastställd i enlighet med unionsrätten eller den nationella rätten. Förutsätt- ningarna för detta varierar beroende på vilken typ av rättssubjekt som är forskningshuvudman.

Statliga universitet och högskolor

För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt. I 2 kap. 18 § andra stycket regerings- formen (RF) fastslås att forskningens frihet är skyddad enligt bestäm- melser som meddelas i lag. Högskolelagen (1992:1434) reglerar verk- samhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvuduppgift.

2Jfr Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

3Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 128, jfr även Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

243

Förslag till reglering av forskningsdatabaser

SOU 2018:36

I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens tro- värdighet och god forskningssed värnas i verksamheten. 1 kap. 6 § regleras sedan forskningens frihet genom att det anges allmänna principer för den delen av högskolornas verksamhet. För forskningen ska gälla att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Vår bedömning är därför att för universitet och högskolor med staten som huvudman är forskningsuppgiften fastställd i svensk lag och de kan därför behandla personuppgifter i en forskningsdatabas som är nöd- vändiga för att utföra forskningen med stöd av artikel 6.1 e.

Andra statliga myndigheter

Utöver universitet och högskolor behandlar många andra statliga myndigheter personuppgifter för forskningsändamål. Dessa myndig- heters möjligheter att behandla personuppgifter för forskningsända- mål med stöd av artikel 6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forsk- ning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Uppgiften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller genom särskilda regerings- beslut. Om uppgiften att forska är tydligt fastställd på detta sätt för en myndighet har myndigheten möjlighet att grunda behandling av personuppgifter som är nödvändig för att skapa en forskningsdatabas på artikel 6.1 e.

Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att samma resonemang kan föras för dem som för myndig- heter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som sam- verkar med akademi, näringsliv och samhälle. För sådana organ är det bedömningarna beträffande privaträttsliga forskningsutförare som är relevanta (se nedan).

244

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Kommunala myndigheter

Verksamheten vid kommuner och landsting är reglerad i RF, kom- munallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård- och omsorg. När det gäller kommunernas verksamhet anges det i 14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommunallagen reglerar såväl kommuner som landsting på en övergripande nivå. Där anges att kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar.

Forskning och innovation är en viktig del av många kommuners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdslagen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forsk- ningsarbete.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats av fullmäktige i enlighet med bestämmelserna i kommunal- lagen. I sådana beslut bör forskningsuppgiften anges tydligt så att forskningsuppgiften därigenom kan anses vara fastställd i nationell rätt. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter i en forsknings- databas som är nödvändig för att utföra forskningen.

Privaträttsliga forskningshuvudmän

En privaträttslig forskningshuvudmans forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forsknings- projektet enligt t.ex. etikprövningslagen och huvudmannen har fått de tillstånd som krävs. Vårt förslag till reglering av forskningsdatabaser innebär att forskningsdatabasen måste vara etikgodkänd. En privat forskningshuvudman får därigenom sin uppgift att behandla person- uppgifter i en forskningsdatabas fastställd i enlighet med svensk rätt om tillstånd har meddelats i enlighet med etikprövningslagen.

Ett beslut enligt etikprövningslagen och stöd av sådana andra författningar som nämns i detta avsnitt ger enligt vår uppfattning en

245

Förslag till reglering av forskningsdatabaser

SOU 2018:36

sådan grund för behandlingen som är fastställd i enlighet med natio- nell rätt enligt artikel 6.3 dataskyddsförordningen. Detta innebär att en privat forskningshuvudman som avser att skapa en forsknings- databas som kräver godkännande enligt etikprövningslagen kan åberopa den rättsliga grunden allmänt intresse för den person- uppgiftsbehandling som är nödvändig för projektet eller forsknings- databasen, om forskningen godkänts av Etikprövningsmyndigheten4 (se vidare avsnitt 8.8.2 för vår bedömning av vilka privata forsknings- huvudmän som ska kunna få ansvara för en forskningsdatabas). Detta gäller på motsvarande sätt även för offentliga forskningshuvudmän, men som redovisats ovan har dessa i regel möjlighet att åberopa den rättsliga grunden allmänt intresse redan mot bakgrund av en i nationell rätt fastställd uppgift att forska.

8.2.4Känsliga personuppgifter

Behandlingar av personuppgifter i en forskningsdatabas kommer ofta att omfatta känsliga personuppgifter enligt artikel 9.1 i dataskydds- förordningen. Om så är fallet måste forskningshuvudmannen ta ställ- ning till om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt enligt artikel 9.2.

De undantag som enligt vår bedömning kan komma i fråga, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g), eller av hänsyn till vetenskapliga eller historiska forsk- ningsändamål (artikel 9.2 j). Det är därför nödvändigt att göra en bedömning av om kraven i artikel 9.2 g eller 9.2 j är uppfyllda. Kraven innefattar förutom de beskrivna ändamålen att det finns stöd för undantagen i unionsrätten eller nationell rätt. Vi har tidigare gjort bedömningen att vid personuppgiftsbehandling för forskningsända- mål ska undantaget i artikel 9.2 j användas,5 och vi ser inte något skäl att frångå den bedömningen vid forskningsverksamhet i form av forskningsdatabaser.

Forskning som innefattar känsliga personuppgifter kräver enligt gällande rätt – oavsett om forskningshuvudmannen är en statlig myndighet eller en fysisk eller juridisk person – ett godkännande enligt 6 § etikprövningslagen. Av dess sista stycke framgår även att ett

4Etikprövningsnämnderna ersätts den 1 januari 2019 av Etikprövningsmyndigheten, se avsnitt 5.4.1.

5SOU 2017:50 s. 191.

246

SOU 2018:36

Förslag till reglering av forskningsdatabaser

godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det är alltså för ett forskningsprojekt inte alltid tillräckligt med ett beslut om god- kännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar, exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar.

Skyddsåtgärder

Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unions- rätt eller nationell rätt (artikel 9.2 j). Behandling av personuppgifter om lagöverträdelser för forskningsändamål som utförs av andra än myndigheter får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och sär- skilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utveck- lingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik- hetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32).

Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen sam- tidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför sam- hällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säker- het och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forsknings- personers hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får

247

Förslag till reglering av forskningsdatabaser

SOU 2018:36

bara godkännas om den är nödvändig för att forskningen ska kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompe- tens som behövs (7–11 §§ etikprövningslagen). Vi föreslår i detta kapitel att etikprövningslagen ska utvidgas så att lagen även ska tillämpas på forskningsdatabaser.

Vi har tidigare bedömt att etikprövning uppfyller förordningens krav på skyddsåtgärder vid personuppgiftsbehandling för forsknings- ändamål.6 En etikprövning enligt etikprövningslagen uppfyller enligt vår uppfattning dataskyddsförordningens krav på en objektiv bedöm- ning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter även vid sådan forskning som utgörs av forskningsdatabaser. Vi bedömer således att etikprövning av forskning i form av forskningsdatabaser är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.

8.2.5Grundläggande principer för behandling

All personuppgiftsbehandling måste, utöver kraven i artikel 6, 9 och 10, som vi redogjort för ovan, också uppfylla de grundläggande princi- perna som framgår av artikel 5. Forskningshuvudmännen ansvarar för att behandlingen i en forskningsdatabas uppfyller även dessa data- skyddsprinciper. I avsnitt 5.3.5. har vi redogjort för dessa krav.

8.3En lag om forskningsdatabaser

Vårt förslag: Villkoren för att behandla personuppgifter i forsk- ningsdatabaser ska vara reglerade i lag. Bestämmelserna ska finnas i en ny lag om forskningsdatabaser. Ytterligare skyddsbestämmel- ser utöver de som ska finnas i den nya lagen ska införas i etikpröv- ningslagen och i offentlighets- och sekretesslagen.

När den nya lagen träder i kraft ska lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa upphöra att gälla.

6SOU 2017:50 s. 332 ff.

248

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Ett av våra uppdrag är att föreslå en långsiktig reglering av forsknings- databaser. Vi ska föreslå ändamålsenliga bestämmelser om hur person- uppgifter får behandlas i sådana databaser. Regleringen ska vara ändamålsenlig på så vis att den ger goda förutsättningar för forsk- ningen att använda personuppgifter för att skapa ny kunskap. En sådan reglering måste samtidigt säkerställa den enskildes fri- och rättigheter. Vårt förslag måste innefatta sådana skyddsåtgärder att den enskildes integritet skyddas på ett godtagbart sätt vid behandlingen av personuppgifter i forskningsdatabasen.

I 2 kap. regeringsformen, förkortad RF, finns bestämmelser som ger ett grundläggande skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket). Detta integritetsskydd får begränsas genom lag (2 kap. 20 §). Begränsningar i skyddet av den personliga integri- teten får enligt 2 kap. 21 § RF göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och inte heller gå utöver vad som är nödvändigt med hänsyn till det ändamål som föranlett den. I den typ av uppgiftssamling som en forskningsdatabas utgör kommer personuppgifter som avser ett stort antal människor att behandlas under lång tid. Det kan också handla om särskilt integritetskänsliga personuppgifter såsom uppgifter om sjukdomar och hälsotillstånd samt uppgifter om lagöverträdelser. Vi anser att forskningsdatabaser ska regleras i lag.

Vi föreslog i vårt delbetänkande7 en ny lag om reglering av person- uppgiftsbehandling för forskningsändamål. Lagen skulle komplettera dataskyddsförordningen vid personuppgiftsbehandling för forsk- ningsändamål. Syftet med förslaget var att möjliggöra personuppgifts- behandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Utbildningsdepartementet har i april 2018 lämnat ett utkast till en lagrådsremiss.8 Departementet föreslår dock inte någon forskningsdatalag. Enligt departementet ger dataskydds- förordningen och lagen (2018:218) med kompletterande bestäm- melser till EU:s dataskyddsförordning (dataskyddslagen) tillsammans

7SOU 2017:50.

8Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

249

Förslag till reglering av forskningsdatabaser

SOU 2018:36

med etikprövningslagen ett tillräckligt stöd för behandling av person- uppgifter för forskningsändamål.

Mot denna bakgrund föreslår Forskningsdatautredningen att de nya bestämmelserna som gör det tillåtet med personuppgiftsbehand- ling i forskningsdatabaser ska finnas i en egen lag – lagen om forsk- ningsdatabaser.

Lagen innebär en generell reglering av forskningsdatabaser. Det hindrar i och för sig inte att vissa forskningsdatabaser kan ha en specialreglering. Det är upp till lagstiftaren att bedöma om en forsk- ningsdatabas är av en sådan karaktär att det av olika skäl vore lämp- ligare att reglera den i en särskild lag. Vår bedömning är dock att lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) ska upphöra att gälla när lagen om forskningsdatabaser träder i kraft. Den eller de forsk- ningsdatabaser som har byggts upp med stöd av denna lag kan lämpligen styras av vårt förslag till generell lagstiftning.

LifeGene-lagen tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. Lagens giltighetstid tidsbegränsades, först i avvaktan på bered- ningen av den översyn av förutsättningarna för registerbaserad forsk- ning som gjordes av Registerforskningsutredningen,9 sedan i avvaktan på vår redovisning i detta betänkande. Lagens giltighetstid har för- längts, senaste gången till och med den 31 december 2020.10 Vårt förslag till lag om forskningsdatabaser innefattar en sådan reglering av forskningsdatabaser som kan ersätta den tillfälliga LifeGene-lagen.

8.4Lagens innehåll och syfte

Vårt förslag: Lagen ska innehålla bestämmelser om behandling av personuppgifter i en forskningsdatabas. Lagen ska även innehålla en bestämmelse om tystnadsplikt hos privata forskningshuvud- män.

9Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

10Lag (2017:1102) om fortsatt giltighet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

250

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Syftet med lagen är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registre- rades personliga integritet skyddas vid denna behandling.

Vi föreslår att lagen om forskningsdatabaser (forskningsdatabaslagen) ska inledas med en bestämmelse som beskriver vilken typ av regler som ska finnas i lagen. Lagen ska innehålla bestämmelser om behand- ling av personuppgifter i forskningsdatabaser. Därutöver kommer lagen att innehålla andra bestämmelser som behövs för att lagen ska fungera författningsmässigt, t.ex. bestämmelser om förhållande till annan lagstiftning och om tillämpningsområdet. I den inledande bestämmelsen ska också anges att det i lagen finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

För att behandling av personuppgifter i en forskningsdatabas ska kunna göras på ett lagligt sätt krävs en reglering som tydligt beskriver under vilka villkor det är tillåtet och vilka skyddsåtgärder som krävs (jämför avsnitt 8.2.3 om rättslig grund). Syftet med lagen är således att möjliggöra en sådan behandling.

Behandling av personuppgifter i en forskningsdatabas innebär ofta att stora mängder uppgifter om enskilda samlas in, bearbetas och används för forskningsändamål. Det är inte ovanligt att forskare kan ha behov av att behandla uppgifter som är närgångna för individen. Det kan t.ex. handla om uppgifter om politisk tillhörighet, sexuell läggning, relationer till andra m.m. För att nå ny kunskap om t.ex. sjukdomar och hur de bäst kan behandlas kan forskningen behöva uppgifter ur patientjournaler, hälsodataregister och kvalitetsregister. Det rör sig i sådana fall om uppgifter som är kategoriserade som känsliga enligt dataskyddsförordningen. Det kan också handla om forskningsprojekt där forskningen inriktar sig på att samla kunskap om olika brott m.m. I dessa fall måste forskaren behandla person- uppgifter om lagöverträdelser. Även denna kategori omfattas av särskilda regler i dataskyddsförordningen. Oavsett om det rör sig om sådana personuppgifter eller andra måste behandlingen utföras med respekt för de registrerades integritet. Syftet med forskningsdata- baslagen är att möjliggöra för forskningen ändamålsenlig behandling samtidigt som de registrerades integritet skyddas.

Forskningsdatautredningen anser att det är möjligt att skapa en långsiktig reglering av forskningsdatabaser som innehåller sådana krav på skyddsåtgärder att den enskildes integritet får ett gott skydd. Vi

251

Förslag till reglering av forskningsdatabaser

SOU 2018:36

menar att det inte är en fråga om antingen personlig integritet eller god tillgång till personuppgifter för forskningen, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en forskningsverksamhet av hög kvalitet. Det handlar därför enligt utredningens uppfattning om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att stimulera kunskapsutvecklingen, vilket också är ett krav från lagstiftaren. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i forskningen. Å andra sidan är det inte heller så att utredningen föreslår att forskning ska få företräde framför integritetsskyddet. I kap. 7 utvecklar vi vår inställning till integritets- frågorna ytterligare. Förslagen handlar om att öka förutsättningarna för forskning av hög kvalitet som kan bidra till nya kunskaper till nytta för individer och samhälle. För att detta ska vara möjligt är integri- tetsskydd givetvis en viktig beståndsdel.

Vi förslår därför att syftet med den nya lagen ska vara att möjlig- göra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades integritet skyddas vid denna behandling.

8.5Förhållande till annan lagstiftning

Vårt förslag: Lagen ska innehålla kompletterande bestämmelser till dataskyddsförordningen.

Om inte annat följer av forskningsdatabaslagen ska data- skyddslagen gälla.

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatabaslagen ska de bestämmelserna gälla.

Dataskyddsförordningen ska inte genomföras i svensk lagstiftning, utan ska i stället tillämpas direkt av enskilda, myndigheter och dom- stolar. När dataskyddsförordningen nu har börjat tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att finnas i dataskyddsförordningen.

Den omständigheten att den nya generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär således om-

252

SOU 2018:36

Förslag till reglering av forskningsdatabaser

fattande begränsningar av möjligheten att införa eller behålla natio- nella bestämmelser om dataskydd. Dataskyddsförordningen både förutsätter och medger emellertid nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler.

Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser finns samlade i den övergripande dataskydds- lagen.

Dataskyddsförordningen har emellertid delvis en direktivliknande karaktär och tillåter i vissa avseenden att förordningens regler speci- ficeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som utförs med stöd av artikel 6.1 c (rättslig för- pliktelse) och 6.1 e (uppgift av allmänt intresse och myndighets- utövning). Medlemsstaterna får närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 framgår att detta även gäller för behandlingen av känsliga personuppgifter.

Av artikel 6.3 framgår vidare att, vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmel- serna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamåls- begränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Detta innebär att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfattningarna, t.ex. studiestödsdatalagen (2009:287) och domstolsdatalagen (2015:728). Den lag som vi förslår kommer att utgöra en sådan sektorsspecifik särreglering.

Forskningsdatabaslagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

253

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Lagen innehåller de kompletterande bestämmelser som behövs för att en behandling av personuppgifter i forskningsdatabaser ska vara förenlig med dataskyddsförordningen.

Den föreslagna forskningsdatabaslagen måste således tillämpas i kombination med flera andra rättskällor. Det är dataskyddsförord- ningen som utgör den centrala regleringen på området. Därutöver finns det och kommer att finnas ytterligare tillämpliga författningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen har resulterat i att person- uppgiftslagen upphävts och att dataskyddslagen har införts.11

I enstaka fall kan bestämmelser i den lag som vi förslår komma att avvika från bestämmelser i dataskyddslagen. Om inte annat följer av den lag vi föreslår ska dataskyddslagen tillämpas.

Utöver den föreslagna forskningsdatabaslagen kommer det att finnas författningar med karaktären av registerförfattningar som innehåller bestämmelser som specifikt är inriktade på behandling av personuppgifter i en forskningsdatabas. Här kan t.ex. nämnas lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. I den mån en sådan registerförfattning innehåller avvikande bestämmelser, exem- pelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förut- sättas att dessa bestämmelser är utformade efter de konkreta förut- sättningarna för den specifika forskningsdatabasen. En sådan register- författning bör därför tillämpas framför forskningsdatabaslagen.

8.6Regleringens territoriella tillämpningsområde

Vårt förslag: Forskningsdatabaslagen ska tillämpas vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

Etikprövningslagens tillämpningsområde ska ändras så att detta, vad avser behandling av personuppgifter, överensstämmer med det som ska gälla för forskningsdatabaslagen. När det gäller

11Regeringens proposition Ny dataskyddslag (prop. 2017/18:105).

254

SOU 2018:36

Förslag till reglering av forskningsdatabaser

forskning som enbart avser olika fysiska ingrepp m.m. ska etik- prövningslagen alltjämt tillämpas på forskning som ska utföras i Sverige.

8.6.1Dataskyddslagstiftningens territoriella tillämpningsområde

Dataskyddsförordningen föreskriver att det fria flödet av person- uppgifter inom unionen varken ska begränsas eller förhindras av skäl som hör ihop med skyddet för fysiska personer med avseende på behandling av personuppgifter (artikel 1.3). Det anges därutöver i skäl 159 att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har formulerats i artikel 179.1 i fördraget om europeiska unionens funktionssätt.12

Dataskyddsförordningen är tillämplig på all behandling av person- uppgifter inom ramen för den verksamhet en personuppgiftsansvarig eller personuppgiftsbiträde har i unionen, oavsett om behandlingen äger rum inom unionen eller inte (artikel 3.1). Detta är den så kallade etableringslandsprincipen. Etableringslandsprincipen är utgångs- punkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3).

Etableringslandsprincipen är huvudregel även för dataskydds- lagens tillämpningsområde. Denna utgångspunkt har valts eftersom den harmonierar med regleringen i dataskyddsförordningen. Enligt 1 kap. 5 § första stycket dataskyddslagen gäller lagen vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Enligt samma stycke gäller lagen även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt gäller lagen, enligt huvudregeln, inte för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.

12Fördraget om europeiska unionens funktionssätt. Europeiska unionens officiella tidning C 326/47. 26.10.2012.

255

Förslag till reglering av forskningsdatabaser

SOU 2018:36

8.6.2Forskningsdatabaslagens territoriella tillämpningsområde

Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Detta gäller inte minst i forskningssammanhang. Det är till exempel inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad i landet. På motsvarande sätt kan företag och organisationer som är etablerade i Sverige behandla personuppgifter om individer i andra länder utan att vara etablerade där.

Det förekommer ofta samarbete mellan forskningshuvudmän i olika länder. Forskare önskar och behöver kunna använda forsk- ningsdata om forskningspersoner i andra länder. I forskningsprojekt behöver uppgifter om forskningspersoner i olika länder kunna utbytas och sammanställas. För att inte hindra att forskning bedrivs eller förhindra flödet av personuppgifter är det viktigt att forskare vet vilka bestämmelser de har att rätta sig efter. Utan reglering av det territo- riella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämpningsområdet i forsknings- databaslagen.

Etableringslandsprincipen är som vi konstaterade ovan utgångs- punkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3). Ett val av etableringslands- principen som huvudregel för forskningsdatabaslagens tillämpnings- område skulle således överensstämma med såväl regleringen i dataskyddsförordningen som i dataskyddslagen.

Mot denna bakgrund bedömer vi att etableringslandsprincipen bör gälla som utgångspunkt även för forskningsdatabaslagens territoriella tillämpningsområde. Lagen bör tillämpas vid behandling av person- uppgifter som utförs inom ramen för den verksamhet som bedrivs vid en personuppgiftsansvarigs verksamhetsställe i Sverige. Om forsk- ningsdatabasens verksamhet bedrivs inom ramen för den person- uppgiftsansvariges verksamhetsställe i Sverige kommer forsknings- databaslagen att gälla även om behandlingen av personuppgifter avser personer i ett annat land. Omvänt kommer lagen inte att gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige. Avgörande för om

256

SOU 2018:36

Förslag till reglering av forskningsdatabaser

forskningsdatabaslagen ska tillämpas blir således om personuppgif- terna behandlas inom ramen för en forskningsdatabas som drivs vid den personuppgiftsansvariges verksamhetsställe i Sverige, oavsett var själva personuppgiftsbehandlingen rent fysiskt äger rum.

När det gäller tillämpningsområdet för dataskyddslagen ska den enligt 1 kap. 5 § andra stycket, utöver vad som anges i första stycket, dessutom gälla vid behandling av personuppgifter som avser registre- rade som befinner sig i Sverige och som utförs av personuppgifts- ansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige, eller övervakning av registre- rades beteende i Sverige. Detta stadgande överensstämmer med vad som gäller för dataskyddsförordningens tillämpningsområde enligt artikel 3.2 a och b. Eftersom behandling av personuppgifter för forsk- ningsändamål inte har någon anknytning till utbjudande av varor eller tjänster eller övervakning av registrerades beteende bedömer vi att någon motsvarighet till bestämmelsen i dataskyddslagen i denna del inte behöver införas i forskningsdatabaslagen.

8.6.3Etikprövningslagens territoriella tillämpningsområde

Etikprövningslagen ska enligt gällande rätt tillämpas på forskning13 som ska utföras i Sverige (5 § etikprövningslagen). Regleringen i data- skyddsförordningen, i dataskyddslagen och i den ovan föreslagna bestämmelsen i forskningsdatabaslagen bygger på ett tillämpnings- område som är relaterat till var den personuppgiftsansvarige är etable- rad och till att behandling av personuppgifter utförs inom ramen för den verksamhet som denne bedriver, oberoende av var behandlingen faktiskt äger rum. Regleringen i etikprövningslagen utgår i stället från var forskningen som innefattar personuppgiftsbehandling utförs.

I de allra flesta fall skulle det föreslagna tillämpningsområdet för forskningsdatabaslagen innebära att regleringen i den lagen och etik- prövningslagen ändå är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som utförs inom ramen för en forskningsdatabas som drivs av en forskningshuvudman som har verksamhetsställe i Sverige rent faktiskt äger rum utanför

13Enligt vår bedömning är den tillämpliga rättsliga grunden för personuppgiftsbehandling i en forskningsdatabas att behandlingen är nödvändig för forskningsändamål, se avsnitt 8.2.3.

257

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Sverige. Etikprövningslagen skulle i sådana fall inte vara tillämplig. Det kan alltså uppstå situationer då lagarnas territoriella tillämpnings- område inte är helt förenliga.

Etikprövningslagen ska enligt 3 § tillämpas på forskning som inne- fattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser.14 Enligt 4 § ska dessutom forskning som inne- fattar olika fysiska ingrepp och studier på biologiskt material från människor etikprövas. I praktiken innefattar en övervägande del av ärendena en prövning av om behandlingen av personuppgifter görs på ett godtagbart sätt.

Vi föreslår att etikprövning av en forskningsdatabas ska vara ett grundläggande villkor för att forskningsdatabasen ska vara tillåten enligt forskningsdatabaslagen. Vi föreslår också att varje forsknings- projekt som ska bedrivas med hjälp av uppgifter i en forskningsdata- bas måste vara etikgodkänt.

Dataskyddsförordningen lämnar utrymme för medlemsstaterna att införa mer strikta regler för behandling av känsliga person- uppgifter, bland annat för hälsorelaterade syften. Om behandlingen av känsliga personuppgifter begränsas genom bestämmelser i nationell lagstiftning bör den inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behand- ling av sådana uppgifter (skäl 53).

Etikprövning utgör en sådan lagstadgad skyddsåtgärd som krävs vid behandling av känsliga personuppgifter enligt dataskyddsförord- ningen (artikel 9.2 j). Enligt 5 § etikprövningslagen är etikprövning dock endast möjlig för forskning som genomförs i Sverige. Inter- nationell forskning med stöd av forskningsdatabaser skulle med etik- prövningslagens nuvarande tillämpningsområde försvåras i de fall behandlingen behöver utföras utanför landets gränser. Denna bris- tande överensstämmelse mellan de olika lagarna skulle kunna utgöra ett hinder för den fria rörligheten av personuppgifter för forsknings- ändamål inom unionen. Enligt skäl 53 till dataskyddsförordningen bör nationella skyddsåtgärder inte hindra det fria flödet av personupp- gifter inom unionen, när de tillämpas på gränsöverskridande behand- ling av sådana uppgifter. Denna icke önskvärda konsekvens skulle ytterligare förstärkas om det, enligt vårt förslag (se avsnitt 8.11.2),

14Enligt förslag till ändring i etikprövningslagen i utkast till lagrådsremiss om personuppgifts- behandling för forskningsändamål, ska hänvisningen till personuppgiftslagen i 3 § bytas till en hänvisning till artikel 9.1. i dataskyddsförordningen, se Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

258

SOU 2018:36

Förslag till reglering av forskningsdatabaser

införs ett obligatoriskt etikprövningsförfarande vid uthämtandet av uppgifter från en forskningsdatabas.

Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvudmannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterligare överväganden behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle göras av forskning som ska utföras i Sverige.15

Mot bakgrund av att etikprövningslagen i så stor omfattning handlar om villkor för behandling av personuppgifter bedömer vi att tillämpningsområdet för denna lag bör utgå från samma princip som dataskyddslagstiftningen i övrigt. Vi anser således att huvudregeln bör vara att det är etableringsprincipen som ska ligga till grund för etik- prövningslagens tillämpningsområde. Det är möjligt att det åt- minstone i teorin kan förekomma enstaka forskningsprojekt som inte behandlar känsliga personuppgifter eller uppgifter om lagöver- trädelser och som därför enbart ska prövas med stöd av 4 § etikpröv- ningslagen. För sådana prövningar anser vi att det nuvarande tillämp- ningsområdet ska få finnas kvar.

Vi föreslår att etikprövningslagens bestämmelse om territoriellt tillämpningsområde ska ändras på så sätt att det enligt en huvudregel överensstämmer med forskningsdatabaslagens föreslagna tillämp- ningsområde. Etableringslandsprincipen ska gälla för de båda lagarna på samma sätt som för dataskyddslagstiftningen i övrigt.

Vårt förslag innebär att etikprövningslagen ska tillämpas på forsk- ningsdatabaser och forskning som ska utföras inom ramen för verk- samhet som bedrivs vid personuppgiftsansvarigas eller personuppgifts- biträdens verksamhetsställen i Sverige. När det gäller forskning som enbart avser olika fysiska ingrepp m.m. ska lagen tillämpas på forsk- ning som ska utföras i Sverige.

8.7Definitioner

Vårt förslag: I den föreslagna forskningsdatabaslagen ska det in- föras en definition av begreppet forskningsdatabas.

Med forskningsdatabas ska avses en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller

15Regeringens proposition Etikprövning av forskning (prop. 2002/03:50), s. 109.

259

Förslag till reglering av forskningsdatabaser

SOU 2018:36

från andra källor och som är en nationell resurs för att tillhanda- hålla uppgifter till flera olika forskningsprojekt.

Med forskningshuvudman ska avses detsamma som i etikpröv- ningslagen.

I etikprövningslagen ska med forskningsdatabas avses det- samma som i forskningsdatabaslagen.

Utredningen föreslår att det grundläggande begreppet forsknings- databas definieras i forskningsdatabaslagens inledning. I detta kapitel motiverar vi varför just detta begrepp bör ha en legaldefinition i den författning vi föreslår. Utöver detta ska anges att forskningsdata- baslagen använder samma definition av begreppet forskningshuvud- man som i etikprövningslagen. I kap. 3 finns en utförligare redovis- ning av de begrepp som är relevanta för vår utredning.

Vi föreslår också att etikprövningslagen ska använda samma definition av forskningsdatabaser som i forskningsdatabaslagen.

8.7.1Forskningsdatabas

Vi definierar forskningsdatabas som en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning. Motivet till denna definition, och skillnaden gentemot Registerforskningsutred- ningens, har behandlats i avsnitt 3.3.3. Eftersom detta begrepp utgör en avgränsning av forskningsdatabaslagens tillämpningsområde anser

viatt det finns skäl att ta in definitionen direkt i författningstexten. Denna definition kommer också att ha betydelse för tillämpningen

av etikprövningslagen. Vi föreslår därför att etikprövningslagen ska hänvisa till forskningsdatabaslagens definition av begreppet.

260

SOU 2018:36

Förslag till reglering av forskningsdatabaser

8.7.2Forskningshuvudman

Begreppet forskningshuvudman har behandlats i avsnitt 3.3.6. Efter- som vi föreslår att forskningshuvudmän under vissa förutsättningar ska få behandla personuppgifter i en forskningsdatabas är det nöd- vändigt att tydliggöra i författningstexten att begreppet definieras på samma sätt som i 2 § etikprövningslagen.

8.8Skapandet av en forskningsdatabas

8.8.1Behov av reglering i detta steg av livscykeln

Behovet av att skapa en forskningsdatabas hos en forskningshuvud- man kan uppkomma av flera olika orsaker. Den kan också upprättas från olika utgångspunkter. Vi kan börja med att föreställa oss att flera olika forskare hos en forskningshuvudman har behov av ungefär samma uppgifter om enskilda för olika forskningsprojekt. Forsk- ningshuvudmannen har också anledning att förvänta att det kommer att starta fler forskningsprojekt även utanför den egna verksamheten som kommer att ha användning av dessa uppgifter. I stället för att flera olika forskningsprojekt eller forskningsprogram (se avsnitt 3.3.7) ska begära ut samma uppgifter från en eller flera myndigheter, kan forsk- ningshuvudmannen finna att det vore bättre att upprätta en forsk- ningsdatabas. Forskningshuvudmannen har alltså identifierat behov av en uppgiftssamling med breda ändamål som servar flera forsk- ningsprojekt eller program. Det kan också vara så att det finns behov av att forska med hjälp av insamlade uppgifter över tid, dvs. longi- tudinellt.

Behovet av att skapa en forskningsdatabas kan också uppmärk- sammas i ett senare skede. En uppgiftssamling som nyttjas av ett forskningsprojekt eller ett forskningsprogram har blivit intressant för flera forskningsprojekt. Efter att ha hanterat flera olika förfrågningar om utlämnande av uppgifter, gör forskningshuvudmannen bedöm- ningen att det vore lämpligt att omvandla uppgiftssamlingen till en forskningsdatabas.

Forskningsdatautredningen anser att det är lämpligt att reglera vilka villkor som ska vara uppfyllda för att forskningshuvudmannen ska få skapa en forskningsdatabas i sin verksamhet. Det är också en

261

Förslag till reglering av forskningsdatabaser

SOU 2018:36

viktig säkerhetsåtgärd att reglera vilka forskningshuvudmän som ska få behandla personuppgifter i en forskningsdatabas.

I följande avsnitt redovisar utredningen de bestämmelser som vi anser är nödvändiga för att forskningsdatabaser ska skapas på ett säkert sätt.

8.8.2Ansvar för forskningsdatabasen

Vårt förslag: Statliga och kommunala myndigheter ska få vara personuppgiftsansvariga för behandling av personuppgifter i en forskningsdatabas liksom även juridiska personer och enskilda näringsidkare som bedriver högre utbildning och som har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL ska jämställas med myndig- heter.

Personuppgiftsansvaret

Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Motsvarande gäller enligt artikel 2 d i dataskydds- direktivet. Det är således, precis som enligt dataskyddsdirektivet, tillåtet även enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig. Om den personuppgifts- ansvarige finns angiven i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.16

16Socialdataskyddsutredningens betänkande Dataskydd inom Socialdepartementets verksam- hetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66), s. 214 ff. samt regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171), s. 191.

262

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Vilka som får vara personuppgiftsansvariga för personuppgiftsbehandling i en forskningsdatabas

Det är vanligt att det i registerförfattningar pekas ut vem som är personuppgiftsansvarig för den behandling som regleras i den sär- skilda lagstiftningen. Ur ett integritetsskyddsperspektiv är det lämp- ligt att i en registerförfattning precisera vem som är personuppgifts- ansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Det bör därför av forskningsdatabaslagen klart framgå att det är vissa i lagen bestämda forskningshuvudmän som får vara person- uppgiftsansvariga för personuppgiftsbehandling i forskningsdatabaser och som ansvarar för att det görs på ett ändamålsenligt och säkert sätt. I ett tidigare avsnitt, 8.2.3, har vi redogjort för vilken rättslig grund för behandling av personuppgifter som olika forskningshuvudmän kan finna stöd i.

En betydande del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forskningsuppgift inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. I vårt delbetänkande har vi skrivit mer om forskning hos olika offentliga aktörer.17

Flera av de landsting som svarade på remissen av Registerforsk- ningsutredningens betänkande uttryckte missnöje med att kommuner och landsting inte enligt det förslaget skulle få ansvara för forsk- ningsdatabaser. Remissinstanserna anförde bl.a. att förslaget förbisåg sjukvårdshuvudmännens roll och ansvar för den kliniska medicinska forskningen i relation till registerforskning. Landstingen är nämligen också forskningshuvudmän och verksamma inom registerforskning. Det framkom också av svaren att det i dag finns många forsknings- databaser inom landstingen och regionerna.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i

17SOU 2017:50 s. 134 ff.

263

Förslag till reglering av forskningsdatabaser

SOU 2018:36

enlighet med rättsordningen i Sverige och de kan då basera person- uppgiftsbehandling som är nödvändig för att utföra forsknings- uppgiften på den rättsliga grunden uppgift av allmänt intresse.

Universitet och högskolor bedriver forskning och har behov av att behandla personuppgifter i forskningsdatabaser. Samarbetet mellan forskare ökar i snabb takt och digitaliseringen har inneburit radikala förbättringar av forskares möjligheter att på distans koppla upp sig mot gemensamma resurser, bland annat i form av gemensamma forsk- ningsdatabaser (se kap. 4). Utredningen har vid samtliga besök på lärosäten fått del av exempel på uppbyggnad av forskningsdatabaser och erfarit krav på att dessa regleras på ett ändamålsenligt sätt. Veten- skapsrådet uppmuntrar vidare bildandet av samarbeten mellan forsk- ningshuvudmän i konsortier för att skapa nationellt och internationellt tillgängliga forskningsdatabaser. De flesta sådana institutioner är offentliga, men det finns också privata forskningshuvudmän.

Registerforskningsutredningen föreslog att enbart statliga univer- sitet och högskolor skulle få bygga upp forskningsdatabaser så länge som det inte finns någon reglerad tystnadsplikt för forskning som bedrivs av de privata lärosätena.18 Forskningsdatautredningen föreslår att sådana krav på en forskningshuvudman ska införas (se avsnitt 8.9.6) och att de privata lärosäten som har examensrätt i övrigt ska omfattas av samma skyddsregler för forskning som de offentliga.

De privata högskolorna, som bl.a. Chalmers tekniska högskola, Röda Korsets högskola och Stiftelsen Högskolan i Jönköping utför uppgifter i sin verksamhet som i allt väsentligt liknar den verksamhet som utförs vid de offentligt finansierade högskolorna. De privata högskolorna har, liksom de offentliga, tillstånd att examinera. Detta framgår av lagen (1993:792) om tillstånd att utfärda vissa examina. Av den lagen framgår det att utbildningen ska bedrivas så att den uppfyller kraven som ställs i högskolelagens första kapitel. I övrigt gäller inte högskolelagen för dessa aktörer. För varje examen som tillståndet gäller ska utbildningen dessutom uppfylla de särskilda krav som gäller enligt examensordningen som är en bilaga till högskole- förordningen. Av första kapitlet i högskolelagen framgår det att högskolorna ska verka för att utbildning och forskning håller god kvalitet samt att man ska verka för att de forskningsresultat som är tillkomna vid högskolan kommer till nytta.

18SOU 2014:45, s. 427 ff.

264

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Vidare gäller offentlighetsprincipen för många privata lärosäten, som t.ex. Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping samt, i begränsad omfattning, Handelshögskolan i Stockholm. Detta regleras i en bilaga till OSL. Där finns reglerat vilka övriga juridiska personer – s.k. jämställda organ – som omfattas av offentlighetsprincipen. Dessa kan vara statliga aktiebolag, ekono- miska föreningar eller stiftelser, men även andra privaträttsliga organ än statliga företag. Förekommer organet i bilagan till OSL innebär detta enligt 2 kap. 4 § OSL att organet måste tillämpa offentlighets- principen och i sådana fall bara i den verksamhet som anges i bilagan. Utöver att de organ som är uppräknade i bilagan omfattas av offentlig- hetsprincipen omfattas de även av reglerna för statliga myndigheters arkiv enligt arkivlagen (1990:782). Vi anser att forskningshuvudmän som ska ansvara för forskningsdatabaser ska vara likställda på så sätt att de omfattas av samma regler om bevarande av allmänna handlingar och sekretess.

För de studenter och forskare som är verksamma vid en högskola är det i praktiken ingen formell skillnad mellan att vara verksam vid en offentlig eller privat finansierad högskola. Vår bedömning är därför att såväl offentliga som privata högskolor utför uppgifter av allmänt intresse. Vi bedömer att det inte finns några skäl att göra skillnad mellan offentliga lärosäten och privata sådana som har examensrätt och som enligt OSL jämställs med myndigheter. Vi anser att såväl offentliga som vissa privata lärosäten ska få vara personuppgifts- ansvariga för behandling av personuppgiftsbehandling i forsknings- databaser.

Inom staten utförs forskning främst vid universitet och högskolor, men även hos vissa andra myndigheter. Behov av att bygga upp forskningsdatabaser kan uppkomma även hos sådana myndigheter samt hos kommunala myndigheter (kommuner och landsting). Kom- munala myndigheter som är vårdgivare bedriver omfattande forsk- ning. Vi anser att myndigheter som har i uppdrag att bedriva forskning också ska få ansvara för forskningsdatabaser.

Vi föreslår därför att såväl de statliga högskolorna och universi- teten som omfattas av högskolelagen som de privata lärosätens som omfattas av offentlighetsprincipen samt har examensrätt ska få behandla personuppgifter i forskningsdatabaser. Även andra myndig- heter än sådana som bedriver undervisning ska få ansvara för forsk- ningsdatabaser, om forskning ingår i deras uppdrag.

265

Förslag till reglering av forskningsdatabaser

SOU 2018:36

8.8.3De övergripande ändamålen med en forskningsdatabas

Vårt förslag: I en forskningsdatabas ska personuppgifter få behandlas för ändamålet att skapa underlag för olika forsknings- projekt och för att lämna ut uppgifter till flera olika forsknings- projekt inom ett angivet forskningsområde.

Vi anser att det i forskningsdatabaslagen ska finnas bestämmelser som beskriver de övergripande ändamålen för vilka behandling av personuppgifter i en sådan databas ska vara tillåten. Dessa ändamål är relativt breda. Varje enskild forskningsdatabas ska sedan ha särskilt angivna ändamål (se avsnitt 8.8.4).

Forskningshuvudmannens övergripande syfte med forsknings- databasen ska vara att skapa en uppgiftssamling som kan användas som underlag för olika forskningsprojekt. Syftet med behandlingen ska inte vara att skapa underlag för ett visst, redan definierat projekt utan att samla in uppgifter som kan utgöra underlag för olika framtida forskningsprojekt. I definitionen av en forskningsdatabas anges att uppgiftssamlingen ska vara en nationell resurs. En databas som endast är tillgänglig för en begränsad krets användare utgör således inte en forskningsdatabas enligt vår definition.

Med begreppet ”skapa underlag” avses olika former av behand- lingar som krävs för att föra en välfungerande databas, såsom insamling, registrering, bevarande och uppdatering av person- uppgifter.

Det andra syftet med forskningsdatabasen ska vara att lämna ut uppgifter till flera olika forskningsprojekt. Utlämnande till forskning får bara göras under förutsättning att projektet godkänts enligt 6 § etikprövningslagen. Detta villkor ska också framgå av lagen (se avsnitt 8.8.6). Godkännande krävs oavsett vilken typ av person- uppgifter som ska behandlas, det vill säga även om behandlingen inte omfattar känsliga personuppgifter eller uppgift om lagöverträdelser med mera.

Uppgifter i en forskningsdatabas ska få lämnas ut både till forsk- ningsprojekt som drivs av en statlig myndighet och till forsknings- projekt hos en privat forskningshuvudman.

Vi föreslår dessutom att personuppgifter i en forskningsdatabas också ska få användas för utlämnande till en utredning av oredlighet i

266

SOU 2018:36

Förslag till reglering av forskningsdatabaser

forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning (se avsnitt 8.11.2).

8.8.4Grundläggande villkor för skapandet av en forskningsdatabas

Vårt förslag: En forskningshuvudman ska i ett beslut om att skapa en forskningsdatabas fastställa vilka uppgifter som ska behandlas i forskningsdatabasen och för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.

Personuppgifter får behandlas i en forskningsdatabas under förutsättning att

1.den har godkänts enligt lagen om etikprövning av forskning som avser människor, och

2.forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas, begränsningar av de uppgifter som en databas får innehålla, och om begränsningar av behandling av uppgifter i en forskningsdatabas.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om finansieringen av en forskningsdatabas.

Beslut om skapandet av forskningsdatabasen och om vilka uppgifter som ska behandlas och för vilka särskilda ändamål

Ett nytt krav i dataskyddsförordningen är att den personuppgifts- ansvarige ska ansvara för och kunna visa att den följer förordningens principer för behandling av personuppgifter. Det nya kravet omtalas ibland i termer av en ny princip, vilken då kallas för principen om ansvarsskyldighet.

Vårt förslag till reglering av forskningsdatabaser utgår från den principen. Det är den personuppgiftsansvarige som ska ansvara för att behandlingen av personuppgifter är laglig och korrekt. Det innebär att forskningshuvudmannen måste ta ansvar för sin behandling av personuppgifter i en forskningsdatabas och förvissa sig om att det

267

Förslag till reglering av forskningsdatabaser

SOU 2018:36

görs på ett korrekt sätt. Forskningshuvudmannen ska därför enligt vårt förslag manifestera sitt ansvarstagande genom att fatta ett beslut om att skapa en forskningsdatabas.

En forskningshuvudman som enligt vårt förslag är berättigad till att behandla personuppgifter i en forskningsdatabas måste ha god kontroll över den behandlingen. God kontroll är en förutsättning för att kunna ta ansvar för forskningsdatabasen och personuppgifts- behandlingen. Vi anser därför att forskningshuvudmannen ska fatta ett uttryckligt beslut om att en viss forskningsdatabas ska inrättas.

I beslutet ska forskningshuvudmannen fastställa vilka uppgifter som ska behandlas i forskningsdatabasen och för vilka ändamål dessa uppgifter är nödvändiga att behandla.

Vi anser att det är lämpligt att även annan grundläggande infor- mation om databasen går att utläsa av beslutet. Beslutet bör bifogas ansökan om etikprövning av forskningsdatabasen. Det utgör ett viktigt underlag för prövningen. Detta är ett dokument som också kan vara betydelsefullt för tillsynsmyndigheterna och Vetenskapsrådet.

Innan forskningshuvudmannen börjar samla in uppgifter till en forskningsdatabas eller omvandlar en existerande uppgiftssamling till en forskningsdatabas, måste huvudmannen således kunna precisera ändamålet och vilka uppgifter som ska samlas in något mer än vad som framgår av det övergripande ändamålet för forskningsdatabaser; att skapa underlag för olika forskningsprojekt. Det kan t.ex. handla om att precisera vilka typer av forskningsprojekt som forskningsdata- basen ska kunna utgöra underlag till, vilka forskningsfrågor som ska besvaras, inom vilka forskningsområden projekten ska genomföras och vilken typ av uppgifter som ska samlas in till en viss närmare angiven typ av forskning.

Även om ändamålet för en forskningsdatabas måste vara preciserat och alltså inte utgöras av ett generellt ändamål såsom ”stöd till framtida forskning” bör det ändå kunna vara relativt brett. Det bör kunna utformas på motsvarande sätt som i LifeGene-lagen: ”...att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt.”19 Ändamålet kan också avgränsas till en sjukdom eller en sjukdomsgrupp. Ett exempel på detta är PCBaseSweden, vars ändamål beskrivs vara en databas för klinisk epidemiologisk forskning om prostatacancer baserad på länkningar

191§ LifeGene-lagen.

268

SOU 2018:36

Förslag till reglering av forskningsdatabaser

mellan nationella prostatacancerregistret och andra nationella register.20 Den demografiska databasen (DDB) vid Umeå universitet har en bred uppgift. Enligt dess fortfarande gällande förordning är den ”att registrera och bearbeta huvudsakligen demografiska och historiska data för forsknings-, utbildnings- och arkivändamål samt att göra dessa data tillgängliga för forskare.” DDB ska dessutom enligt förordningen verka för vetenskapligt samarbete och metod- utveckling.21

En forskningsdatabas ska kunna innehålla uppgifter som samlas in direkt från enskilda, uppgifter från olika myndighetsregister och från andra källor, t.ex. privata forskningshuvudmän.

De grundläggande ändamålen med registret ska således vara dels att skapa underlag för olika tänkbara framtida forskningsprojekt (t.ex. om uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt), dels att lämna ut uppgifter till sådan forsk- ning under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen.

Vi förslår att forskningshuvudmannen sedan ska precisera de grundläggande ändamålen genom att bestämma vilka uppgifter som ska få behandlas och de närmare ändamålen för behandling av person- uppgifter i den forskningsdatabas som ska upprättas. I detta samman- hang måste forskningshuvudmannen se till att samtliga de grund- läggande principerna som framgår av artikel 5 i dataskyddsförord- ningen kan uppfyllas. Utöver kraven på ändamålsbegränsning i artikel 5.1 b (att uppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål) är även principen om uppgifts- minimering i artikel 5.1 c av central betydelse. Av dess krav på att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas följer att det angivna särskilda ändamålet blir styrande för vilka uppgifter som får samlas in i forskningsdatabasen.

20Hagel E, Garmo H, Bikll-Axelson A, Bratt O, Johansson JE, Adolfsson J, Lambe M, Stattin P. PCBase Sweden: a register based resource for prostate cancer research. Scan J Urolo Nephrol 2009; 43(5), s. 342–349.

212 § Förordning om demografiska databasen vid universitetet i Umeå 1990-05-03 (UHÄ-FS 1990:8).

269

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Forskningsdatabasen ska etikprövas

Ytterligare ett grundläggande villkor för att personuppgiftsbehand- ling i en forskningsdatabas ska vara tillåten ska vara att forsknings- databasen är etikgodkänd. Kravet på ett externt godkännande av forskningsdatabasen utgör en nödvändig skyddsåtgärd i vårt förslag till en långsiktig reglering av forskningsdatabaser. I följande två avsnitt (8.8.5 och 8.8.6) presenterar vi detta förslag ytterligare.

Finansieringen ska vara säkerställd

Det ska också vara ett villkor att forskningshuvudmannen har säker- ställt finansieringen av forskningsdatabasen. Ändamålet med en databas är att skapa underlag för olika framtida forskningsprojekt och att lämna ut uppgifter till forskningsprojekt. För att uppfylla sitt syfte måste forskningsdatabasen bevaras under en längre tid för att möjlig- göra longitudinella studier eller jämförande studier över tid.

För att garantera långsiktighet och kvalitet i verksamheten bör finansieringen av forskningsdatabasen därför vara säkerställd under så lång tid att ändamålet med forskningsdatabasen kan uppfyllas. För att forskningsdatabasen verkligen ska bli till nytta för sitt ändamål måste den som ansvarar för databasen bl.a. ha kompetens och tillräckliga resurser för att behandla förfrågningar om uttag ur forskningsdata- basen inom rimlig tid.

Enligt utredningen är även en tryggad finansiering en viktig säkerhetsåtgärd. Finansieringen ska kunna säkerställa att forsknings- huvudmannen över tid har tillräckliga resurser för den organisation och de säkerhetsåtgärder som krävs för en laglig, ändamålsenlig och säker behandling av personuppgifter. Det är viktigt att det finns tillräcklig finansiering också för avveckling av en forskningsdatabas.

Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om finansieringen. Det kan t.ex. handla om att bestämma för hur lång tid finansieringen av en forskningsdatabas måste vara säkerställd.

270

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Sammanfattning

För att forskningshuvudmannen ska få skapa en forskningsdatabas, ska alltså följande villkor vara uppfyllda.

•Forskningshuvudmannen har fastställt vilka uppgifter som får behandlas i forskningsdatabasen.

•Forskningshuvudmannen har fastställt för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.

•Forskningsdatabasen ska vara godkänd enligt etikprövningslagen.

•Forskningshuvudmannen har säkerställt finansieringen av forsk- ningsdatabasen.

Vi föreslår också att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om

•begränsning av de ändamål för vilka uppgifter får behandlas i en databas,

•begränsningar av de uppgifter som en forskningsdatabas får innehålla,

•begränsningar av behandling av uppgifter i en forskningsdatabas, och

•finansieringen av en forskningsdatabas.

8.8.5En forskningsdatabas ska etikprövas

Vårt förslag: Tillämpningsområdet för etikprövningslagen ska ändras så att det också omfattar sådan forskning som innefattar behandling av personuppgifter i en forskningsdatabas. Ett god- kännande av Etikprövningsmyndigheten ska få avse en forsknings- databas.22

Vid etikprövning av en forskningsdatabas bör Etikprövnings- myndigheten besluta inom 120 dagar.

En ny ansökningsavgift föreslås för ansökningar om etikpröv- ning av forskningsdatabaser.

22Vi föreslår att våra författningsändringar träder i kraft den 1 juli 2019. Vi hänvisar därför genomgående i våra förslag till den nya organisation med en etikprövningsmyndighet som har beslutats träda i kraft den 1 januari 2019 (se avsnitt 5.4.1) i stället för till nu gällande regionala etikprövningsnämnder.

271

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Inledning

Vi anser att en uppgiftssamling som är en nationell resurs och som ska användas som underlag för flera olika framtida forskningsprojekt måste vara kringgärdad av skyddsåtgärder. Vi föreslår genom vår reglering ett flertal villkor för och krav på skyddsåtgärder för att få skapa och driva en forskningsdatabas. En ytterligare säkerhetsåtgärd är att kräva någon form av externt godkännande av forskningsdata- basen.

Etikprövning av forskningsprojekt är en etablerad skyddsåtgärd. I delbetänkandet redovisade vi som vår bedömning att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig och sär- skild åtgärd som krävs vid behandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen.

Vi gjorde även bedömningen att etikprövning enligt etikpröv- ningslagen utgör en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser m.m. enligt artikel 10 i dataskyddsförordningen.23

Etikprövning av forskningsdatabaser

Eftersom det redan finns en välfungerande mekanism för att god- känna forskning anser vi att det är lämpligt att utvidga denna möjlig- het till prövning till att också omfatta en forskningsdatabas i sig.

Möjligheten att utvidga etikprövningslagens tillämpningsområde på detta sätt övervägdes också av Registerforskningsutredningen.24 Mot bakgrund av det förslag till reglering som föreslogs ansåg utredaren dock att det inte var en lämplig lösning:

Den beredning som VR förutsätts göra och den prövning som sedan regeringen gör inför en ny databasförordning kan förutsättas innehålla etiska överväganden av det slag som utförs av en etikprövningsnämnd. Regeringen har i denna process möjlighet att inhämta åsikter från till exempel Centrala etikprövningsnämnden, SCB och Datainspektionen för att på detta sätt belysa förslagets etiska aspekter. Jag menar därför att etikprövningsnämndens tillämpningsområde inte bör utvidgas till att omfatta även skapandet av forskningsdatabaser.

23SOU 2017:50, s. 332 ff.

24SOU 2014:45, s. 424 ff.

272

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Registerforskningsutredningen föreslog en lösning med en centrali- serad beslutsprocess avseende inrättande av forskningsdatabaser. Vetenskapsrådet skulle förslå för regeringen vilka forskningsdatabaser som skulle få bildas och sedan skulle regeringen fatta beslut. Det framstår som om utredaren ansåg att den prövning som den centra- liserade lösningen innebär motsvarar en etikprövning.

Vi föreslår till skillnad från Registerforskningsutredningen en decentraliserad beslutsprocess, där varje enskild forskningshuvudman beslutar om att inrätta en forskningsdatabas i den egna verksamheten. Vi bedömer därför att en centraliserad, utomstående bedömning i form av etikprövning av forskningsdatabasen i sig är en lämplig skyddsåtgärd.

Vårt förslag till reglering av forskningsdatabaser innebär att etik- prövningslagen måste få ett vidare tillämpningsområde och ett antal nya bestämmelser. Etikprövning ska omfatta såväl själva forsknings- databasen, som all forskning som ska utföras med hjälp av person- uppgifter i den. För att forskningsdatabasen ska få lämna ut uppgifter till forskning, ska forskningsprojekten vara godkända genom etik- prövning. Se vidare om utlämnande för forskning i avsnitt 8.11.2.

I delbetänkandet lämnade vi ett författningsförslag avseende 3 § etikprövningslagen för att anpassa lagen till dataskyddsförordningen. När det gäller dessa anpassningar hänvisar vi till våra överväganden i delbetänkandet.25 Vi föreslår nu att lagens tillämpningsområde ut- vidgas. Lagen ska tillämpas även på forskning som innefattar behand- ling av personuppgifter i en forskningsdatabas och på forskning som använder personuppgifter som samlas in från en forskningsdatabas. Detta ska framgå av 3 § etikprövningslagen.26

25SOU 2017:50 s. 346 ff.

26I vårt författningsförslag i detta betänkande, avsnitt 1.3, återfinns den lydelse av 3 § första och andra punkterna etikprövningslagen som vi föreslog i SOU 2017:50.

273

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Ansökningsavgifter och Etikprövningsmyndighetens beslut

Avgifterna för etikprövningsärenden sätts av regeringen.27 Dessa avgifter ska beräknas så att full kostnadstäckning för prövningen uppnås.28 I praktiken uppnås inte detta i dag,29 utan nämndernas kostnad per ärende överstiger den schabloniserade avgiften (normalt 5 000 kronor) med mellan 20 och 85 procent. För ändringsärenden enligt 4 § etikprövningslagen överstiger nämndernas faktiska kostnader den schabloniserade avgiften (2 000 kronor) med mellan 85 till 183 procent.30 Frågan om avgifter för etikprövningsärenden har utretts i samband med utredande av en ny organisation för etikprövning (där en avgiftshöjning till 8 000 kronor för annan forskning än klinisk läkemedelsprövning föreslås, samt en höjning till 3 000 kronor för ändringsärenden)31. För just ärenden som rör klinisk läkemedels- prövning har föreslagits ett nytt förfarande, där kostnaden för den del av ansökningsavgiften för tillstånd att utföra klinisk läkemedels- prövning som avser etisk granskning bör vara 21 000 kronor.32 Vi utgår dock i vår bedömning från de avgifter som gäller i dag.

Vi gör bedömningen att ett ärende om etikprövning av forsknings- databaser i genomsnitt kommer att vara mer resurskrävande än andra etikprövningar, men att det är svårt att säga exakt hur mycket mer resurskrävande. Vi gör ett schablonartat antagande att den nya typen av prövning kommer kunna vara dubbelt så resurskrävande som en vanlig prövning. Ett genomsnittligt ärende har i dag en kostnad på cirka 7 500 kronor. En rimlig avgift för ansökan om forskningsdatabas skulle därför inledningsvis kunna sättas till 15 000 kronor. Vi föreslår att en sådan bestämmelse tas in i bilaga 2 till etikprövningsförord- ningen.

Mot bakgrund av att ett ärende om etikprövning av en forsknings- databas kommer att vara mer resurskrävande behöver även tiden inom vilken Etikprövningsmyndigheten ska ta ställning till etikprövningen

27Bilaga 2 förordningen (2003:615) om etikprövning av forskning som avser människor (etik- prövningsförordningen).

28Regleringsbrev för budgetåret 2018 avseende regionala Etikprövningsnämnder, U2017/05023/BS (delvis), U2017/05089/F, s. 9.

29Riksrevisionens årliga rapport 2017, s. 22.

30Årsredovisningar 2016 för de regionala etikprövningsnämnderna i Göteborg, Linköping, Lund, Stockholm, Umeå och Uppsala, tillgängliga via https://www.epn.se/start/

31Departementsserien En ny organisation för etikprövning av forskning (Ds 2016:46), s. 116 f.

32Departementsserien Etisk granskning av klinisk läkemedelsprövning (Ds 2016:12), s. 86 ff.

274

SOU 2018:36

Förslag till reglering av forskningsdatabaser

utökas. Enligt förordningen om (2003:615) om etikprövning av forsk- ning som avser människor bör en regional etikprövningsnämnds33 beslut om etikprövning av forskning göras inom 60 dagar. Med hänsyn till att etikprövning av forskningsdatabaser bedöms vara mer tidskrävande än andra etikprövningar föreslår vi ett tillägg till bestäm- melsen med innebörden att beslut om etikprövning av en forsknings- databas ska göras inom 120 dagar.

Sammanfattning

Genom dessa grundläggande krav på behandlingen anser utredningen att stommen för en ansvarsfull och säker behandling av person- uppgifter i en forskningsdatabas är lagd. Därutöver måste fler skydds- åtgärder regleras. Vi beskriver dessa krav i det följande.

8.8.6Etikprövningen av en forskningsdatabas

Vårt förslag: En forskningsdatabas ska bara få godkännas om behandlingen av personuppgifter i forskningsdatabasen kan ut- föras med respekt för människovärdet

Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Männi- skors välfärd ska ges företräde framför samhällets och veten- skapens behov.

En forskningsdatabas ska få godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde.

Forskningsdatabasen får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet.

Behandling av personuppgifter som avses får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

Forskningsdatabasen får bara godkännas om forskningsdata- basen uppfyller villkoren för skapandet av en forskningsdatabas

33Ändringar med hänsyn till den nya organisationen har ännu inte gjorts i förordningen.

275

Förslag till reglering av forskningsdatabaser

SOU 2018:36

och de krav på organisatoriska åtgärder som ställs i 3 och 4 kap. lagen om forskningsdatabaser.

Inledning

Forskning som är viktig för samhället och för människors välfärd bedrivs ofta med enskilda individer som försökspersoner eller genom att människor på annat sätt ingår i forskningen. I samband med sådan forskning uppkommer ofta olika etiska frågeställningar som berör ett allmänt intresse av att skydda de enskilda individerna, men också av att skydda människovärdet i stort.

De deltagande försökspersonerna behöver skyddas från risker att skadas fysiskt, psykiskt eller integritetsmässigt i samband med forskning. Integritetsaspekterna i samband med forskning har, i takt med det moderna samhällets utveckling, allt mer kommit att koncen- treras till hanteringen av den information som samlas in och som utgör underlag för forskningen.

I 7–11 §§ nu gällande etikprövningslagen anges de allmänna utgångspunkter som gäller vid etikprövningen. Bestämmelserna har sin bakgrund i artikel 16 i Europarådets konvention om mänskliga rättigheter och biomedicin. Syftet med bestämmelserna är att skydda både människovärdet i stort och den enskilde forskningspersonens välbefinnande.34

En prövning från etiska utgångspunkter måste bygga på en hel- hetsbedömning av den forskning som en viss ansökan avser. Vid prövningen beaktas bland annat den aktuella forskningens frågeställ- ningar, syfte, vetenskapliga värde, utförande, risker för forsknings- personer eller för synen på människovärdet, tilltänkta kontakter med forskningspersoner samt forskningsledningens och de deltagande forskarnas kompetens.35

34Prop. 2002/03:50 s. 196.

35Utredningens om översyn av etikprövningen betänkande Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104), s. 68 ff.

276

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Respekt för människovärdet

Skyddet för de personer som deltar i forskning är således av central betydelse när formerna för etikprövning ska regleras. Denna omsorg om den enskilde uttrycks på det sättet att vid etikprövningen får forskning godkännas bara om den bedrivs med respekt för människo- värdet. Vi bedömer att detta villkor kan tillämpas även när forsk- ningen ska utföras i en forskningsdatabas. En forskningsdatabas ska alltså bara få godkännas om behandlingen av personuppgifter i forsk- ningsdatabasen kan utföras med respekt för människovärdet.

Mänskliga rättigheter och forskning

Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.

Bestämmelserna innebär att välfärden för de människor som deltar i eller på annat sätt ingår i forskning ska gå före samhällets och veten- skapens intressen. De medför också enligt förarbetena att man vid etikprövningen bör se längre än till de direkta riskerna för de med- verkande. I förarbetena konstateras att lagens krav både kan tala för och emot forskningen, eftersom människans välfärd i stort ofta gynnas av att forskningen kommer till stånd. Det framhålls också att det från samhällelig synpunkt är mycket viktigt att det skapas möjlig- het att genom forskning utveckla ny kunskap.36

Vi bedömer att detta krav för godkännande utan materiella förändringar också ska tillämpas i samband med etikprövning av en forskningsdatabas.

Avvägning mellan risk och vetenskapligt värde

Av avvägningsregeln (9 § etikprövningslagen) följer att forskning får godkännas endast om de risker som den kan medföra för forsk- ningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Enligt förarbetena ligger det i sakens natur att riskerna i normalfallet måste vara begränsade och att sökanden

36Prop. 2002/03:50 s. 98.

277

Förslag till reglering av forskningsdatabaser

SOU 2018:36

måste visa att värdet av forskningen verkligen är så högt att det väger tyngre än intresset av att forskningspersonerna skyddas mot risker.37 Avvägningen ska göras i två steg. Först ska en bedömning av forskningens vetenskapliga bärkraft göras. Forskningen ska kunna generera kunskap som är väl underbyggd. Vid avvägningen ska också beaktas om de metoder som används ger tillförlitliga svar på forsk- ningens frågeställningar eller det problem eller förhållande som forskaren vill belysa. Som allmänt krav på forskning där människor ska ingå bör gälla att forskningen ska kunna innebära teoretisk eller

praktisk nytta för samhället och mänskligheten i stort.

Efter bedömningen av forskningens vetenskapliga bärkraft ska en avvägning göras mellan riskerna för skada eller obehag och det väntade värdet av den kunskap forskningen sannolikt kan ge. Vid denna så kallade risk-värdebedömning får riskerna inte stå i bristande proportion till forskningens potentiella allmängiltiga värde.

Risk- och värdebedömningen är enligt förarbetena ett av de mest centrala inslagen i etikprövningen. Avsaknaden av denna princip skulle teoretiskt kunna innebära att om bara det vetenskapliga värdet av viss forskning bedöms vara tillräckligt stort kan allvarliga skador på deltagande människor accepteras. Forskning kan leda till banbrytande upptäckter, men detta bör inte få genomföras på bekostnad av t.ex. bestående skador hos deltagande människor, i vart fall inte om skadorna kunnat förutses. Det bör därför finnas en grundnorm med innebörden att forskning får godkännas bara om den kan genomföras med respekt för människovärdet och om de risker för deltagarnas hälsa, säkerhet och personliga integritet som är förenade med forsk- ningen uppvägs av dess vetenskapliga värde.38

Vi bedömer att denna avvägning också bör utgöra ett villkor för godkännande när forskningen utförs i en forskningsdatabas. När det gäller forskningsdatabaser kommer det i första hand handla om att vid prövningen bedöma riskerna för den personliga integriteten.

37Prop. 2002/03:50 s. 98, 99 och 196.

38Prop. 2002/03:50 s. 99.

278

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Bedömning av det vetenskapliga värdet av en forskningsdatabas

Vid bedömning av det vetenskapliga värdet av den uppgiftssamling som en forskningsdatabas utgör kan ledning t.ex. hämtas från de kriterier som Vetenskapsrådet ställer vid utlysning av bidrag till databaser.39 Eftersom godkännande av forskningsdatabaser innebär en ny uppgift i samband med etikprövning kan Etikprövningsmyndig- heten behöva anpassa sin kompetens till detta område, t.ex. genom att anlita externa experter för den vetenskapliga bedömningen av forsk- ningsdatabasen.

Med utgångspunkt från de krav som Vetenskapsrådet ställer i samband med utlysning av bidrag, kan den vetenskapliga värderingen av en forskningsdatabas exempelvis göras utifrån följande kriterier.

•Forskningsdatabasens nationella eller internationella (alternativt allmänna) intresse.

•Forskningsdatabasens vetenskapliga mål.

•Forskningsdatabasens utvecklingsplan.

•Den aktuella och framtida forskning som möjliggörs eller avsevärt underlättas genom forskningsdatabasen.

•Befintliga och förväntade framtida användargrupper.

För att utgöra en forskningsdatabas i lagens mening måste databasen utgöra en nationell resurs. Vetenskapsrådets har återkommande inventeringar av vilka områden som anses ha tydliga behov av nya forskningsinfrastrukturer.40 Vid bedömningen av vilka forsknings- infrastrukturer som ska stödjas tar Vetenskapsrådet hänsyn till om resursen kommer att vara tillgänglig för alla forskare som är verk- samma inom området. Vi gör bedömningen att den nationella till- gängligheten även är ett viktigt kriterium att använda vid bedöm- ningen det vetenskapliga värdet av en forskningsdatabas.

Vi bedömer att avvägningsregeln i etikprövningslagen kan tilläm- pas även på forskning i form av forskningsdatabaser.

39Vetenskapsrådets utlysning av bidrag till drift av databaser inom samhällsvetenskap och medicin 2015.

40Se Bilaga till Vetenskapsrådets guide till infrastrukturen, Vetenskapsrådet 2016.

279

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Bedömning av risker för den personliga integriteten

Den materiella prövningen av riskerna för forskningspersonernas personliga integritet har tidigare bedömts inte böra detaljstyras i lagform, eftersom forskning bedrivs på så många olika sätt, och att forskningsmetoder och andra förhållanden av betydelse ständigt utvecklas och förändras.41

Vi gör bedömningen att inte heller när det är fråga om forsknings- databaser så bör kriterier för denna bedömning regleras. I stället bör mer generella normer på dataskyddsområdet beaktas. Några aspekter som allmänt bör ingå i Etikprövningsmyndighetens bedömning av riskerna för den personliga integriteten är mängden uppgifter som ska behandlas om varje enskild forskningsperson, känsligheten av upp- gifterna isolerat och sammantaget, antalet forskningspersoner som totalt ingår i databasen, huruvida pseudonymisering kan användas i databasen och vilka källor som uppgifterna kommer ifrån.

Bedömning av om det finns alternativa metoder

Forskning får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet (10 § etikprövningslagen). Forskningen bör således bara få genomföras om det inte finns några alternativa likvärdiga metoder som inte innefattar försök på männi- skor eller om det kan utföras annan forskning som visserligen inne- fattar risker för människor men som innebär mindre risker än i det projekt som ansökan avser.42

Behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser m.m. får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket etikprövnings- lagen).

Dessa befintliga villkor för etikgodkännande av forskning överens- stämmer vad gäller behandling av personuppgifter de generella krav som finns i dataskyddslagstiftningen. Vi gör bedömningen att dessa villkor också måste vara uppfyllda för att en forskningsdatabas ska

41Prop. 2002/03:50 s. 101.

42Prop. 2002/03:50 s. 100.

280

SOU 2018:36

Förslag till reglering av forskningsdatabaser

kunna godkännas. Vi bedömer att denna bestämmelse i etikpröv- ningslagen kan tillämpas även på forskning i form av forskningsdata- baser.

Grundläggande villkor och krav på organisatoriska åtgärder

Forskning får enligt nu gällande etikprövningslag godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (11 § etikprövningslagen). Med detta krav avses för svenska förhållanden en forskare med doktors- examen eller en motsvarande utländsk examen. Forskaren förutsätts då ha lärt sig självständigt arbete och själv tillämpat vedertagna veten- skapliga undersökningsmetoder. Det bör enligt förarbetena inte ställas upp något generellt krav på viss examen eller kompetens. I stället får kompetensen ställas i relation till den forskning som är aktuell i ett visst fall och de etiska frågeställningar som den kan antas ge upphov till. Krav bör kunna ställas på att forskaren i fråga behärskar aktuella vetenskapliga metoder och i övrigt har visat sig lämpad att hantera ett sådant ansvar. Forskaren ska också ha erfarenhet av att ta ställning till forskningsetiska problem.43

Detta krav på forskare med behövlig vetenskaplig kompetens bör enligt vår mening gälla även för forskning i form av forsknings- databaser. Det torde oftast vara fråga om en forskare som i en överinseende roll kan bedöma det vetenskapliga värdet av databasen som sådan, vilket kan antas ge upphov till frågeställningar om bl.a. metodik vid registerbaserad forskning. Om verksamhetschefen för en forskningsdatabas (se avsnitt 8.10.2) inte besitter denna kompetens, så får forskningshuvudmannen se till att det finns någon annan som har den kompetens som krävs för uppgiften och som kan bistå verk- samhetschefen med att utöva den vetenskapliga kontrollen av forsk- ningsdatabasen.

Utöver detta krav anser vi även att det i etikprövningslagen ska finnas uttryckliga krav på forskningsdatabasen som ska kontrolleras i samband med etikprövningen. Den skyddsåtgärd som etikprövningen i sig innebär fråntar på intet sätt forskningshuvudmannen från dennes ansvar att bedriva verksamheten vid en forskningsdatabas så att den

43Prop. 2002/03:50 s. 100.

281

Förslag till reglering av forskningsdatabaser

SOU 2018:36

uppfyller de krav som ställs i dataskyddslagstiftningen och i forsk- ningsdatabaslagen. För att etikprövningen ska bli en verklig skydds- åtgärd bör prövningen dock omfatta vissa grundläggande krav som ställs i forskningsdatabaslagen.

Vi anser att det är lämpligt att Etikprövningsmyndigheten i sam- band med etikprövningen ställer krav på forskningshuvudmannen att denne kan visa hur de grundläggande villkoren för att få skapa en forskningsdatabas är uppfyllda liksom även hur kraven på organisa- toriska åtgärder uppfylls. Vi föreslår därför att dessa krav på etik- prövningen ska uttryckas i etikprövningslagen.

8.9Insamlingen av uppgifter till en forskningsdatabas

8.9.1Behov av reglering i detta steg av livscykeln

En forskningsdatabas består av personuppgifter som samlas in från myndigheter, privata forskningshuvudmän och enskilda individer, eller från enbart någon av dessa källor. För att uppgiftssamlingen ska kunna få tillgång till uppgifter från myndigheter måste det finnas fungerande rutiner hos de registerförande myndigheterna för ut- lämnande av uppgifterna. Dessa myndigheter ska tillämpa de regler som gäller för utlämnande och kunna känna tillit till att uppgifterna hanteras på ett korrekt och säkert sätt i forskningsdatabasen.

Vi gör därför bedömningen att en ändamålsenlig reglering av forskningsdatabaser måste omfatta olika skyddsåtgärder. Detta är under vissa omständigheter också ett krav enligt dataskyddsförord- ningen (se avsnitt 8.2.4).

För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integri- tetsskydd. Regleringen måste därför omfatta bestämmelser om sekretess och tystnadsplikt. Ett enhetligt sekretesskydd i forsknings- verksamhet underlättar såväl utlämnande av uppgifter till forsknings- databasen som utlämnande från databasen till olika forskningsprojekt.

Vi anser att det är grundläggande att det finns tillämpliga regler om sekretess som gäller för forskningshuvudmannen, liksom att det finns bestämmelser om inre sekretess (se avsnitt 8.10.5) som gäller för verksamheten. På så sätt får den utlämnande myndigheten ett tyd- ligare underlag för sin menprövning.

282

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Om den som ska lämna ut en uppgift vet att uppgiften skyddas även hos mottagaren är det mer sannolikt att det inte innebär någon skada eller men att lämna ut uppgiften. I avsnitt 5.5.5 har vi redogjort för hur en prövning av en forskares begäran om att få ta del av upp- gifter från en statistikansvarig myndighet kan gå till.

Vilken betydelse den registrerades inställning har till att person- uppgifter samlas in och används för forskning hör egentligen hemma i samtliga steg av livscykeln, men vi väljer att redovisa hur dessa frågor ska hanteras i detta avsnitt.

8.9.2Direkt identifierbara uppgifter ska få behandlas i en forskningsdatabas

Vårt förslag: Personuppgifter i en forskningsdatabas får vara direkt identifierbara, om det är nödvändigt för att uppfylla ända- målet med forskningsdatabasen.

Forskningshuvudmannen ska besluta om en forskningsdatabas ska få bestå av direkt identifierbara uppgifter eller om det är till- räckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.

Enligt vad utredningen inhämtat om de forskningsdatabaser som finns i dag så är det en grundläggande egenskap hos de forsknings- databaser som bevaras under lång tid, att uppgifter tillkommer eller förändras över tid. Endast i undantagsfall tillförs nya registrerade utan att de uppgifter som redan finns i databasen förändras. I vissa fall uppdateras uppgifterna relativt sällan, medan man i många andra fall har återkommande eller löpande uppdatering av uppgifterna i realtid.

En forskningsdatabas som fortlever över tid kan basera sig på

•återkommande insamlingar av en fast uppsättning variabler för en grupp registrerade personer,

•successiv tillförsel av uppgifter på nya variabler för en grupp registrerade,

•tillskott vid ett eller flera tillfällen av nya registrerade på en fast uppsättning variabler,

283

Förslag till reglering av forskningsdatabaser

SOU 2018:36

•sammanläggning av uppgifter på variabler från olika källor för samma registrerade, eller

•tillförsel över tid av såväl nya registrerade som nya variabler och dessutom nya mätvärden på existerande variabler för de redan registrerade.

För att göra uppdateringar av data behöver uppgifterna vara identi- fierbara. Det kan i undantagsfall vara möjligt att göra detta genom att vid särskilda tillfällen använda separat förvarade kodnycklar. Detta förutsätter att kodnyckeln bevaras under hela forskningsdatabasens livscykel.

Enligt dataskyddsförordningen ska uppgifterna i forskningsdata- basen korrigeras om de är felaktiga. I vissa fall kan den registrerade begära att få uppgifterna strukna. För detta krävs direkt eller indirekt identifierbara uppgifter.

För att kunna tillföra, rätta och radera uppgifter bedömer vi att det i normalfallet torde vara nödvändigt att forskningsdatabasen inne- håller direkt identifierbara personuppgifter.

Forskningshuvudmannen ska ta ställning till om det behövs direkt identifierbara uppgifter för den aktuella forskningsdatabasen, eller om uppgifterna i forskningsdatabasen på något annat sätt kan identifieras vid tillförande, förändring eller radering av uppgifter.

Vi föreslår därför att det ska vara tillåtet att behandla direkt identifierbara uppgifter i en forskningsdatabas. Beroende på vilken typ av uppgifter som behövs för att uppfylla ändamålet med forsk- ningsdatabasen, ska forskningshuvudmannen besluta om uppgifterna ska vara direkt identifierbara eller om det är tillräckligt att uppgifterna är pseudonymiserade eller skyddade på likvärdigt sätt.

I avsnitt 8.11.3 föreslår vi att uppgifter som lämnas ut från forsk- ningsdatabasen som huvudregel ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

284

SOU 2018:36

Förslag till reglering av forskningsdatabaser

8.9.3En forskningsdatabas kan helt eller delvis bestå

av uppgifter som samlas in direkt från den registrerade

Vår bedömning: Dataskyddsförordningen bör normalt inte inne- bära något hinder för forskningshuvudmän att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forsknings- huvudman.

Forskningsdatabaser som skapas med stöd av vårt förslag till reglering kommer att kunna bestå av personuppgifter som samlas in från myndigheter respektive direkt från forskningspersonerna. Eventuellt kommer det även att skapas forskningsdatabaser som enbart behand- lar uppgifter som samlas in direkt från forskningspersonerna.

Samtycke är en av de rättsliga grunder för behandling som är tillåten enligt dataskyddsförordningen. Om en behandling av person- uppgifter i en forskningsdatabas grundar sig på samtycke ska forsk- ningshuvudmannen kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1 i dataskyddsförordningen).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställnings- alternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i samman- hanget tydligt visar att den registrerade godtar den avsedda behand- lingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda.

285

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den person-uppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

I skäl 33 konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forsk- ningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Artikel 29-gruppen44 har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör enligt yttrandet göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legiti- mera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke.45

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Denna begränsning innebär dock inte att ett inhämtande av samtycke ska förbises. Eftersom vi föreslår att en forskningsdatabas ska etikgodkännas kan ett samtycke, i de fall där det är genomförbart, anses vara en skyddsåtgärd som stärker data- basens legitimitet.

44Artikel 29-gruppen är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EU- medlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsyns- mannen.

45Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet samtycke s. 13–14 och 16–17.

286

SOU 2018:36

Förslag till reglering av forskningsdatabaser

8.9.4Den registrerade kan invända mot behandlingen

Vår bedömning: Det framgår av dataskyddsförordningen att den registrerade kan invända mot behandlingen av hans eller hennes personuppgifter i en forskningsdatabas.

Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till dennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det görs för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1).

Senast vid den första kommunikationen med den registrerade ska bl.a. rätten att göra invändningar uttryckligen meddelas den regist- rerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade ha rätt att göra invändningar mot behandling av hans eller hennes personuppgifter om inte behand- lingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Det är tre rättsliga grunder för behandling av personuppgifter som är relevanta vid forskning: samtycke, uppgift av allmänt intresse eller intresseavvägning. Artikel 21.6 i dataskyddsförordningen innebär att om den registrerade invänder mot behandling av dennes person- uppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.

Artikel 21.1 blir tillämplig om forskningen däremot baseras på den rättsliga grunden intresseavvägning. Om den registrerade gör invänd- ningar mot att dennes personuppgifter behandlas i forsknings- projektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

287

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Artikel 21 omfattar alltså de rättsliga grunder som personuppgifts- behandling för forskningsändamål i praktiken kommer att grundas på, förutom samtycke som enligt artikel 7.2 alltid kan återkallas.

Bestämmelserna i dataskyddsförordningen innebär att den en- skilde har vissa möjligheter att motsätta sig behandlingen av uppgifter i en forskningsdatabas. Vilka möjligheter den enskilde har att motsätta sig beror på vilken rättslig grund för behandling som forsknings- huvudmannen använder sig av.

Eftersom rätten att göra invändningar mot behandlingen av personuppgifter är reglerad i dataskyddsförordningen ska det inte finnas någon sådan bestämmelse i den lag vi föreslår.

8.9.5Forskningssekretess

Vårt förslag: Sekretess ska gälla hos en forskningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Forskningssekretess ska innebära en inskränkning i meddelar- friheten.

Forskningssekretessen ska regleras i offentlighets- och sekre- tesslagen och ska ersätta bestämmelsen om sekretess för psyko- logiska undersökningar, som i stället ska omfattas av den nya bestämmelsen.

Forskningssekretessen ska inte omfattas av bestämmelserna som medger undantag från sekretess i 10 kap. 23 och 27 §§ offent- lighets- och sekretesslagen.

Vår bedömning: De privata lärosäten som enligt vårt förslag ska få ansvara för forskningsdatabaser kommer att omfattas av den bestämmelse om forskningssekretess som vi föreslår.

Det finns i dag ingen sekretessbestämmelse som generellt reglerar sekretesskyddet för enskilds personliga och ekonomiska förhållanden inom forskningsverksamheten. Som angetts i kapitel 5 finns det inom forskningsverksamheten vissa områden som inte är reglerade av någon primär sekretessbestämmelse. Sekretesskyddet för uppgifter i forsk- ningen har därför blivit svåröverskådligt och inte heltäckande. Dessa

288

SOU 2018:36

Förslag till reglering av forskningsdatabaser

tillämpningsproblem är något som forskare gett uttryck för i samband med vår utredning. Detta har också konstaterats av Registerforsk- ningsutredningen, som lämnat förslag på forskningssekretess och sekretess för uppgifter i forskningsdatabaser.46

En ny sekretessbestämmelse

Statistiksekretess är enligt huvudregeln i 24 kap. 8 § OSL absolut, vilket innebär att inga uppgifter får lämnas ut. Bestämmelsen inne- håller detta till trots fyra undantag från huvudregeln. Det undantag som är mest relevant i forskningssammanhang är att uppgifter som behövs för forskningsändamål får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (ett så kallat omvänt skaderekvisit). Här mjukas alltså den absoluta sekretessen upp. I kapitel 5 redogör vi mer utförligt om innebörden av de olika sekretessreglerna som finns i dag.

Registerforskningsutredningen pekade på de praktiska problem som ett bristande sekretesskydd kan ge upphov till vid sekretess- prövningen hos den utlämnande myndigheten. Som ett exempel nämndes att SCB och Socialstyrelsen endast lämnar ut uppgifter om det står klart att uppgifterna kommer skyddas av statistiksekretessen enligt 24 kap. 8 § OSL hos den mottagande myndigheten.47 Utred- ningen menade att en forskarsekretess var vägen fram till ett starkare sekretesskydd som inte bara omfattar ett brett tillämpningsområde, utan även stärker den enskildes personliga integritet. Av det skälet menade utredningen också att sekretessen i en forskningssekretess- bestämmelse enligt huvudregeln skulle vara absolut. Även här före- slogs dock ett undantag för utlämnande för forskningsändamål genom ett omvänt skaderekvisit.48 Det innebär att det är möjligt att lämna ut uppgifter för forskningsändamål efter en menprövning. Sekretessen är alltså inte absolut när det gäller utlämnande till forskning.

De praktiska problem som Registerforskningsutredningen tar upp i sitt betänkande har ännu inte fått någon lösning. Ett heltäckande

46SOU 2014:45, s. 395 ff. 0ch 452 ff.

47SOU 2014:45 s. 407.

48En uppgift som omfattas av en sekretessregel med ett omvänt skaderekvisit är bara offentlig om det står klart att den kan lämnas ut utan risk för skada. Tvärt emot vad som gäller vid ett rakt skaderekvisit så är sekretess alltså huvudregeln och offentlighet undantaget.

289

Förslag till reglering av forskningsdatabaser

SOU 2018:36

sekretesskydd saknas fortfarande. För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritetsskydd. Det finns i dag flera olika bestämmelser som innebär sekretesskydd för personuppgifter som behandlas i forskning. Regelverket är dock inte lätt att överblicka, vilket skapar oklarhet om vad som gäller. Vi föreslår därför en bestäm- melse om forskningssekretess till skydd för uppgift om enskilds personliga och ekonomiska förhållanden.

Undantaget från huvudregeln om absolut sekretess i statistik- sekretessen innebär att man i stället tillämpar ett omvänt skaderekvisit vid utlämnande till forskning. Vi anser därför att samma sekre- tesskydd, det vill säga ett omvänt skaderekvisit ska gälla för forsk- ningssekretessen. Detta ligger dessutom i linje med hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL som även den omfattas av ett omvänt skaderekvisit. På så vis skapas ett heltäckande sekretesskydd med samma skyddsnivå oavsett vilken verksamhet som de begärda uppgifterna kommer från.

Vi föreslår således en ny bestämmelse om forskningssekretess som ska gälla hos en forskningshuvudman. Sekretessen ska omfatta upp- gifter om enskilds personliga och ekonomiska förhållanden. Denna sekretessbestämmelse gäller således för uppgifter hos en forsknings- huvudman oavsett om uppgifterna behandlas i en forskningsdatabas eller i enskilda forskningsprojekt. Uppgifter får bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller denna närstående lider skada eller men.

Forskningssekretess hos privata forskningshuvudmän som får ansvara för forskningsdatabaser

Sekretess innebär förbud att röja uppgift, vare sig det görs muntligen, skriftligen eller på något annat sätt. Som nämnts ovan omfattas i regel enskild forskningsverksamhet inte av sekretess enligt OSL annat än genom överföring och förbehåll.

Vid utlämnande av uppgifter som omfattas av statistiksekretessen till en privat forskningshuvudman brukar i stället den utlämnande myndigheten upprätta ett förbehåll som inskränker den enskildes rätt att lämna uppgifterna vidare. Annorlunda blir det dock då uppgifterna samlas in till en privat forskningshuvudman direkt från den enskilde

290

SOU 2018:36

Förslag till reglering av forskningsdatabaser

själv. I dessa fall saknas ett sekretesskydd för uppgifterna hos forsk- ningshuvudmannen.

Vi föreslår att det enbart är vissa privata forskningshuvudmän som ska få ansvara för forskningsdatabaser (avsnitt 8.8.2). Juridiska personer och enskilda näringsidkare som bedriver högre utbildning och som har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter ska få ha ett sådant ansvar. Genom att det enbart är forskningshuvudmän som omfattas av offentlighets- och sekretess- lagen som får vara personuppgiftsansvariga för forskningsdatabaser, kommer samtliga forskningshuvudmän som får inrätta forsknings- databaser att omfattas av bestämmelsen om forskningssekretess.

Överföring av sekretess

I kapitel 5 har vi redovisat att bestämmelsen om överföring av sekretess i 11 kap. 3 § OSL medför att sekretessen kan överföras från den utlämnande myndigheten, om den mottagande myndigheten inte omfattas av en bestämmelse om primär sekretess. Detta innebär att en forskare vid ett statligt universitet eller högskola som inhämtar uppgifter från en statistikansvarig myndighet såsom t.ex. Social- styrelsen ska tillämpa statistiksekretessen i 24 kap. 8 § OSL. Detta beror på att det i dag inte finns någon sådan generell forskningssekre- tess, som vi föreslår i detta kapitel.

Får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen enligt 11 kap. 3 § OSL tillämplig på uppgiften även hos den mot- tagande myndigheten. Forskningssekretess kommer därför att kunna överföras med stöd av denna bestämmelse. Om det inte skulle finnas någon sekretessbestämmelse som skyddar uppgifterna hos den myndighet som efter sekretessprövning får ut uppgifter, så kommer forskningssekretessen att bli tillämplig även hos den mottagande myndigheten. Vårt förslag om en särskild forskningssekretess kom- mer därför att göra skyddet för uppgifter inom forskningen mer heltäckande.

291

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Meddelarfrihet

I avsnitt 5.5.3 redogör vi för meddelarfriheten och inskränkningarna därav.

Vid införandet av en ny sekretessbestämmelse måste man ta ställ- ning till om den föreslagna tystnadsplikten bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Enligt förarbetena till gamla sekretesslagen (1980:100) ska återhållsamhet iakttas vid pröv- ningen av om en sekretessbestämmelse ska innehålla ett undantag från meddelarfriheten. En avvägning mellan sekretessintresset och rätten till offentlig insyn ska göras. Det angavs inga fasta kriterier på när en sådan begränsning får göras. Däremot ansåg lagstiftaren att sekretess- bestämmelsens konstruktion kan ge viss vägledning. Ett omvänt skaderekvisit anges som ett skäl att överväga undantag från meddelar- friheten. Även det fallet där en uppgift lämnas av en enskild i en förtroendesituation bör tala för att ett undantag kan vara berättigat.49

Den sekretessbestämmelse vi föreslår avser uppgifter som används för forskningsändamål. I vissa fall kommer uppgifterna lämnas till forskaren direkt av en enskild. Syftet med vårt förslag är att dels stärka skyddet för de uppgifter som förekommer i forskningsverksamheter, dels bibehålla förtroendet för forskningen. Vi anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter.

Undantag från sekretess

Enligt generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess, som det har ansetts särskilt angeläget att upprätthålla i förhållande till andra myndigheter, bl.a. statistiksekretessen enligt 24 kap. 8 § OSL och hälso- och sjukvårds- sekretessen i 25 kap. 1–8 §§ OSL har undantagits från general- klausulens tillämpningsområde.

I vissa fall har det ansetts viktigt att även sådan sekretess som har undantagits från generalklausulen kan brytas, bl.a. när det är fråga om misstankar om brott. När det bl.a. gäller uppgifter inom hälso- och sjukvården hindrar sekretess för uppgift i sådan verksamhet inte att

49Prop. 1979/80:2 Del A s. 111.

292

SOU 2018:36

Förslag till reglering av forskningsdatabaser

uppgift lämnas till en åklagarmyndighet eller en polismyndighet om uppgiften angår misstanke om vissa brott mot unga som inte fyllt 18 år (10 kap. 21 och 22 §§ OSL).

Som nämnts i avsnitt 5.5.3 får enligt 10 kap. 23 § OSL en uppgift som angår misstanke om ett begånget brott och som är sekretess- belagd enligt bl.a. 24 kap. 8 § och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

När den s.k. LifeGene-lagen infördes bedömde regeringen att det skulle finnas vissa möjligheter att bryta sekretessen vid misstanke om allvarligare brottslighet. På motsvarande sätt föreslog Registerforsk- ningsutredningen en sekretessbrytande regel i 10 kap. 23 § OSL för att möjliggöra ett utlämnande av uppgifter till en polismyndighet med anledning av grovt brott. Några av remissinstanserna50 avstyrkte dock denna del av utredningens förslag. Det motiverades med att en enskild som samtyckt till att medicinska uppgifter används i forskningens intresse, kan uppfatta detta som ett allvarligt integritetsintrång. Det anfördes också att en sådan möjlighet kan skada allmänhetens förtroende, vilket i förlängningen riskerar att göra det svårare att få samtycke till angelägen forskning.

Forskningsdatautredningen instämmer i dessa remissinstansers uppfattning och anser att dessa argument talar emot en reglering liknande den som Registerforskningsutredningen föreslog och som i dag gäller för LifeGene-lagen. Vi föreslår därför att forskningssekre- tessen inte ska omfattas av möjligheterna till undantag som regleras i 10 kap. 23 § OSL.

Av samma integritetsskäl anser vi att forskningssekretessen inte heller ska omfattas av möjligheterna till undantag från sekretess med stöd av generalklausulen i 10 kap. 27 § OSL.

50SACO, TCO och Sveriges läkarförbund.

293

Förslag till reglering av forskningsdatabaser

SOU 2018:36

8.9.6Tystnadsplikt hos samtliga privata forskningshuvudmän

Vårt förslag: Den som arbetar hos en enskild (privat) forsknings- huvudman ska inte obehörigen få röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande. I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen tillämpas.

Sekretess innebär förbud att röja uppgift, vare sig det görs muntligen, skriftligen eller på något annat sätt. Forskningsverksamhet hos en privat forskningshuvudman omfattas inte av sekretess enligt OSL annat än genom överföring och förbehåll. De privata forsknings- huvudmän som får ansvara för forskningsdatabaser kommer dock att omfattas av bestämmelserna i offentlighets- och sekretesslagen (se avsnitt 8.9.5 ovan).

En utlämnande myndigheten brukar därför vid utlämnande till en privat forskningshuvudman upprätta ett förbehåll, som inskränker den enskildes rätt att lämna uppgifterna vidare. I de fall då uppgifterna samlas in till en privat forskningshuvudman direkt från den enskilde själv saknas ett sekretesskydd för uppgifterna hos forskningshuvud- mannen. Avsnitt 5.5.4 handlar om tystnadsplikt i privat verksamhet.

Motsvarande förhållande mellan privata och offentliga huvudmän gäller i hälso- och sjukvården. Inom den offentligt bedrivna vården gäller hälso- och sjukvårdssekretess enligt OSL. För att uppgifter hos privata vårdgivare ska omfattas av motsvarande skydd gäller i stället tystnadsplikt enligt annan lagstiftning i den verksamheten. I privat hälso- och sjukvård gäller att den som tillhör eller har tillhört hälso- och sjukvårdspersonal inte obehörigen får röja vad han eller hon i sin verksamhet fått veta om den enskildes hälsotillstånd eller personliga förhållanden. Denna tystnadsplikt regleras i patientsäkerhetslagen (2010:659). Det är vår bedömning att en liknande struktur är lämplig även i forskningssammanhang. Som ett led i prövningen av vad som kan anses omfattas av tystnadsplikten (vara ett obehörigt röjande) kan en privat forskningshuvudman hämta ledning från den skade- och

294

SOU 2018:36

Förslag till reglering av forskningsdatabaser

menprövning som offentliga forskningshuvudmän följer enligt regel- verket i offentlighets- och sekretesslagen.51

Vi anser att det behövs ett enhetligt skydd för uppgifterna även när de har lämnats ut från en forskningsdatabas till en privat forsknings- huvudman. Därför behövs en generell regel om tystnadsplikt för privata forskningshuvudmän. Endast på så sätt kan tystnadsplikten för uppgifter som hanteras i forskningen bli heltäckande. En enhetlig tystnadsplikt gör det också enklare för utlämnande myndigheter att göra sin menprövning i samband med utlämnande av utgifter till en forskningsdatabas.

Vi föreslår därför en bestämmelse som anger att den som arbetar hos en privat forskningshuvudman har tystnadsplikt gällande det som han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. Tystnadsplikten ska inte gälla i de fall någon fullgör sådan uppgiftsskyldighet som följer av lag eller förord- ning. I bestämmelsen ska det finnas en upplysning om att det är offentlighets- och sekretesslagen som gäller för det allmännas verk- samhet. Offentliga forskningshuvudmän och de forskningshuvudmän som enligt 2 kap. 4 § OSL ska jämställas med myndigheter, ska tillämpa de bestämmelser om forskningssekretess som vi föreslår i avsnitt 8.9.5.

8.10Förvaltningen av en forskningsdatabas

8.10.1Behov av reglering i detta steg av livscykeln

Förvaltningen av en forskningsdatabas innefattar alla åtgärder som krävs för att sköta databasen så att den ska kunna användas på ett ändamålsenligt och korrekt sätt. En reglering av forskningshuvud- mannens organisatoriska åtgärder hör till nödvändiga bestämmelser i detta steg av databasens livscykel. Till förvaltningen av forsknings- databasen hör också en säker och ändamålsenlig behandling av person- uppgifter hos forskningshuvudmannen.

Bearbetning av uppgifterna innefattar till att börja med korrigering och rättelse av grunduppgifter som särskilt äger rum i samband med den inledande insamlingen av uppgifter, inklusive tillförandet av nya uppgifter efter hand. Därefter vidtar anpassning av uppgifterna för det

51Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 132 ff.

295

Förslag till reglering av forskningsdatabaser

SOU 2018:36

ändamål som databasen är avsedd för. Detta inbegriper tolkning och omkodning av uppgifter samt organisering av observationer (registre- rade personer eller händelser) på ett för forskningen ändamålsenligt sätt.

I vissa fall har ett omfattande arbete lagts ner på detta vid original- källan. Ett exempel på detta kan vara de beräkningar av disponibel inkomst som görs av SCB för den officiella statistiken som är direkt användbara för forskare i många sammanhang. I andra fall krävs ett grundläggande originalarbete hos forskargruppen, exempelvis om man behöver klassificera textsträngar som ingår som värden på varia- bler från originalkällan. Tillförandet av nya registrerade samt nya mätningar eller nya uppgifter för befintliga registrerade utgör också en löpande uppgift för databasens förvaltare. En stor del av arbetet består således av förädling av det material som insamlades vid forskningsdata- basens inrättande. Gränsen mellan dataförvaltning, begreppsutveck- ling och analys av data blir i många fall inte tydlig utan uppgifterna integreras med varandra. Bearbetningen försiggår under hela forsk- ningsdatabasens livscykel.

Förvaltningen av forskningsdatabasen innebär också teknisk hante- ring av information, behörigheter, säkerhet, utlämnande och admi- nistrativa rutiner i samband med skötseln av forskningsdatabasen.

Det finns här anledning att följa hur lagregleringen av forsknings- databaser kommer att fungera i praktiken. Vetenskapsrådet bör enligt vår mening få i uppgift att regelbundet följa upp hur verksamheten bedrivs i olika forskningsdatabaser (se avsnitt 8.10.7).

Till förvaltningsfasen hör också en uppgift för forskningshuvud- mannen att regelbundet ta ställning till om forskningsdatabasen fungerar på avsett sätt. Bör ändamålen för behandlingen av uppgiften revideras eller kan det finnas anledning att avveckla databasen?

8.10.2Organisatoriska åtgärder

Verksamhetschef

Vårt förslag: Forskningshuvudmannen ska utse en verksamhets- chef för forskningsdatabasen.

Verksamhetschefen ska minst en gång per år sammanställa och lämna information om behandlingen av personuppgifter i forsk- ningsdatabasen till forskningshuvudmannen.

296

SOU 2018:36

Förslag till reglering av forskningsdatabaser

För att forskningshuvudmannen ska kunna utöva sitt ansvar över verksamheten som bedrivs i forskningsdatabasen genom hela dess livscykel, måste verksamheten vara organiserad på sådant sätt att den tillgodoser säkerhet och kvalitet. Denna verksamhet måste vara organiserad så att forskningshuvudmannen kan utöva kontroll över verksamhetens olika delar.

Ett sätt att utöva kontroll är att utse en verksamhetschef som inför forskningshuvudmannen ansvarar för att forskningsdatabasen funge- rar på ett rättsenligt och säkert sätt. På så sätt finns en utpekad person med ett verkställande ansvar och som tillsynsmyndigheter, utläm- nande myndigheter och enskilda kan vända sig till.

För att verksamheten i en forskningsdatabas ska kunna kontrolle- ras på ett effektivt sätt krävs det att ledningsfunktionen inom verk- samheten är tydlig. En verksamhetschef ska därför bl.a. ansvara för den löpande verksamheten och upprätthålla och bevaka att behand- lingen av personuppgifter uppfyller säker och god kvalitet och att verksamheten bedrivs kostnadseffektivt. Verksamhetschefen ska alltid ha det samlade ansvaret för forskningsdatabasens verksamhet, men kan och bör när det så krävs uppdra åt någon annan att sköta vissa uppgifter. Det kan bli nödvändigt om verksamhetschefen själv inte har den kompetens som krävs för att forskningsdatabasen ska bli godkänd vid etikprövningen. Forskning får enligt 11 § etikprövnings- lagen bara godkännas om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.

Verksamhetschefen ska arbeta tillsammans med den organisa- toriska enhet som ska ha i uppgift att säkerställa informations- säkerheten och skyddet för den personliga integriteten integritets- skyddet i forskningsdatabasen (avsnitt 8.10.3).

Verksamhetschefen har ett helt annat uppdrag än det dataskydds- ombud som regleras i dataskyddsförordningen. Ett dataskyddsombud ska enligt förordningen ha till uppgift att informera de personupp- giftsansvariga, biträden och anställda om skyldigheterna enligt förord- ningen och andra unions- eller medlemsstatsreglerade dataskydds- bestämmelser. Ombudet ska också bland annat övervaka efter- levnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39). Verksamhetschefen för en forskningsdatabas har ett konkret verkställande ledningsansvar för en forskningsdatabas,

297

Förslag till reglering av forskningsdatabaser

SOU 2018:36

medan dataskyddsombudet ska övervaka efterlevnaden av data- skyddsförordningen i hela forskningshuvudmannens verksamhet.

Verksamhetschefen ansvarar för att forskningshuvudmannen löpande får information om hur verksamheten i forskningsdatabasen bedrivs. Forskningshuvudmannen är beroende av denna insyn i verk- samheten för att kunna utöva sitt yttersta ansvar. Vi anser att verk- samhetschefen utöver den löpande informationen som forsknings- huvudmannen behöver, minst en gång per år ska sammanställa och lämna skriftlig information om verksamheten.

Vi förslår således att forskningshuvudmannen ska utse en verksam- hetschef som ska ansvara för den löpande hanteringen av forsknings- databasen. Verksamhetschefen ska minst en gång per år sammanställa och lämna en redovisning med information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.

8.10.3En organisatorisk enhet med ansvar för informationssäkerhet och personlig integritet

Vårt förslag: Det ska hos forskningshuvudmannen finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Enheten ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i en forskningsdatabas.

Forskningshuvudmannen ska i denna organisatoriska enhet samla sådan kompetens som krävs för att förvalta och använda forskningsdatabasen på ett rättsenligt, effektivt och säkert sätt.

En forskningsdatabas kan komma att innehålla en stor mängd uppgifter om ett stort antal individer. Det kan också vara fråga om att behandla känsliga personuppgifter. För att minska de integritetsrisker som är förknippade med att behandla personuppgifter måste behand- lingen vara omgärdad av olika typer av skyddsåtgärder. Det krävs också för att behandlingen är tillåten enligt dataskyddsförordningen.

Den personuppgiftsansvarige ska enligt artikel 25 genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje

298

SOU 2018:36

Förslag till reglering av forskningsdatabaser

specifikt ändamål med behandlingen behandlas. Framför allt ska säkerställas att personuppgifter inte görs tillgängliga för obehöriga.

Dataskyddsförordningen innehåller uttryckliga krav på s.k. in- byggt dataskydd52 och dataskydd som standard.53 Enligt artikel 25 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder. De nödvändiga skyddsåtgärderna ska integ- reras i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Åtgärderna ska väljas med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.

Detta kan också uttryckas som att den personuppgiftsansvarige ska låta integritetsfrågor påverka ett it-systems hela livscykel – från förstudie och kravställning via design och utveckling till användning och avveckling. Enligt vår uppfattning ska forskningshuvudmannen ta ett motsvarande ansvar genom forskningsdatabasens hela livscykel.

Enligt artikel 24 i dataskyddsförordningen ska forskningshuvud- mannen genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med förordningen. Ett sätt att uppfylla kravet på organisatoriska åtgärder och på inbyggt dataskydd är att inrätta en särskild enhet i verksamheten. Detta kan vara en åtgärd för att stärka arbetet med integritetsskydd och informationssäkerhet vid behand- lingen av uppgifter i forskningsdatabasen. Vi föreslår därför att det i forskningsdatabaslagen ska finnas en bestämmelse om att forsknings- huvudmannen ska ha en sådan enhet. Inrättandet av enheten utgör i sig en sådan organisatorisk åtgärd. Det arbete som enheten ska ansvara för ska sedan vara att se till att ytterligare tekniska och organisatoriska åtgärder genomförs som är lämpliga med beaktande av behandlingens omfattning, sammanhang, ändamål och riskerna av varierande sanno- likhet och allvar.

Syftet med att inrätta en sådan funktion är att stärka såväl person- dataskyddet som informationssäkerheten i samband med forsknings- huvudmannens behandling av personuppgifter i en eller flera forsk- ningsdatabaser.

Den organisatoriska enheten ska ha till uppgift att se till att ut- lämnandet från forskningsdatabasen enligt huvudregeln (avsnitt 8.11.3)

52Ibland används det engelska uttrycket privacy by design.

53Ibland används det engelska uttrycket privacy by default.

299

Förslag till reglering av forskningsdatabaser

SOU 2018:36

görs med uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Enheten ska också administrera behörigheter till åtkomst, bl.a. genom att styra åtkomsten för de som behöver ha åtkomst för att utföra sina arbetsuppgifter. I avsnitt 8.9.5 redogör vi för förslag till bestämmelser om inre sekretess, styrning av åtkomst och kontroll av åtkomst till personuppgifter. Det är enheten som ska ha det verkställande ansvaret för att genomföra forskningshuvud- mannens ansvar för dessa skyddsåtgärder. Enheten ska också ansvara för arbetet med det systematiska och riskbaserade informationssäker- hetsarbetet.

Forskningshuvudmannen ska tilldela enheten de befogenheter och de uppdrag som behövs för att skydda personuppgifterna. Forsk- ningshuvudmannen har ett ansvar för att de som arbetar på enheten har de kunskaper och den kompetens som krävs för att förvalta och använda forskningsdatabasen på ett rättsenligt, effektivt och säkert sätt. Det är forskningshuvudmannen som ansvarar för att enheten har tillräckliga resurser för sitt arbete.

Utredningen om personuppgiftsbehandlingen vid ISF föreslog att en liknande funktion skulle krävas vid behandling av personuppgifter hos Inspektionen för socialförsäkringen (ISF).54 Utredningen anförde bl.a. följande angående skälet till detta:

Automatiserad behandling av personuppgifter bör ges en sådan utform- ning att riskerna för otillbörliga intrång i enskildas personliga integritet minimeras. Det är här lämpligt att bygga in mekanismer i verksamheten – s.k. inbyggd integritet (eng. privacy by design) – som ger ett tekniskt och administrativt skydd vid behandlingen av sådana uppgifter.

Socialdataskyddsutredningen anförde i sitt betänkande55 angående förslaget om en integritetsskyddsfunktion att det får anses utgöra en skyddsåtgärd som är förenlig med dataskyddsförordningen.

Vi anser att det är nödvändigt att personuppgifter i en forsknings- databas behandlas på ett sådant sätt att riskerna för otillbörligt intrång minimeras. Vi anser därför i likhet med Utredningen om person- uppgiftsbehandling vid ISF att det är lämpligt att bygga in mekanismer i verksamheten som skyddar behandlingen. En enhet med ansvar för integritetsskydd är ett sätt att använda sig av inbyggd integritet.

54Utredningen om personuppgiftsbehandlingen vid ISF:s betänkande Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67).

55SOU 2017:66, s. 285 ff. och 458 ff.

300

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Vi föreslår att det hos forskningshuvudmannen ska finnas en organisatorisk enhet som arbetar med integritetsskydd och infor- mationssäkerhet.

8.10.4Ett riskbaserat informationssäkerhetsarbete

Vårt förslag: Forskningshuvudmannen ska bedriva ett syste- matiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet.

Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför detta arbete ska hålla forskningshuvudmannen informerad.

Bestämmelsen vi föreslår tar sikte på forskningshuvudmannens ansvar för att säkerställa de grundläggande informationssäkerhetsaspekterna vid behandlingen av personuppgifter i forskningsdatabasen. Vi anser att en verksamhets arbete med informationssäkerhet innefattar nöd- vändiga och obligatoriska skyddsåtgärder vid behandling av person- uppgifter.

Informationssäkerhetsarbetet ska syfta till att hindra obehörig åtkomst (konfidentialitet), att informationen inte förändras eller förstörs på ett obehörigt sätt (integritet), samt säkerställa tillgäng- lighet vid behörig användning. Det ska även vara möjligt att spåra vem som har gjort vad och när med informationen. Konfidentialitet, integritet, tillgänglighet och spårbarhet är centrala begrepp i arbetet för att nå en god informationssäkerhet.

Enligt 5 § Myndigheten för samhällsskydd och beredskaps före- skrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) ska varje myndighet bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Ett ledningssystem är enligt 4 § i föreskrifterna ett sätt för organisationens ledning att på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksam- hetens informationshantering. Ledningssystemet ska utformas ut- ifrån verksamhetens behov och vara styrande för all hantering av information som myndigheten ansvarar för. Genom ledningssystemet ska myndigheten tydliggöra myndighetsledningens och den övriga

301

Förslag till reglering av forskningsdatabaser

SOU 2018:36

organisationens ansvar för myndighetens informationssäkerhetsarbete, tilldela nödvändiga befogenheter för de roller som arbetet med infor- mationssäkerhet kräver, säkerställa att informationssäkerhetsarbetet bedrivs samordnat samt att det regelbundet utvärderas och löpande utvecklas. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska enligt dessa föreskrifter tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen. Standarden ISO/IEC 27001:2014 anger de åtgärder och krav en verk- samhet bör följa för att införa ett ledningssystem för informations- säkerhet. 56

De forskningshuvudmän som är statliga myndigheter omfattas alltså redan av denna skyldighet. Vårt förslag till en reglering av forsk- ningsdatabaser ska dock tillämpas även av kommunala myndigheter som är forskningshuvudmän och av privata lärosäten. Vi föreslår därför en generell regel om krav på ett sådant informationssäkerhets- arbete oavsett vilken typ av forskningshuvudman det är som ansvarar för en forskningsdatabas.

I 2 § MSBFS 2016:1 stadgas att om det i en annan författning finns någon bestämmelse om statliga myndigheters informationssäkerhet som avviker från denna författning, gäller den bestämmelsen. Den föreslagna bestämmelsen i forskningsdatabaslagen avviker inte från MSBFS 2016:1. MSB:s föreskrifter gäller alltså för statliga forsk- ningshuvudmäns informationssäkerhetsarbete även vid behandling av personuppgifter i en forskningsdatabas såvida avvikande bestäm- melser inte meddelas i enlighet med det bemyndigande vi föreslår.

Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvud- mannen ska bedriva. Sådana föreskrifter kan t.ex. innefatta speci- ficerade krav på vilka standarder som ska beaktas i detta arbete. I likhet med vad som föreskrivs i MSB:s föreskrifter skulle ett krav på att beakta standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 kunna föreskrivas (mer om bemyndiganden i avsnitt 8.13).

56Stöd för hur ett ledningssystem för informationssäkerhet (LIS) kan införas och utformas i en verksamhet finns på www.informationssäkerhet.se, ytterligare stöd för informationssäker- hetsarbete finns på www.msb.se.

302

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Enligt vårt lagförslag ska det finnas en organisatorisk enhet som ansvarar för att genom tekniska och organisatoriska åtgärder säker- ställa informationssäkerheten och skydda enskildas personliga integ- ritet samt upprätthålla en tillräcklig säkerhetsnivå för de person- uppgifter som behandlas i en forskningsdatabas. Vi föreslår alltså en organisatorisk hemvist för informationssäkerhetsarbetet hos forsk- ningshuvudmannen. Den eller de personer som utses att leda och samordna informationssäkerhetsarbetet på denna enhet bör få en sådan ställning i organisationen att arbetet kan prioriteras och utföras effektivt. Det innebär att den eller de som utsetts behöver ha möjlighet och befogenhet att fullgöra uppgiften samt att ansvaret är känt och förankrat i verksamheten. Forskningshuvudmannen ansvarar för att det finns tillräckliga resurser för arbetet.

Det är viktigt att det finns ett tydligt utpekat ansvar för infor- mationssäkerhetsarbetet samt att arbetet är ändamålsenligt och följer bestämmelserna i dataskyddsförordningen och den föreslagna lagen och andra författningar. Den eller de som ansvarar för informations- säkerhetsarbetet ska hålla forskningshuvudmannen informerad. Det kan t.ex. handla om information om de riskanalyser som har gjorts av informationssäkerheten, incidenter som har påverkat informations- säkerheten och som medfört eller hade kunnat medföra integritets- skador, uppföljningar som har gjorts samt förbättringsåtgärder som har vidtagits.

Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident. Detta är enligt data- skyddsförordningen en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlats. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter. Detta regleras i artikel 33 och 34 (skäl 85–88).

Krav på incidentrapportering finns också i Myndigheten för sam- hällsskydd och beredskaps föreskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter. Här ges föreskrifter om hur statliga myndigheter till MSB ska rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation.

303

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Krav på intern incidenthantering finns i 10 § MSBFS 2016:1. En myndighet ska enligt dessa ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säker- heten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Myndigheten ska även ha rutiner för att lära av sådana inträffade incidenter och utförda åtgärder.

Det är oftast negativt att en avvikelse inträffar i en verksamhet. Däremot kan varje upptäckt av en sådan avvikelse vara något positivt och utgöra en nödvändig del av ett systematiskt förbättringsarbete Genom upptäckten av en avvikelse säkerställs dels att den kan åtgärdas, dels att verksamheten får en möjlighet att se över sin styr- ning och därigenom kan förhindra att liknande avvikelser åter- upprepas. Därmed utvecklas och säkras verksamhetens kvalitet.

Vi föreslår att en forskningshuvudman som ansvarar för en forsk- ningsdatabas ska bedriva ett riskbaserat informationssäkerhetsarbete. Forskningshuvudmannen ska tilldela tillräckliga resurser för infor- mationssäkerhetsarbetet. Den som utför detta arbete ska hålla forsk- ningshuvudmannen informerad.

8.10.5Intern tillgång till personuppgifter i en forskningsdatabas

Vi föreslår i detta avsnitt ett antal bestämmelser som på olika sätt reglerar den interna tillgången till personuppgifter i forskningsdata- basen. Det är bestämmelser om inre sekretess, styrning av behörighet till åtkomst och åtkomstkontroll (loggning).

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull reduceras, får mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och

6.3i dataskyddsförordningen. För behandling av känsliga person- uppgifter med stöd av artikel 9.2 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämp- liga och särskilda åtgärder för att säkerställa den registrerades grund- läggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet. Olika skyddsåtgärder är således inte bara något som

304

SOU 2018:36

Förslag till reglering av forskningsdatabaser

kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.

En avgränsning av vilka personuppgifter som får behandlas i en forskningsdatabas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Bestämmelserna om begräns- ningar av användares åtkomst till personuppgifter samt om upp- följning av åtkomsten är tänkta att innebära en konkretisering av dataskyddsförordningens bestämmelser om säkerhet. Genom att användaren endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då person- uppgifter behandlats på ett otillåtet sätt.

Dataskyddsförordningen hindrar således inte att föreskrifter med- delas på detta område och inte heller att föreskriftsrätten delegeras.57

Inre sekretess

Vårt förslag: Den som arbetar hos en forskningshuvudman ska bara få ta del av personuppgifter i en forskningsdatabas om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.

Med inre sekretess avses frågan om i vilken omfattning befatt- ningshavare får ta del av uppgifter som omfattas av sekretess och i vilken mån sådana uppgifter får lämnas mellan befattningshavarna. Bestämmelser om inre sekretess reglerar hur den interna elektroniska åtkomsten till personuppgifter får användas. I kapitel 5 redogör vi för inre sekretess.

I förarbetena till patientdatalagen (2008:355) menar man att inre sekretess inrymmer ett antal frågeställningar om hur integritets- känsliga personuppgifter om enskildas hälsa och andra personliga förhållanden bör hanteras inom en verksamhet för att motverka obefogade intrång i den personliga integriteten. Exempel på åtgärder som bedömdes som viktiga för att stärka den inre sekretessen var

57Jfr SOU 2017:66 s. 285 ff. och 337 samt prop. 2017/18:171 s. 136 ff.

305

Förslag till reglering av forskningsdatabaser

SOU 2018:36

behörighetstilldelning och kontroll av elektronisk åtkomst, s.k. loggning.58 Det är vår bedömning att dessa tankegångar även gäller hos en forskningshuvudman.

Regler om inre sekretess avser att skydda enskilda från att upp- gifter om dem sprids på ett obehörigt sätt inom ett sekretessområde. Även om uppgifterna finns tillgängliga inom en viss verksamhetsdel betyder det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som t.ex. arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är reglerad i patientdatalagen. Dessa centrala bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säker- ställer ett grundläggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjuk- vården. Vi anser att det i forskningsdatabaslagen ska införas en mot- svarande bestämmelse om inre sekretess som ska gälla hos en forsk- ningshuvudman.

Det ligger ett ansvar på forskningshuvudmannen att med hjälp av den enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen (se avsnitt 8.10.3) utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamålsenlig hantering av personuppgifter som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.

Syftet med en sådan bestämmelse är att bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informations- hanteringen i forskningsdatabasen samt göra det tydligt för den som arbetar med den när man får bereda sig åtkomst till uppgifterna.

Vi föreslår alltså att personuppgifterna i forskningsdatabasen ska skyddas av en uttrycklig bestämmelse om inre sekretess. Den som arbetar med en forskningsdatabas ska bara få ta del av de uppgifter som denne behöver för att utföra sina arbetsuppgifter hos forsk- ningshuvudmannen.

58Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 141 ff.

306

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Intern elektronisk åtkomst

Vårt förslag: Forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till person- uppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en upp- dragstagare ska kunna fullgöra sina arbetsuppgifter.

Regler om behörighetsstyrning är enligt utredningens bedömning nödvändiga för att tillgodose enskildas behov av integritetsskydd inom forskningen. Bestämmelser om behörighetsstyrning syftar till att upp- rätthålla integritetsskyddet och allmänhetens förtroende för infor- mationshantering i forskningsdatabaser. En välutvecklad behörig- hetsstyrning kan ha positiva effekter inte bara på integritetsskyddet och på kvaliteten och effektiviteten i forskningen, utan även på infor- mationssystemens användbarhet.

Vi vill tydliggöra att behörighetsstyrning inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar infor- mationstillgången efter användarens behov. Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begrän- sas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Utformningen av behörigheten för åtkomst ska inte enbart skydda den registrerades integritet utan den ska också säkerställa tillgång till de uppgifter som behövs för att förvalta och använda forskningsdatabasen på det sätt som avses i regleringen.

Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i en forskningsdatabas. Behörighets- styrningen är de organisatoriska, administrativa och tekniska åtgärder som ska vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar hos en forskningshuvudman ska tilldelas en individuell behörighet för åtkomst till uppgifter om enskilda.

Det är inte endast användarens behörighet för åtkomst till upp- gifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra, dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att denne

307

Förslag till reglering av forskningsdatabaser

SOU 2018:36

har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Det är här bestämmelserna om inre sekretess blir tillämpliga, se ovan.

Ju mer omfattande användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. Det ställer stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exem- pelvis om kontinuerlig information till användarna om vilka förvänt- ningar forskningshuvudmannen har på hur uppgifter ska användas i verksamheten, om vad som är tillåten användning och inte. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.

Det är den enhet som ska ansvara för informationssäkerheten och integritetsskyddet (se 8.10.3) som ska ansvara för arbetet med behörighetsstyrningen till personuppgifterna i forskningsdatabasen.

Vi föreslår att forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personupp- gifter i en forskningsdatabas. Behörigheten ska anpassas och begrän- sas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter. Detta utgör en viktig beståndsdel de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna i forskningsdatabasen.

Kontroll av elektronisk åtkomst

Vårt förslag: Forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kontrolleras.

Forskningshuvudmannen ska göra systematiska och återkom- mande kontroller av om någon obehörigen kommer åt person- uppgifter i en forskningsdatabas.

En förutsättning för att överhuvudtaget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda i en forskningsdatabas är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas.

Loggen bildar den behandlingshistorik som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlings- historiken måste det därför gå att utläsa den information som behövs

308

SOU 2018:36

Förslag till reglering av forskningsdatabaser

för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.

Bestämmelsen som vi föreslår innebär att forskningshuvudmannen ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkom- mande.

Det är den enhet som ska säkerställa informationssäkerheten och integritetsskyddet (se avsnitt 8.10.3) i forskningsdatabasen som ska utföra arbetet med att dokumentera och kontrollera åtkomsten till personuppgifterna i forskningsdatabasen.

Vi föreslår att forskningshuvudmannen ska dokumentera och kon- trollera åtkomsten till personuppgifter. Detta arbete utgör en viktig beståndsdel i de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna i forskningsdatabasen.

8.10.6Intern uppföljning (revidering)

Vårt förslag: Forskningshuvudmannen ska regelbundet ta ställ- ning till om behandlingen av personuppgifter i en viss forsknings- databas ska fortsätta.

Forskningshuvudmannen är personuppgiftsansvarig för behandlingen av personuppgifterna i forskningsdatabasen. Detta ansvar innebär att behandlingen i varje stund måste vara laglig. Det finns därför anled- ning för den ansvarige att regelbundet bilda sig en uppfattning om hur forskningsdatabasen fungerar. Kan den användas på det sätt som planerades när beslutet om att inrätta en forskningsdatabas fattades? Är forskningsdatabasen ändamålsenlig? Kommer den att användas fortsättningsvis?

Om forskningshuvudmannen får indikationer på att forsknings- databasen inte fungerar ändamålsenligt finns anledning att överväga om behandlingen av personuppgifter ska fortsätta. Finner forsknings- huvudmannen att det inte finns någon sådan anledning måste forsk- ningsdatabasen avvecklas. Se vidare avsnitt 8.12 om avvecklingen av en forskningsdatabas.

309

Förslag till reglering av forskningsdatabaser

SOU 2018:36

En långsiktigt bevarad forskningsdatabas kan efter många år visa sig kunna utgöra ett värdefullt underlag för annan forskning än den som var avsedd vid databasens tillkomst. Det kan, som anges i dataskyddsförordningens skäl 33, vara svårt att i detalj avgöra vilka frågeställningar inom forskningen som kan komma att få användning av databasen inom från början dess definierade gränser. Det kan även förekomma att det grundläggande ändamålet kan komma att behöva förändras i grunden. Ett gammalt forskningsområde kan ha fått minskad betydelse, exempelvis i samband med att det samhälls- problem som varit föremål för forskning försvunnit (t.ex. en smittsam sjukdom) eller ändrat karaktär. Forskningshuvudmannen bör därför löpande utvärdera formuleringen av ändamålet och vid behov ta ett beslut om förändrad inriktning. I samband med ett sådant ställnings- tagande måste forskningshuvudmannen bedöma om en sådan för- ändring är förenlig med grundläggande bestämmelser om dataskydd.

Vi föreslår att forskningshuvudmannen regelbundet ska ta ställ- ning till om behandlingen av personuppgifter i en viss forsknings- databas ska fortsätta.

8.10.7Extern uppföljning och utvärdering

Vårt förslag: Vetenskapsrådet ska regelbundet följa upp och ut- värdera verksamheten i en forskningsdatabas. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabasen avseende säkerhet och ändamålsenlighet.

Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om på vilket sätt och hur ofta Vetenskaps- rådets uppföljning och utvärdering ska utföras.

Vårt förslag till en reglering av forskningsdatabaser syftar till att göra det såväl lagligt som säkert att behandla personuppgifter i forsknings- databaser. Eftersom behandling av personuppgifter i en forsknings- databas kan innebära integritetsrisker för enskilda, måste verksam- heten omgärdas av ändamålsenliga skyddsåtgärder och regler om organisation och ansvarstagande. Behandlingen av personuppgifter i

310

SOU 2018:36

Förslag till reglering av forskningsdatabaser

forskningsdatabaser kommer att vara föremål för tillsyn av Data- inspektionen. Det är nödvändigt att det finns en kontroll över forsk- ningsdatabasen så att denna personuppgiftsbehandling bedrivs med hög säkerhet och på ett rättsenligt sätt. Vi anser dock att det, utöver den insyn och kunskap som kan utvinnas genom tillsyn av verksam- heten i forskningsdatabasen, även behövs en annan typ av myndig- hetskontroll.

Såväl regeringen som Vetenskapsrådet och tillsynsmyndigheten har behov av kunskap för att kunna följa utvecklingen när det gäller inrättande av forskningsdatabaser med stöd av den lagstiftning som utredningen föreslår. Sådan kunskap behövs för att på olika sätt kunna påverka utvecklingen i önskvärd riktning. Kunskapen är exempelvis värdefull när det gäller att bedöma effekterna av den nya lagstiftningen och kunna ställning till behov av förändringar i regleringen. Den utvärdering som vi föreslår att Vetenskapsrådet ska göra utgör således inte tillsyn. Däremot kan utvärderingen utgöra viktig information för tillsynsmyndigheten.

Detta uppdrag stämmer också väl överens med det uppdrag som Vetenskapsrådet redan har inom forskningens område. Myndigheten ska enligt sin instruktion bl.a. utvärdera forskning och bedöma forsk- ningen och dess vetenskapliga kvalitet och betydelse och genomföra forskningspolitiska analyser samt ge regeringen råd i forsknings- politiska frågor. En betydelsefull del av myndighetens uppgifter handlar om att stödja utvecklingen av forskningsinfrastrukturer. I detta ingår att förbättra tillgängligheten till och underlätta använd- ningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register.

Vi föreslår därför att Vetenskapsrådet också ska få i uppdrag att regelbundet följa upp och utvärdera verksamheten i forsknings- databaser och redovisa resultatet till regeringen. Varje forsknings- databas ska vara godkänd vid etikprövning. Information om vilka forskningsdatabaser som finns kommer därför att kunna inhämtas från Etikprövningsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras. Sådana föreskrifter kan t.ex. reglera hur omfattande och frekvent sådana utvärderingar ska göras.

311

Förslag till reglering av forskningsdatabaser

SOU 2018:36

8.11Användningen av en forskningsdatabas

8.11.1Behov av reglering i detta steg av livscykeln

En forskningshuvudman skapar en forskningsdatabas för att uppgifts- samlingen ska komma till användning i forskningen. Därför kommer de frågor som hör ihop med detta steg i livscykeln främst att handla om villkoren och sättet för utlämning av uppgifter från forsknings- databasen. Bestämmelserna om sekretess hör därför till detta steg, men dessa förslag behandlar vi dock i steg 2. Dessa frågor aktualiseras redan i samband med insamlingen av uppgifter till databasen. Formerna för åtkomst till uppgifterna i databasen hör också till detta steg.

Andra skyddsåtgärder som aktualiseras i detta steg är kravet på etikprövning av det forskningsprojekt som vill använda uppgifter i forskningsdatabasen.

Uppgiften för Vetenskapsrådet att initiera och stödja arbetet med utarbetandet av uppförandekoder (avsnitt 8.11.7) utgör också exem- pel på en typ av skyddsåtgärd som kommer att göra det lättare för forskningshuvudmännen att göra rätt.

8.11.2Villkor för utlämnande av personuppgifter från en forskningsdatabas

Vårt förslag: Personuppgifter i en forskningsdatabas ska få lämnas ut till ett forskningsprojekt under förutsättning att

1.tystnadsplikt enligt offentlighets- och sekretesslagen eller denna lag inte hindrar det, och

2.forskningsprojektet har godkänts enligt etikprövningslagen.

Etikprövningslagen ska utvidgas så att kravet på etikprövning ska gälla alla forskningsprojekt som använder sig av personuppgifter som samlas in från forskningsdatabaser.

Personuppgifter som behandlas för att lämnas ut till forskning, får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

312

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Utöver de integritetsrisker som behandling av personuppgifter som insamlingen till och bevarandet av uppgifterna i forskningsdatabasen innebär tillkommer ytterligare riskfaktorer i samband med ut- lämnandet av uppgifter från forskningsdatabasen. Syftet med forsk- ningsdatabasen är att använda uppgifterna för forskningsändamål. Forskningsdatabasen måste kunna fungera ändamålsenligt samtidigt som den enskildes integritet skyddas. Det är därför nödvändigt att omgärda själva utlämnandet av uppgifterna med en tydlig reglering som innefattar ytterligare skyddsåtgärder.

När en forskningshuvudman får en förfrågan om utlämnande av personuppgifter från en forskningsdatabas ska en prövning göras om uppgifterna får lämnas ut med hänsyn till reglerna om tystnadsplikt.

Uppgifter ska kunna lämnas ut från forskningsdatabasen såväl till forskningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs av privata forskningshuvudmän. Det är inte vilken typ av huvudman som ansvarar för projektet som ska ha betydelse för frågan om uppgifterna får lämnas ut, utan om de grundläggande villkoren är uppfyllda.

Utöver att det krävs att uppgifterna får lämnas ut med hänsyn till tystnadsplikten ska också krävas att forskningsprojektet har godkänts vid etikprövning. Detta krav ska gälla oavsett om forskningsprojektet avser att behandla känsliga personuppgifter eller uppgifter om lag- överträdelser eller inte. För forskningsprojekt som inte kommer att använda sig av uppgifter från forskningsdatabaser kommer de regler fortsätta att gälla som gäller i dag, det vill säga att endast forsknings- projekt som ska använda känsliga personuppgifter eller uppgifter om lagöverträdelser behöver ha ett etikgodkännande. Vi bedömer dock att det är ändamålsenligt att kräva en extra skyddsåtgärd avseende forskning som använder sig av personuppgifter från en forsknings- databas.

Behandling av personuppgifter i en forskningsdatabas och ut- lämnande av uppgifter från den innefattar risker för den personliga integriteten som måste beaktas. För att sådan behandling ska vara godtagbar anser vi att det måste ställas sådana krav på säkerhet vid hanteringen att risker för felaktig hantering av uppgifterna minimeras. Vi anser därför att den behandling av personuppgifter som är syftet med en forskningsdatabas – att samla in och sedan lämna ut uppgifter för forskningsändamål – måste omfattas av etikprövning i två steg. Såväl själva forskningsdatabasen, som de forskningsprojekt som ska

313

Förslag till reglering av forskningsdatabaser

SOU 2018:36

använda sig av den måste vara etikprövade. Vi förslår därför att detta ska regleras som villkor i lagen om forskningsdatabaser, men det måste också leda till en utvidgning av den prövning som regleras i etikprövningslagen. Vi förslår därför även ändringar av etikprövnings- lagens tillämpningsområde. Lagen ska tillämpas på forskning som innefattar behandling av personuppgifter i en forskningsdatabas och även på forskning som innefattar behandling av uppgifter som samlas in från en forskningsdatabas.

Etikprövning av forskning som avser behandling av personupp- gifter som begärs ut från en forskningsdatabas ska göras på mot- svarande sätt som etikprövning av andra forskningsprojekt. Den enda skillnaden är att etikprövningen ska göras av alla sådana forsknings- projekt oavsett vilken typ av personuppgifter som begärs ut från forskningsdatabasen. En sådan forskning ska således etikprövas även om forskningen inte omfattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser.

I 7–11 §§ nu gällande etikprövningslagen anges de allmänna utgångspunkter som ska kontrolleras vid etikprövningen. Det är dessa villkor som ska prövas även för forskningsprojekt som använder uppgifter som begärs ut från forskningsdatabaser.

Vi bedömer att det är en lämplig skyddsåtgärd att all person- uppgiftsbehandling som hör ihop med forskningsdatabaser ska omfattas av etikprövning. Därför föreslår vi att sådan forskning som ska baseras på uppgifter som begärs ut från en forskningsdatabas alltid ska etikprövas.

Det huvudsakliga syftet med en forskningsdatabas ska alltså vara att göra det möjligt att bygga upp databaser som kan utgöra underlag för forskningsprojekt och att lämna ut uppgifter till sådana projekt. För att möjliggöra granskning av sådana projekt som använder personuppgifter från en forskningsdatabas krävs också att utlämnande får göras även till ett universitet eller en högskola som genomför en utredning om misstanke om oredlighet i forskning. Vi anser också att lämnande av uppgifter till Överklagandenämnden för etikprövning ska vara möjlig så att yttrande enligt 1 kap. 16 § högskoleförordningen (1993:100) i samband med en sådan utredning kan lämnas.59

59Enligt lagen (2018:147) om ändring i lagen (2003:460) om etikprövning av forskning som avser människor kommer den Centrala etikprövningsnämnden att ersättas av Överklagande- nämnden för etikprövning. Enligt vad utredningen kunnat inhämta finns ännu inga beslutade ändringar av högskoleförordningen och förordningen. (2007:1068) med instruktion för

314

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Vi föreslår således att personuppgifter i en forskningsdatabas ska få användas för att lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Enligt de regler som finns om god forskningssed60 ska forskningen kunna kontrolleras, vilket ställer krav på att andra forskare ska kunna få tillgång till uppgifterna. Forskningresultaten ska alltså kunna verifieras genom att det är möjligt att i detalj kontrollera beräkningar och analyser. Utöver detta ska ny forskning kunna verifiera resultat genom oberoende analyser med användning av samma metoder som den ursprungliga forskningen använde. Tillräcklig vetenskaplig evidens för att överföra forskningsresultat till praktisk tillämpning anses inte föreligga förrän en sådan verifierings- och replikerings- process har genomförts. För att detta ska vara möjligt krävs ofta till- gång till de ursprungliga uppgifterna. Om forskningen ska kontrolle- ras genom sådan annan forskning, ska i stället de grundläggande bestämmelserna om utlämnande till forskningsprojekt tillämpas.

8.11.3Pseudonymisering och annat likvärdigt skydd

Vårt förslag: Personuppgifter som lämnas ut från en forsknings- databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

Personuppgifter får dock vara direkt identifierbara vid ut- lämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna ska lämnas ut till.

Pseudonymisering som skyddsåtgärd

Vi föreslår att uppgifterna som samlas in till och behandlas i en forsk- ningsdatabas ska få vara direkt identifierbara om det är nödvändigt för att uppfylla ändamålet med uppgiftssamlingen (avsnitt 8.9.2). Där- emot anser vi att de uppgifter som lämnas ut från forskningsdatabasen för att användas i forskningen som regel inte ska få vara direkt

Centrala etikprövningsnämnden. Sådana förslag till ändringar finns i departements- promemorian En ny organisation för etikprövning av forskning, Ds 2016:46.

60Vetenskapsrådet har år 2017 uppdaterat sin publikation God forskningssed, som finns att hämta på myndighetens webbplats www.vr.se

315

Förslag till reglering av forskningsdatabaser

SOU 2018:36

identifierbara utan ska vara pseudonymiserade eller skyddade på lik- värdigt sätt.

I de allra flesta fall innebär forskningen att direkt identifikation av personer är ointressant. Det är därför oftast möjligt att arrangera uppgifterna på ett för den aktuella frågeställningen relevant sätt redan innan utlämnandet. Detta underlättas vidare om forskningsdatabasen förvaltas av forskningshuvudmannen där avståndet mellan forskare och databasförvaltare är relativt kort och de senare besitter den kompetens som forskningshuvudmannen bedömer nödvändig.

Av dataskyddsförordningen framgår också att tillämpningen av pseudonymisering kan minska riskerna för de registrerade och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förordningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).

För att en åtgärd ska utgöra pseudonymisering krävs alltså att upp- gifter som möjliggör identifikation ska förvaras separat. En s.k. kod- nyckel kan användas för att ersätta direkta identifierare (t.ex. person- nummer eller namn) I vissa fall kan kodnyckeln vara tillräcklig för att också eliminera möjligheten till indirekt identifiering. I andra fall krävs ytterligare separation av uppgifter från det ursprungliga mate- rialet för att kriterierna för pseudonymisering ska vara uppfyllda. Vid fjärråtkomst till forskningsdatabasen kan en pseudonymisering åstad- kommas genom att åtkomst erbjuds endast till en del av uppgifterna.

Pseudonymiserade uppgifter är fortfarande personuppgifter och faller därför inom förordningens tillämpningsområde. Pseudonymi- sering framhålls på flera ställen i dataskyddsförordningen som en tänkbar skyddsåtgärd. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. Vid registerbaserad forskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form.

316

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Alternativ till pseudonymisering enligt dataskyddsförordningen

Den legaldefinition av pseudonymisering som finns i dataskydds- förordningen är strikt och ställer framför allt kravet på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att komplet- terande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer/koder. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt.

Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet.61 Sett till syftet med pseudonymi- sering bör det därför vara möjligt att använda alternativa skydds- åtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Utvecklingen, framför allt på det tekniska området, gör det mindre lämpligt att föreskriva en viss form av skyddsåtgärder om lämpligare tekniker kan komma att utvecklas i framtiden.

Vad är likvärdigt skydd?

Det skydd som följer av pseudonymisering utgörs främst av att identifierande uppgifter avlägsnas från de uppgifter som behandlas. Information som kan användas för att identifiera den enskilde bevaras separat och omgärdas av säkerhetsåtgärder. Detta hindrar att den enskilde sammankopplas med sina uppgifter.

Med likvärdigt skydd avser vi en åtgärd eller kombination av åtgärder som i samma utsträckning som pseudonymisering förhindrar att den enskilde obehörigen sammankopplas med sina person- uppgifter. Med obehörig sammankoppling avser vi här en samman- koppling mellan den enskilde och dennes uppgifter som inte framgår från det angivna ändamålet med behandlingen.

Alternativa åtgärder kan åstadkomma ett likvärdigt skydd genom att exempelvis begränsa åtkomst till identifierande uppgifter, eller omfatta instruktioner för hur personuppgiftsbehandling får bygga på användning av identifierande uppgifter. Exempel på sådana åtgärder kan vara att en separat organisation har hand om sådan information

61Se exempelvis diskussionen om skyddsåtgärderna randomisering och generalisering i avsnitt 12.3.3 i vårt delbetänkande SOU 2017:50.

317

Förslag till reglering av forskningsdatabaser

SOU 2018:36

som kan användas för att identifiera den enskilde, eller att instruk- tionerna för personuppgiftsbehandling inom ramen för forskningen uttryckligen förbjuder försök till återidentifiering.62

Detta likvärdighetskriterium för skyddsåtgärder gör det möjligt att exempelvis använda mindre ingripande metoder för att behandla uppgifterna, exempelvis att endast ersätta direkt identifierande upp- gifter med pseudonymer eller koder (kodning), under förutsättning att ytterligare åtgärder vidtas för att säkerställa att någon obehörig sammankoppling mellan den enskilde och dennes personuppgifter inte görs.

Undantag från kravet på pseudonymisering eller likvärdigt skydd

Av artikel 89.1 i dataskyddsförordningen framgår att skyddsåtgärder vid personuppgiftsbehandling får inbegripa pseudonymisering under förutsättning att ändamålen kan uppfyllas på det sättet. Det finns alltså ett utrymme i förordningen att inte tillämpa pseudonymisering. Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forsk- ningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller något annat likvärdigt skydd, om det är nödvändigt för att uppfylla ändamålet med den forskning upp- gifterna lämnas ut till.63

Nödvändighetsrekvisitet ska här tolkas som i dataskydds- förordningen, dvs. en behandling är nödvändig om det önskade resultatet inte rimligen kan uppnås på annat sätt (jfr skäl 39). I vårt delbetänkande gjorde vi bedömningen att användning av person- uppgifter kan medföra högre kvalitet och tillförlitlighet i forsknings- resultatet, och att detta bör kunna beaktas vid en nödvändighets- bedömning. Vi diskuterade i detta sammanhang ingående nödvändig- hetsrekvisitet.64 Även användning av direkt identifierbara uppgifter kan i vissa fall medföra högre kvalitet och tillförlitlighet i forsknings- resultat än om pseudonymiserade eller på likvärdigt sätt skyddade

62SOU 2017:50, avsnitt 12.3.2.

63SOU 2017:50 s. 288.

64SOU 2017:50 s. 124 ff.

318

SOU 2018:36

Förslag till reglering av forskningsdatabaser

uppgifter används. Detta ska enligt vår mening beaktas vid bedöm- ningen av om det är nödvändigt att personuppgifterna som lämnas ut är direkt identifierbara.

I sammanhanget bör även uppmärksammas att 10 § etikprövnings- lagen ställer krav på att integritetskänslig forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners personliga integritet m.m.

Sammanfattning

Med beaktande av skaderisken vad gäller intrånget i den registrerades personliga integritet som sammankopplingen mellan dennes identitet och anknytande personuppgifter medför anser vi att det ska vara en huvudregel att forskningshuvudmannen ska skydda personupp- gifterna i forskningsdatabasen genom att vid utlämning av uppgifterna tillämpa pseudonymisering eller något annat likvärdigt skydd. Endast undantagsvis ska det vara tillåtet för forskningshuvudmannen att lämna ut personuppgifter utan sådant skydd.

8.11.4Utlämnande av uppgifter till LIS och andra forskningsdatabaser i Europa

I kapitel 11 lämnar vi förslag till en ny bestämmelse i offentlighets- och sekretesslagen som ska göra det möjligt att pröva utlämnande av uppgifter till forskningsdatabaser utanför Sverige som omfattas av dataskyddsförordningen.

8.11.5Direktåtkomst ska inte vara tillåten för andra än de registrerade

Vårt förslag: Personuppgifter i en forskningsdatabas får inte lämnas ut genom direktåtkomst annat än till den enskilde själv.

Syftet med den föreslagna lagen om forskningsdatabaser är att en forskningsdatabas ska kunna lämna ut uppgifter som ska ligga till grund för forskning och att dess uppgifter ska vara tillgängliga för många olika forskningsprojekt. Frågan uppkommer då på vilket sätt

319

Förslag till reglering av forskningsdatabaser

SOU 2018:36

som uppgifterna i forskningsdatabasen ska få lämnas ut. Hanteringen förenklas om det är möjligt och tillåtet att lämna ut uppgifterna elektroniskt, t.ex. genom direktåtkomst.

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av.65 Se även avsnitt 3.3.9 om begreppets användning i olika sammanhang.

Effektivitetsskäl skulle kunna tala för ett utlämnande genom direktåtkomst av uppgifter från den forskningshuvudman som ansvarar för databasen och det forskningsprojekt som ska använda uppgifterna.

Det finns integritetsskäl som talar mot en sådan reglering. En forskningsdatabas kommer att innehålla personuppgifter, även käns- liga personuppgifter och uppgifter om lagöverträdelser, om en stor mängd personer. Dessa skulle genom direktåtkomst kunna göras tillgängliga utan att forskningsprojektet kommer ha ett egentligt behov av samtliga uppgifter. Att ett större antal personer har möjlig- het att ta del av uppgifter ökar risken för obehörig vidarespridning även om de personer hos den andra myndigheten som får del av informationen har tystnadsplikt.

Bestämmelser om direktåtkomst medför vidare att ett forsknings- projekt hos en mottagande myndighet vid en begäran om utlämnande måste överföra och ta del av information för att kunna göra en sekretessprövning, även av sådan information som den mottagande myndigheten egentligen inte är behov av i sin egen verksamhet. Att flera myndigheter ska göra sekretessprövning avseende samma material ökar också risken för att de olika myndigheterna tillämpar den gällande sekretessbestämmelsen på olika sätt.

Sammanfattningsvis anser vi att integritetsskäl talar mot att de mottagande forskningsprojekten ska ha direktåtkomst till person- uppgifter i en forskningsdatabas.

Lagen bör därför innehålla en bestämmelse av vilken det framgår att utlämnande av personuppgifter i databasen genom direktåtkomst inte får förekomma.

65Se t.ex. prop. 2004/05:164 s. 83, 2009/10 :85 s. 168 och 2011/12 :45 s. 133.

320

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Eftersom avsikten är att personuppgifter i register enligt den föreslagna lagen ska kunna lämnas ut för att behandlas vidare i viss registerbaserad forskning, gör vi dock bedömningen att det inte bör uppställas några restriktioner för andra former av elektroniskt utlämnande av personuppgifter än direktåtkomst. Det bör således inte uppställas några särskilda begränsningar i fråga om t.ex. utlämnande på medium för automatiserad behandling.

Utlämnande genom fjärråtkomst utgör ett automatiserat ut- lämnande (således inte direktåtkomst) och kan reducera eller helt eliminera behovet av att kopiera uppgifter när de ska användas i enskilda forskningsprojekt. En forskningsdatabas som är gemensam för flera forskningsprojekt kan huvudsakligen lämna ut uppgifter genom fjärråtkomst. Denna metod för utlämnande kan ses som ett sätt att tillfredsställa dataskyddsförordningens princip om uppgifts- minimering. SCB:s MONA-system kan här användas som förebild.

8.11.6Direktåtkomst för den registrerade själv

Vårt förslag: En forskningshuvudman ska få medge en registrerad direktåtkomst till direkt identifierbara uppgifter om den enskilde själv som behandlas i en forskningsdatabas.

Innan uppgifterna lämnas ut på detta sätt till den registrerade ska forskningshuvudmannen pröva om uppgifterna får lämnas ut.

Den registrerade får under samma förutsättningar medges direktåtkomst till loggdokumentation.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst.

Allt fler medborgare förväntar sig att i de flesta sammanhang kunna använda sig av olika elektroniska tjänster. Inom hälso- och sjukvården t.ex. kan patienter söka information om sjukdomar och behandlingar via internet. Det har också blivit vanligt att patienter kan boka tider, förnya recept eller ställa frågor via internet. Patienter har även i stor utsträckning möjlighet att ta del av sina patientjournaler på nätet.

Mot bakgrund av den ökade digitaliseringen i samhället framstår det som naturligt att registrerade ges möjlighet att få direktåtkomst till sådana direkt identifierbara uppgifter i en forskningsdatabas som

321

Förslag till reglering av forskningsdatabaser

SOU 2018:36

får lämnas ut till dem. Vi anser att det är rimligt att erbjuda de registrerade möjlighet till insyn i den behandling av personuppgifter som en forskningsdatabas utgörs av. Det blir ett sätt för forskningen att ge något tillbaka till dem som bidrar med sina uppgifter för att möjliggöra ett ökat kunskapsläge.

Möjligheten att erbjuda patienter direktåtkomst till sina patient- journaler infördes genom patientdatalagen, som trädde i kraft år 2008. Det har tagit lång tid för vårdgivarna att införa system som möjliggör det. Det var först under år 2017 som möjlighet till sådan åtkomst kunde erbjudas i stor skala. Någon rättighet för enskilda att ha direkt- åtkomst till sina uppgifter till forskningsdatabaser bör därför inte införas för närvarande. I nuläget skulle det föra för långt att ålägga samtliga forskningshuvudmän en sådan skyldighet. Det är nödvändigt att ett sådant erbjudande kan genomföras på ett säkert sätt. Det måste t.ex. gå att säkerställa den registrerades identitet på ett sådant sätt att det är rätt person som får åtkomst till uppgifterna.

Direktåtkomsten bör avse sådana uppgifter om den enskilde själv som är lämpliga att lämnas ut till honom eller henne och som är direkt identifierbara. Om uppgifterna i en forskningsdatabas är pseudonymi- serade eller skyddade på annat likvärdigt sätt, ska direktåtkomst inte erbjudas. Forskningshuvudmannen ska inte behöva göra uppgifterna direkt identifierbara i syfte att erbjuda direktåtkomst.

Uppgifterna i en forskningsdatabas kommer ofta vara av mycket integritetskänslig karaktär, och regelmässigt omfattas av sekretess (avsnitt 8.9.5). Enligt 12 kap. 1 § OSL gäller sekretess som huvudregel inte mot den enskilde, om inte annat anges i lagen. I de fall där det saknas tillämpliga undantag från denna huvudregel utgör därför inte sekretessreglering ett hinder mot att erbjuda direktåtkomst för den enskilde.

Forskningsdatabaser kan omfattas av personuppgifter som är in- samlade från hälso- och sjukvården. I vården är dessa uppgifter omfattade av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. En sådan sekretess kan i undantagsfall gälla mot patienten själv (25 kap. 6 § OSL). Det är en bestämmelse som ytterst sällan används, men som alltjämt finns kvar.66 I teorin skulle det därför kunna finnas uppgifter i en forskningsdatabas, som i hälso- och sjukvården inte skulle lämnas

66Utredningen om rätt information i vård och omsorg föreslog i sitt betänkande Rätt infor- mation på rätt plats i rätt tid (SOU 2014:23) att denna sekretessbestämmelse skulle upphöra att gälla, s. 886 ff.

322

SOU 2018:36

Förslag till reglering av forskningsdatabaser

ut till patienten. Vi föreslår inte att det ska finnas någon sådan bestäm- melse om sekretess mot den registrerade själv i anslutning till den forskningssekretess som ingår i våra förslag. Däremot ska ju en sekretessprövning göras vid utlämnande av uppgifter. Om forsknings- huvudmannen vet att det finns uppgifter i forskningsdatabasen som det skulle kunna innebära men för den registrerade om de lämnades ut till denne, bör uppgifterna inte lämnas ut. Forskningshuvud- mannen bör alltså inte erbjuda direktåtkomst till sådana uppgifter. Detta är dock troligen ett teoretiskt problem som sällan bör uppstå.

En registrerad som har fått direktåtkomst till sina uppgifter och som på egen hand tar del av dessa kanske kan ha svårt att förstå upp- gifterna. En forskningshuvudman som erbjuder forskningsperso- nerna direktåtkomst till sina uppgifter bör därför också erbjuda de registrerade hjälp med att förstå vad det är de får ta del av.

Forskningshuvudmannen ansvarar för att enbart rätt personer i verksamheten får åtkomst till uppgifterna och för att åtkomsten används på rätt sätt. Därför finns det i vårt lagförslag krav på att forsk- ningshuvudmannen ska styra och kontrollera åtkomsten. Genom att erbjuda de registrerade möjlighet till direktåtkomst till de loggar som dokumenterar vilken åtkomst som förekommit, kan forsknings- huvudmannen få den registrerades hjälp med denna kontroll. Vet- skapen om att en sådan kontroll från den registrerade kan förekomma, kan också ha en avhållande effekt mot felaktig användning av uppgifterna.

Vi bedömer att det krävs säkerhetsåtgärder för att forsknings- huvudmän ska kunna medge de registrerade direktåtkomst till sina uppgifter. Det måste t.ex. finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är inte möjligt att i lag precisera de krav som bör ställas. Vi föreslår därför att regeringen, eller den myndighet som regeringen bestämmer, efter samråd med Datainspektionen får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för forsk- ningspersoner.

Sammanfattningsvis föreslår vi således att forskningshuvudmän ska få erbjuda forskningspersoner direktåtkomst till direkt identi- fierbara uppgifter om sig själva och till den logginformation som finns om åtkomst till dessa uppgifter.

323

Förslag till reglering av forskningsdatabaser

SOU 2018:36

8.11.7Uppförandekoder som stöd vid behandling av personuppgifter i forskningsdatabaser

Vårt förslag: Vetenskapsrådet ska få i uppdrag att stödja forsk- ningshuvudmännen i utarbetandet av gemensamma uppförande- koder.

Principen om ansvarsskyldighet som den uttrycks i dataskydds- förordningen innebär en skyldighet att kunna visa att regelverket följs. Förordningen pekar också på hur detta kan gå till. Exempelvis är ett sätt för den personuppgiftsansvarige att visa detta, att ansluta sig till en godkänd uppförandekod eller en godkänd certifieringsmekanism (art 24.3 och art 32.3).

I syfte att specificera hur dataskyddsförordningen ska tillämpas inom en viss bransch eller sektor, får sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, utarbeta uppförandekoder (artikel 40).

I dataskyddsförordningens artikel 40 regleras vidare att medlems- staterna, tillsynsmyndigheterna, Europeiska dataskyddsstyrelsen67 och kommissionen ska uppmuntra utarbetandet av uppförandekoder. Dessa koder är avsedda att bidra till att förordningen efterlevs, med hänsyn till särdragen hos de olika sektorer där uppgifter behandlas, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

En gemensam uppförandekod är alltså enligt dataskyddsförord- ningen en möjlighet för sammanslutningar som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att specificera hur man i praktiken ska tillämpa dataskyddsförordningens bestämmelser, som i många avseenden är allmänt hållna. Uppförandekoder är möjliga även om det finns nationella bestämmelser som, med stöd i dataskyddsförordningen, närmare reglerar hur uppgifter får behandlas inom en sektor.

67Europeiska dataskyddsstyrelsen kommer att inrättas när dataskyddsförordningen börjar tillämpas i maj 2018. Den kommer att bestå av representanter från samtliga EU-länders dataskyddsmyndigheter, däribland Datainspektionen (artikel 68 i dataskyddsförordningen). Styrelsen har befogenhet att fatta beslut i frågor där nationella tillsynsmyndigheter inte kan komma överens, ge råd och vägledning om hur dataskyddsförordningen ska tillämpas och godkänna EU-omfattande uppförandekoder och certifieringar (artikel 40–42 m.fl. artiklar i dataskyddsförordningen).

324

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Uppförandekoder kan på flera sätt spela en viktig roll i tillämp- ningen av förordningen. En sådan kan tydliggöra hur förordningen ska tillämpas och på det sättet underlätta för den ansvarige att visa att den följer förordningen och på vilket sätt.

Av dataskyddsförordningen framgår att de som får utarbeta uppförandekoder är sammanslutningar och andra organ, som före- träder kategorier av personuppgiftsansvariga eller personuppgifts- biträden. Det är med andra ord företrädare för personuppgifts- ansvariga eller personuppgiftsbiträden som står bakom en kod, och som står som författare till koden.

Förordningen innehåller vidare ett aktivitetskrav på både natio- nella myndigheter och EU-gemensamma organ när det gäller ut- arbetandet av uppförandekoder. I förordningens artikel 40 sägs att medlemsstaterna, tillsynsmyndigheterna, dataskyddsstyrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder.

Integritetskommittén anförde i sitt slutbetänkande att ”upp- muntra” bör förstås som att de nämnda organen ska initiera och stödja företrädare för personuppgiftsansvariga eller personuppgiftsbiträden i arbetet med att ta fram uppförandekoder.68

Enligt dataskyddsförordningen ska sammanslutningar och andra organ som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder, lämna in utkastet till den behöriga till- synsmyndigheten. Tillsynsmyndigheten ska yttra sig om utkastet överensstämmer med förordningen och godkänna det om den finner att tillräckliga garantier tillhandahålls.

Om utkastet till kod godkänns, och om den berörda uppförande- koden inte avser behandling i flera medlemsstater, ska tillsynsmyndig- heten registrera och offentliggöra uppförandekoden.

Dataskyddsförordningens regler behöver i många fall specificeras och förtydligas. Förordningens krav behöver beskrivas i praktiska anvisningar till de personuppgiftsansvariga för att kraven ska kunna göra någon verklig skillnad för den personliga integriteten och faktiskt bidra till bättre skydd och större tydlighet för de registrerade.

Vi bedömer att uppförandekoder på ett pedagogiskt sätt kan anpassas till de befattningshavare i de berörda verksamheterna som i praktiken gör bedömningar och val avseende hur uppgifterna ska behandlas i en forskningsdatabas. Vi anser därför att det vore önskvärt om de forskningshuvudmän som ansvarar för forskningsdatabaser tog

68Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 75.

325

Förslag till reglering av forskningsdatabaser

SOU 2018:36

fram en uppförandekod till stöd för tillämpningen av dataskydds- förordningen och forskningsdatabaslagen vid behandling av person- uppgifter. En säkrare rättstillämpning inom detta område stärker skyddet för den personliga integriteten.

Även om utarbetandet av förslag till uppförandekoder ska utföras av de personuppgiftsansvarigas eller personuppgiftsbiträdenas bransch- organisationer, kommer arbetet med att uppmuntra, granska och god- känna uppförandekoder att behöva göras av nationella myndigheter och EU-gemensamma organ.

Vi bedömer att Vetenskapsrådet är den branschspecifika myndig- heten som bäst känner till forskningshuvudmännen och de vanligast förekommande integritetsrelaterade frågorna och problemen. Det kan således vara lämpligt att myndigheten initierar arbetet genom att exempelvis samla forskningshuvudmännen till ett första möte där möjligheten till uppförandekod diskuteras. Myndigheten kan också vid behov hålla samman arbetet fram till dess att koden ska godkännas. Vi föreslår därför att Vetenskapsrådet ska få i uppdrag att initiera och stödja arbetet med framtagande av uppförandekoder för behandling av personuppgifter i forskningsdatabaser. Detta uppdrag stämmer väl överens med det uppdrag som myndigheten redan har att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om rele- vanta bestämmelser om register. Detta framgår av 2 § förordningen (2009:975) med instruktion för Vetenskapsrådet.

Vi föreslår således att det av Vetenskapsrådets instruktion ska framgå att det också är en uppgift för myndigheten att initiera och stödja arbetet med att ta fram en gemensam uppförandekod enligt dataskyddsförordningen.

8.12Avvecklingen av en forskningsdatabas

8.12.1Behov av reglering i detta steg av livscykeln

En forskningsdatabas kan av olika anledningar behöva avvecklas. Behovet kan vara täckt av andra databaser, forskningsproblemet kan ha upphört att vara intressant, eller ny teknik kan ha utvecklats så att uppgifterna kan nås på annat sätt. Till detta steg i en forskningsdatabas livscykel, avvecklingen, hör frågan om uppgifterna ska gallras eller bevaras genom arkivering.

326

SOU 2018:36

Förslag till reglering av forskningsdatabaser

8.12.2Arkivering

Vår bedömning: Arkivlagstiftningens principer om bevarande bör vara utgångspunkten för uppgifter i en forskningsdatabas. Enligt vår bedömning är detta förenligt med dataskyddsförordningen. Någon särskild gallringsbestämmelse föreslås därför inte.

Utgångspunkter för bedömningen

Vårt föreslag till reglering av forskningsdatabaser innebär att statliga och kommunala myndigheter ska få behandla personuppgifter i forskningsdatabaser liksom även juridiska personer och enskilda näringsidkare, som bedriver högre utbildning och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter samt har examensrätt enligt lagen om tillstånd att utfärda vissa examina (se avsnitt 8.8.2). Som konstaterat i avsnitt 5.6 har myndigheter och andra jämställda organ på grund av offentlighetsprincipen en grundläggande skyldighet att bevara sina allmänna handlingar i arkiv.

Sådana forskningshuvudmän som behandlar personuppgifter i en forskningsdatabas ska enligt vårt förslag vara personuppgiftsansvarig för behandlingen. Arkivlagstiftningen gäller för dessa myndigheter och organ enligt arkivlagen (se avsnitt 5.6). För organ som avses i 2 kap. 4 § första meningen OSL gäller arkivlagen till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen. Detta innebär att de aktuella forskningshuvudmännen har en grundläggande skyldighet att arkivera allmänna handlingar.

Varje myndighet69 är ansvarig för arkivvården av den egna myndig- hetens handlingar. Enligt arkivlagen är huvudprincipen bevarande. Allmänna handlingar ska alltså som huvudregel bevaras i myndig- heternas arkiv. En myndighets arkiv består av de allmänna hand- lingarna från myndighetens verksamhet och vissa andra handlingar som myndigheten beslutar ska tas om hand för arkivering.

Arkivvård innefattar även gallring. Enligt 10 § tredje stycket arkiv- lagen är denna lag subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. Vid gallring ska det alltid beaktas att arkiven utgör en del av kulturarvet och att det

69När det fortsättningsvis står myndighet eller statlig myndighet innefattas som ovan angetts även de organ som enligt 2 kap. 4 § OSL ska jämställas med myndigheter.

327

Förslag till reglering av forskningsdatabaser

SOU 2018:36

arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, forskningens behov m.m.

Allmänna handlingar hos en statlig myndighet får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Bestämmelser om att uppgifter ska gallras ur register med känsliga uppgifter finns i olika registerförfattningar, se avsnitt 5.6.4.

Vi har i avsnitt 5.6.2 gått igenom dataskyddsförordningens bestämmelser om arkivering och arkivändamålens särställning. Den behandling av personuppgifter som myndigheter och andra utför när de arkiverar sina handlingar i enlighet med bestämmelser om arkiv utgör en sådan ytterligare behandling, vidarebehandling, som görs för arkivändamål av allmänt intresse och som enligt förordningen inte ska anses oförenlig med de ursprungliga ändamålen. Det krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av person- uppgifter medgavs. Den personuppgiftsansvarige ska se till att behandlingen omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgifts- minimering iakttas. Den personuppgiftsansvarige ges alltså i dessa fall ansvaret för att i det enskilda fallet se till att lämpliga skyddsåtgärder tillämpas.

Enligt 3 kap. 6 och 8 §§ dataskyddslagen får känsliga personupp- gifter och personuppgifter som rör lagöverträdelse behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. När det gäller allmänna handlingar konstaterar regeringen att det finns sådana lämpliga och särskilda åtgärder som skyddar enskildas integritet och som krävs enligt dataskyddsförordningen t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet.

Bevarande eller gallring som huvudregel?

Frågan är vilken reglering som är lämplig i lagen om forskningsdata- baser, dvs. om arkivlagens princip om bevarande bör vara huvudregeln eller om utgångspunkten bör vara den motsatta, alltså att uppgifterna som huvudregel bör gallras. I kapitel 5 redogör vi för dessa principer.

328

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Vid besvarande av frågan bör hänsyn tas till integritetsaspekter, möjligheterna till insyn samt till forskningens behov.

De databaser som kommer att möjliggöras genom den föreslagna lagen kommer att kunna innehålla en stor mängd personuppgifter, även känsliga sådana. Uppgifterna kan både vara insamlade efter sam- tycke av enskilda individer och inhämtade från myndighetsregister eller andra källor.

För de forskningshuvudmän som omfattas av våra förslag är de aktuella uppgifterna allmänna handlingar. Bevarande är den principen som gäller för allmänna handlingar, på grund av bland annat offentlighetsprincipen. Eftersom forskningshuvudmannen är bunden av arkivlagen är därför bevarande en utgångspunkt. Kravet på med- borgerlig insyn och kontroll av myndigheternas verksamhet är dock inte lika starkt som i vissa andra fall eftersom uppgifterna i en forsk- ningsdatabas inte ska användas vid myndighetsutövning mot enskilda individer. Det finns dock andra skäl för bevarande när det gäller uppgifter i en forskningsdatabas.

Databaserna kommer att kunna existera under lång tid. Det kan förutsättas att forskningsprojekt som kommer att hämta uppgifter från sådana forskningsdatabaser som möjliggörs enligt den föreslagna lagen kommer att kräva tillgång till uppgifter som ligger långt tillbaka i tiden, t.ex. för longitudinella studier. Syftet med lagen om forsk- ningsdatabaser är att möjliggöra insamling av personuppgifter som ska kunna användas i olika, även framtida, forskningsprojekt. Det är därför tänkt att forskningsdatabaserna ska kunna bidra med uppgifter till flera olika forskningsprojekt. För tidig gallring skulle motverka detta syfte.

Eftersom de forskningsdatabaser som möjliggörs enligt lagen ska kunna användas för olika forskningsprojekt under lång tid och även möjliggöra tillgång till uppgifter som ligger långt tillbaka i tiden, kommer det att vara svårt att fastställa när uppgifterna inte längre behövs i en forskningsdatabas.

Vidare är möjligheten att granska tidigare utförd forskning viktig. Det finns en risk att granskning försvåras om personuppgifter gallras alltför snabbt.

Med hänsyn till det anförda är det i vart fall så länge en databas består en utgångspunkt att uppgifterna i den bör bevaras. Det finns annars risk för stora informations- och kunskapsförluster.

329

Förslag till reglering av forskningsdatabaser

SOU 2018:36

Integritetshänsyn kan tala för en specialreglering för forsknings- databaser med gallring som utgångspunkt. Den handlar ju om att behandla en stor mängd uppgifter, och i många fall även integritets- känsliga personuppgifter. Särskilda gallringsföreskrifter om att uppgifter ur register med känsliga personuppgifter ska gallras finns ofta i s.k. registerförfattningar. I sådana som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Det rör sig då om bestämmelser som på grund av integritets- hänsyn avviker från arkivlagstiftningens huvudregel om bevarande. Då gäller normalt en omvänd princip i förhållande till den som gäller enligt arkivlagen. Sådana uppgifter ska ofta gallras senast efter en viss tid, om inte undantag har föreskrivits i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. I avsnitt 5.6.4 redogör vi för gallringsföreskrifter i särskilda registerförfattningar.

Det finns anledning att även i detta avsnitt nämna gallringsbestäm- melserna i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) samt i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen). Bestämmelserna i de lagarna innebär att huvudregeln är att gallring ska göras när uppgifterna inte längre behövs för de ändamål de behandlas för. Motivet har varit att integritetsskyddsintresset har ansetts väga över intresset av att bevara handlingarna. När det gäller IFAU-lagen vägdes även in att merparten av de uppgifter som IFAU behandlar ursprungligen har hämtats från andra myndigheter och att intresset av att uppgifterna bevaras anses tillgodosett genom att de myndigheter uppgifterna hämtats ifrån i stor utsträckning arkiverar och bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser.

Till skillnad från den ovan nämnda IFAU-lagen ska behandling av uppgifterna i LifeGene-registret göras med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. I förarbetena till LifeGene-lagen angavs att det är troligt att upp- gifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid. Gallringsbestämmelsen föreslogs ändå med motiveringen att det inte kan uteslutas att det kan komma att visa sig att vissa uppgifter inte längre behövs och därför kan gallras.

I remissbehandlingen av den promemoria som föregick pro- positionen till LifeGene-lagen framfördes kritik mot den föreslagna

330

SOU 2018:36

Förslag till reglering av forskningsdatabaser

gallringsbestämmelsen. Skåne läns landsting och Statens medicinsk- etiska råd ställde sig frågande till den i promemorian föreslagna bestämmelsen om att personuppgifter som bedöms inte längre behövas för de primära ändamålen ska utplånas eller avidentifieras. Med hänsyn till ändamålet med registret ifrågasatte myndigheterna när och om utplåning eller avidentifiering av uppgifter skulle bli aktuell.

Örebro universitet påpekade att det finns en potentiell risk att en granskning vid eventuella metodologiska frågetecken eller forsk- ningsfusk i tidigare studier försvåras om personuppgifter utplånas alltför snabbt. Örebro universitet föreslog att man kan överväga säker arkivering av material med åtkomst endast i de fall då det finns metodologiska frågetecken eller när man misstänker forskningsfusk, åtminstone för större eller kontroversiella projekt, under en period av några år efter det att projektet har avslutats.

Riksarkivet framförde att det enligt myndighetens uppfattning saknas motiv för att meddela från arkivlagen avvikande bestämmelser om gallring av personuppgifter.70

I Registerforskningsutredningens förslag till lag om forsknings- databaser fanns en gallringsbestämmelse som överensstämmer med den som finns i LifeGene-lagen. Utredaren gjorde en avvägning av de olika intressen som ställdes mot varandra. Enligt utredningen talade integritetsaspekterna och att uppgifterna inte skulle användas vid myndighetsutövning för en specialreglering med gallring som utgångspunkt. Kravet på medborgerlig rätt till insyn och kontroll av myndigheternas verksamhet bedömdes relativt sett inte vara lika starkt.

Åandra sidan poängterades att forskningsdata skulle sparas i databasen under lång tid för att göra det möjligt att efter utlämnande genomföra longitudinella studier eller undersöka till exempel vad olika förhållanden i ungdomen har för betydelse för sjukdom senare i livet. Det var alltså troligt att uppgifterna i registret skulle komma att behöva lagras för de primära ändamålen under mycket lång tid. Det anfördes att många projekt förutsätter att man har tillgång till uppgifter som ligger långt tillbaka i tiden. De insamlade person- uppgifterna skulle kunna användas i olika ännu inte specificerade forskningsprojekt, vilket enligt utredaren gjorde att det skulle komma

70Prop. 2012/13:163.

331

Förslag till reglering av forskningsdatabaser

SOU 2018:36

att bli svårt att fastställa en tidpunkt när uppgifterna inte längre behövdes i databasen.

Detta, jämte möjligheten att granska tidigare utförd forskning, talade enligt utredaren för bevarande i stället för gallring. Utredaren drog dock slutsatsen att skälen för gallring vägde tyngre och konsta- terade att även om det krävs att uppgifterna bevaras under lång tid så är det viktigt att sådana uppgifter som inte längre behövs för de primära ändamålen ska gallras.

Det kan dock enligt Registerforskningsutredningen uppstå situa- tioner där det finns anledning att bevara uppgifterna. När det gäller formuleringen av bestämmelsen hänvisar utredaren till hur bestäm- melserna brukar se ut i de särskilda registerförfattningarna. Reger- ingen eller den myndighet regeringen bestämmer skulle enligt registerforskningsutredningen ges möjlighet att meddela föreskrifter eller i ett enskilt fall besluta att uppgifterna skulle bevaras för historiska, statistiska eller vetenskapliga ändamål.

I remissbehandlingen av Registerforskningsutredningens förslag tillbakavisade Riksarkivet gallringsbestämmelsen och anförde att arkivlagens regler borde gälla. Riksarkivets angav som skäl för denna ståndpunkt att andra föreslagna bestämmelser i den nya lagen skyddar den personliga integriteten, som exempelvis att samtycke fordras för behandlingen av personuppgifter som lämnas direkt från den enskilde och kan återkallas av den enskilde, att uppgifter som hämtas från andra myndighetsregister enligt huvudregeln får behandlas under förut- sättningen att uppgifterna inte direkt kan hänföras till en person, att kodnyckelförfarande ska tillämpas och att personuppgifter som inte direkt kan hänföras till en person inte ska få behandlas i syfte att röja en persons identitet. Riksarkivet ansåg vidare att den föreslagna ändamålsanknutna gallringsbestämmelsen skulle bli svår att tillämpa eftersom ändamålen var brett formulerade.

Riksarkivet ansåg slutligen att införandet av en gallringsbestäm- melse är direkt missvisande, eftersom uppgifter som kan behövas för olika forskningsprojekt i bl.a. longitudinella studier måste bevaras under mycket lång tid. Riksarkivet tillade även att arkivlagens bestäm- melser inte utesluter gallring. Det anfördes att om uppgifter i en forskningsdatabas inte är nödvändiga för att tillgodose arkivlagens ändamål, i detta fall forskningens behov eller för att tillgodose det nationella kulturarvet, kan föreskrifter om gallring meddelas av Riksarkivet. Även Socialstyrelsen var negativ till bestämmelsen och

332

SOU 2018:36

Förslag till reglering av forskningsdatabaser

menade att den var otydligt formulerat och skulle riskera att öppna upp för godtyckliga resonemang.

Vi instämmer i att en gallringsbestämmelse som stadgar att gallring ska göras om uppgifterna inte behövs för ändamålet kan vara svår att tillämpa eftersom det sannolikt sällan kan konstateras att uppgifter inte längre behövs. Dessutom instämmer vi i att en sådan bestämmelse kan vara missvisande av den anledningen att den stadgar gallring som huvudregel, trots att gallring i praktiken skulle bli en mycket ovanlig åtgärd.

Vanligen innehåller en bestämmelse om gallring också ett undantag med möjlighet att meddela föreskrifter eller i ett enskilt fall besluta om arkivering. Detta leder till att det i praktiken inte skulle bli någon större skillnad, men att en reglering som innebär arkivering som huvudregel tydligare återspeglar det som faktiskt görs med upp- gifterna.

Arkivlagens bestämmelser om bevarande gäller för uppgifts- samlingar som inte räknas som forskningsdatabaser, som t.ex. samlats in för enstaka forskningsprojekt. Det är därför rimligt att uppgifter bevaras på samma sätt oavsett om en uppgiftssamling uppfyller kriterierna för en forskningsdatabas i lagens mening eller inte. Intresset av insyn och av ytterligare behandling av uppgifterna torde vara det samma i båda fallen. Starka skäl för att ha olika reglering avseende arkivering beroende på om uppgifterna finns i en forsk- ningsdatabas eller i ett forskningsprojekt har enligt vår mening inte framkommit. Skyddet för den personliga integriteten, vilket är det skäl som tyngst talar för gallring som huvudregel, är enligt vår mening tillgodosett genom de skyddsåtgärder som vårt lagförslag innefattar. Övervägande skäl talar således för bevarande av uppgifterna i forskningsdatabas och mot en särskild gallringsbestämmelse i forsk- ningsdatabaslagen.

Förenlighet med dataskyddsförordningen

Vi instämmer i regeringens bedömning i propositionen Ny data- skyddslag att den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som görs för arkivändamål av

333

Förslag till reglering av forskningsdatabaser

SOU 2018:36

allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen.71

Behandling av personuppgifter i en forskningsdatabas för arkive- ring kan röra känsliga personuppgifter och personuppgifter om lagöverträdelser. För att det inte ska råda något tvivel om att även sådana uppgifter ska få behandlas för arkivändamål även efter det att dataskyddsförordningen börjar tillämpas finns bestämmelser i data- skyddslagen. Enligt 3 kap. 6 § dataskyddslagen får känsliga person- uppgifter behandlas för arkivändamål av allmänt intresse om behand- lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Detta är således en undantagsbestämmelse som grundar sig på artikel 9.2 j i dataskyddsförordningen.

När det gäller personuppgifter som rör lagöverträdelser stadgas i 3 kap. 8 § dataskyddslagen att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter och att även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

För att nödvändig behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse ska vara tillåten krävs att unionsrätten eller den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder. Den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter. Vi anser i likhet med regeringen72 att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hanteringen av allmänna handlingar, t.ex. i form av sekretess, rätt till insyn och föreskrifter om informationssäkerhet.

Att principen om bevarande ska vara gällande för uppgifter som behandlas i en forskningsdatabas enligt vår föreslagna lag är alltså förenligt med dataskyddsförordningen.

71Se angående regeringens resonemang i denna fråga och Riksarkivets avvikande uppfattning i prop. 2017/18:105 s. 110.

72Regeringens proposition Ny dataskyddslag (prop. 2017/18:105), s. 86 f och 116 f.

334

SOU 2018:36

Förslag till reglering av forskningsdatabaser

Sammanfattning

Vi finner att arkivlagstiftningens princip om bevarande bör vara utgångspunkten för uppgifter i en forskningsdatabas. Enligt vår bedömning är detta förenligt med dataskyddsförordningen. Någon särskild gallringsbestämmelse föreslås därför inte.

8.13Bemyndiganden

Behov av ytterligare föreskrifter

Med hänsyn till kravet i 2 kap. 20 § RF på reglering i lag för begräns- ningar i skyddet av den personliga integriteten anser vi att forsknings- databaser ska regleras i lag. Forskningsdatabaslagen innebär en generell reglering av forskningsdatabaser. Som ovan angetts (avsnitt 8.5) hindrar denna reglering inte att vissa forskningsdatabaser kan ha en specialreglering och vi anser att det är upp till lagstiftaren att bedöma om en forskningsdatabas är av en sådan karaktär att det av olika skäl vore lämpligare att reglera den i en egen lag.

Vid sidan av den föreslagna forskningsdatabaslagen kommer det att behövas bestämmelser som meddelas av regeringen i förordning eller av myndighet i föreskrifter. Vi har, som ovan angetts i respektive avsnitt, identifierat ett antal frågor som kan behöva mer detaljerad reglering, förtydliganden eller preciseringar, som lämpligen kan regleras i förordning eller föreskrift.

Vi bedömer att det i första hand kommer att vara Vetenskapsrådet eller Datainspektionen som kommer att bli bemyndigade att meddela sådana föreskrifter som vårt förslag om bemyndigande avser.

I de följande redovisar vi kortfattat för de föreslagna bemyndigan- dena. Våra förslag till bemyndiganden redovisas också i anslutning till de förslag som ska preciseras genom ytterligare föreskrifter.

Finansieringen av en forskningsdatabas.

Innan personuppgifter får börja behandlas i en forskningsdatabas ska forskningshuvudmannen ha säkerställt finansieringen av forsknings- databasen. Vi föreslår att regeringen eller den myndighet regeringen bestämmer ska få meddela föreskrifter om finansieringen av en

335

Förslag till reglering av forskningsdatabaser

SOU 2018:36

forskningsdatabas. Det kan t.ex. handla om föreskrifter om under hur lång tid finansieringen ska vara tryggad.

Begränsningar av uppgifter och ändamål m.m.

Vi har föreslagit en generell ändamålsbestämmelse (avsnitt 8.8.3) som innebär att personuppgifter får behandlas i en forskningsdatabas för att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt. Vidare har vi föreslagit att varje forsknings- huvudman själv ska besluta om vilka uppgifter som ska få behandlas i forskningsdatabasen och formulera mer precisa ändamål för varje forsk- ningsdatabas som finns i huvudmannens verksamhet (avsnitt 8.8.4). Det kan dock finnas skäl att föreskriva om begränsningar av de ända- mål för vilka uppgifter får behandlas i en databas och begränsningar av de uppgifter som en forskningsdatabas får innehålla. Vi föreslår därför ett bemyndigande som ger möjlighet att meddela ytterligare före- skrifter om detta.

Informationssäkerhetsarbete

Vi har föreslagit att det hos forskningshuvudmannen ska finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen (8.10.3). Vidare har vi föreslagit att forskningshuvudmannen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet samt tilldela till- räckliga resurser för informationssäkerhetsarbetet (avsnitt 8.10.4). Vi föreslår att regeringen eller den myndighet som regeringen bestäm- mer ska få meddela ytterligare föreskrifter om informationssäkerhets- arbetet. Sådana föreskrifter kan t.ex. innefatta specificerade krav på vilka standarder som ska beaktas i detta arbete. I likhet med vad som föreskrivs i MSB:s föreskrifter skulle ett krav på att beakta standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 kunna föreskrivas.

336

9Rättspsykiatriska forskningsregistret

9.1Inledning

9.1.1Uppdraget

Vårt uppdrag i denna del är att undersöka hur lagen om rätts- psykiatriskt forskningsregister (1999:353), nedan kallad register- lagen, används i dag, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister. Om så bedöms vara fallet ska vi analysera hur en sådan reglering i så fall bör utformas och lämna behövliga författningsförslag.1 I vårt del- betänkande föreslog vi anpassningarna av lagen inför att data- skyddsförordningen2 skulle börja tillämpas.3

9.1.2Bakgrund

Av våra direktiv4 framgår det att det är regeringens uppfattning att det behövs bättre förutsättningar för registerbaserad forskning. I några fall har särskilda lagar stiftats för att möjliggöra forskningsdatabaser. Registerlagen är en sådan lag.

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för det rättspsykiatriska forskningsregistret. Registret får användas för två ändamål, dels för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt

1Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

3Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).

4Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

341

Rättspsykiatriska forskningsregistret

SOU 2018:36

lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin.

Enligt registerlagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller vidare en uttömmande uppräkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Kriminalvården, Statens institutionsstyrelse, respektive Socialstyrel- sen ska lämna uppgifter till registret. I 24 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rätts- psykiatriska forskningsregistret.

I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behand- ling av personuppgifter, m.m.5 redovisar RMV en översyn av myndig- hetens behandling av personuppgifter. I rapporten framhålls att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forsk- ningen. Anledningen är enligt rapporten att rättspsykiatrins nu- varande frågeställningar inte låter sig besvaras med stöd av de begrän- sade uppgifter som får registreras i registret.

9.2Gällande rätt

Av 1 § registerlagen framgår det att RMV är personuppgiftsansvarigt för det rättspsykiatriska registret. Samma bestämmelse anger att RMV får, för de ändamål som anges i 3 §, med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. I 2 § anges att om inget annat följer av registerlagen ska personuppgiftslagen (1998:204) tillämpas vid behandling av personuppgifter för det rätts- psykiatriska forskningsregistret.

Det rättspsykiatriska forskningsregistret får endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och personuppgiftsbehandlingen har godkänts enligt etikprövningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin.

5Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/8833/Å).

342

SOU 2018:36

Rättspsykiatriska forskningsregistret

Enligt 4 § får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen (1991:1137) om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I andra stycket anges vidare att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personuppgifter från det brottmålet föras in i registret. Av tredje stycket följer att det endast är de uppgifter i 5–9 §§ som får registreras i registret, vilket är bl.a. namn, person- nummer eller samordningsnummer,6 kön, medborgarskap, vilken domstol som har begärt undersökningen och förslag till påföljd.

I 10 § föreskrivs det att Statens institutionsstyrelse, Kriminal- vården respektive Socialstyrelsen ska lämna uppgifter enligt 6–9 a §§ till det rättspsykiatriska forskningsregistret. Av 11 § slås fast att endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret.

9.3Hur används lagen i dag och finns ett långsiktigt behov av ett rättspsykiatriskt forskningsregister?

9.3.1Bakgrund till registerlagen

Registerlagen uppstod ur ett behov av förbättrade möjligheter för forsknings- och utvecklingsarbete inom det rättspsykiatriska områ- det. Regeringen beslutade den 21 juni 1995 att tillsätta en särskild utredare för att utreda frågan om ett personregister för forsknings- och utvecklingsändamål inom rättspsykiatrin.7

Utredningen, som antog namnet Utredningen om register för forskning inom rättspsykiatrin, lade i maj 1996 fram betänkandet Rättspsykiatriskt forskningsregister.8 I betänkandet föreslog utred- ningen att ett särskilt register, ett rättspsykiatriskt forskningsregister, skulle inrättas vid RMV för att tillgodose behovet av personuppgifter

6Samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folk- bokförda i Sverige. Syftet med samordningsnummer är att myndigheter och andra samhälls- funktioner ska kunna identifiera personer även om de inte är folkbokförda i Sverige.

7Kommittédirektiv Författningsreglering av personregister för forsknings- och utvecklings- ändamål inom rättspsykiatrin (dir. 1995:96).

8Utredningens om register för forskning inom rättspsykiatrin betänkande Rättspsykiatriskt forskningsregister (SOU 1996:72).

343

Rättspsykiatriska forskningsregistret

SOU 2018:36

för forskning inom rättspsykiatrin och för RMV:s utvecklingsarbete. Som skäl anförde utredningen bl.a. att behovet av forskning inom det rättspsykiatriska området var stort, att den rättspsykiatriska verksam- heten innehöll känsliga personuppgifter om enskilda personers psykiska hälsa och om lagöverträdelser. Utredningen framförde även att det fanns ett stort behov av tillgång till uppgifter om personer som varit föremål för åtgärder på området samt att sådana uppgifter borde, för att tillgodose dessa intressen, vara registrerade på ett sådant sätt att ett stort underlag kunde hanteras effektivt. Det framfördes även att mindre grupper, utifrån inriktningen på olika forskningsprojekt, kunde tas fram ur det stora underlaget.9

Enligt utredningen fanns det inte något realistiskt alternativ till ett dataregister. Både praktiska aspekter och integritetshänsyn talade enligt utredningen för att en lösning med ett register borde väljas framför en lösning med flera register. En modell med flera register skulle i och för sig kunna innebära att respektive register innehöll uppgifter om färre personer och färre uppgifter om respektive person. En lösning med ett enda register skulle i stället medföra bättre tillsyn, färre inblandade personer och möjligheter till ett bättre skalskydd. Utredningen föreslog vidare att uppgifterna i registret enbart skulle få användas för två ändamål. Det ena ändamålet avsåg forskning inom rättspsykiatrin som hade godkänts av en forskningsetisk kommitté. Det andra avsåg uppföljning, utvärdering eller kvalitetssäkring av RMV:s verksamhet.

Vidare övervägde utredningen vilka uppgifter som skulle få registreras i registret och föreslog att endast uppgifter om personer som hade genomgått rättspsykiatrisk undersökning eller så kallad ”§ 7-undersökning” eller motsvarande undersökningsformer enligt äldre lagstiftning skulle få registreras. Rättsmedicinalverket skulle inte heller enligt utredningen få registrera uppgifter från ett brottmål där åtalet mot den undersökte i dess helhet hade ogillats. Vidare skulle endast uppgifter från undersökningsstadiet, domstolarnas domar och verkställighetsstadiet få registreras. Utredningen ansåg att domstolar, Kriminalvården och Socialstyrelsen skulle åläggas en författnings- reglerad skyldighet att lämna vissa uppgifter till det rättspsykiatriska forskningsregistret. Detta resulterade i ytterligare förslag om sekre- tess, information till den registrerade samt om bevarande av uppgifter i registret.

9Skalskydd innebär att man skyddar ett specifikt objekt eller ett tydligt avgränsat område.

344

SOU 2018:36

Rättspsykiatriska forskningsregistret

I propositionen föreslog regeringen att ett rättspsykiatriskt och författningsreglerat forskningsregister skulle inrättas vid RMV.10 Regeringen konstaterade att det behövdes ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar var outforskade och krävde grundläggande forskning. För att genomföra sådan angelägen forskning på området krävdes tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt skulle ett rättspsykiatriskt forsk- ningsregister innehålla uppgifter av mycket integritetskänslig natur och forskningsbehoven måste hela tiden vägas mot respekten för den enskildes personliga integritet. En utgångspunkt var därför att endast de uppgifter som var nödvändiga borde få förekomma i ett sådant register och att de endast borde få användas i ett sammanhang som hade ett verkligt samhällsintresse. 11

Regeringen övervägde flera olika lösningar, bl.a. om de person- uppgifter som behövde registreras för ändamålet verksamhets- uppföljning och kvalitetssäkring i stället skulle registreras i det befint- liga ärenderegistret vid RMV, PsykBase. Enligt Datainspektionens beslut fick PsykBase användas för handläggning av rättspsykiatriska ärenden samt för underlag för statistik och planering av verksam- heten.12 Enligt den gamla datalagen (1973:289) var myndigheter skyldiga att ansöka om tillstånd för att få upprätta personregister. När personuppgiftslagen trädde i kraft 1998 infördes övergångsbestäm- melser gällande de äldre tillstånden. Dessa fick gälla fram till 2001 för att därefter upphöra.

Regeringen ansåg dock att det inte var en lämplig ordning att använda ärendehanteringssystemet vid RMV, PsykBase. Som skäl anfördes bl.a. att de ytterligare uppgifter som skulle tillföras för forsknings- och utvecklingsändamål inte skulle få användas för ärendehantering. Vidare anförde regeringen att det borde finnas en klar rågång mellan uppgifter som registreras för ärendehantering och uppgifter som registreras för forskningsändamål.

Efter att ha övervägt fördelar och nackdelar med det föreslagna forskningsregistret, stannade regeringen vid uppfattningen att det bästa integritetsskyddet för de registrerade antagligen uppnåddes genom att ett särskilt register för forsknings- och utvecklingsändamål

10Regeringens proposition Rättspsykiatriskt forskningsregister (prop. 1998/99:72).

11Prop. 1998/99:72 s. 26 f.

12Datainspektionens beslut dnr 5133-91.

345

Rättspsykiatriska forskningsregistret

SOU 2018:36

inrättades. En sådan lösning skulle enligt regeringen innebära att man fick en bättre garanti för att registret inte användes vid beslutsfattande mot den enskilde samt att ärendehanteringssystemet vid RMV, PsykBase, inte skulle tillföras uppgifter som inte var relevanta för undersökningsverksamheten. Enligt regeringen skulle forsknings- registret enbart få innefatta behandling av personuppgifter för forsk- nings- och verksamhetsutvecklingsändamål.

Beträffande registrering av domar hade utredningen inte berört frågan om lagakraftvunnen dom skulle vara en förutsättning för registrering av domen. Utredningen hade inte heller berört frågan om uppgift om påföljdseftergift skulle få registreras, vilket uppmärk- sammades av remissinstanserna. Regeringen ansåg att det ur integri- tetssynpunkt var en klar fördel om registreringen avvaktade lagakraft- vunnen dom. Den tidsutdräkt detta skulle förorsaka kunde enligt regeringen inte vara så stor att den skulle orsaka några beaktansvärda olägenheter för forskningen. Tvärtom ansåg regeringen att det var en fördel om det när uppgifter registrerades stod klart att domstols- prövningen var avslutad. Om registrering skulle få göras innan domen vunnit laga kraft fanns risk att uppgifter skulle behöva tas bort från registret i efterhand. Regeringen ansåg därför att uppgifter om en person skulle få registreras i det rättspsykiatriska forskningsregistret först när domen i det aktuella brottmålet vunnit laga kraft. Detta gällde således även uppgifter från undersökningsstadiet.13

Regeringen redogjorde även för vilka uppgifter som skulle tillföras forskningsregistret. Från Socialstyrelsen skulle inhämtas dels upp- gifter ur yttranden av det rättsliga rådet, dels uppgifter som myndig- heten hade erhållit från sjukvårdsinrättningar. Från Kriminalvården skulle inhämtas uppgifter om verkställigheten av fängelsestraff. Dom- stolarna skulle lämna uppgifter om utgången i ansvarsdelen, av- görandet i påföljdsfrågan samt eventuella beslut om utvisning i mål där den dömde varit föremål för ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. Det rörde sig alltså om vissa begränsade uppgifter i domslut.14

Registerlagen trädde i kraft den 1 juli 2000 och blev föremål för en lagändring år 2005 med innebörden att även Statens institutions- styrelse skulle lämna uppgifter till forskningsregistret.

13Prop. 1998/99:72 s. 43.

14Prop. 1998/99:72 s. 47.

346

SOU 2018:36

Rättspsykiatriska forskningsregistret

9.3.2Forskningsregistret i dag

Registrets konstruktion

Rättsmedicinalverket påbörjade arbetet med att skapa det rätts- psykiatriska forskningsregistret i januari 2001. Arbetet med registret pågick till och med 2005, men lades sedan ned på grund av problem med interoperabilitet,15 kvalitetsbrister i inlämnade uppgifter samt som ett resultat av att den rättspsykiatriska forskningens fråge- ställningar inte kunde besvaras utifrån de begränsade uppgifter som fick registreras i registret. De myndigheter som enligt 10 § register- lagen hade en skyldighet att försörja registret med uppgifter upphörde härmed helt med det. Något arbete med att lösa de tekniska problemen och utveckla registret har utifrån vad som framkommit inte bedrivits av RMV sedan 2005, främst som en följd av registrets begränsade kvalitativa egenvärde för den rättspsykiatriska forsk- ningen och RMV:s utvecklingsarbete.

Det rättspsykiatriska forskningsregistret finns i dag på en server som RMV ansvarar för. Strukturellt byggdes en grunddatabas16 för forskningsregistret samt parallella databaser som var avsedda att rymma uppgifter från de myndigheter som var skyldiga att lämna ut sådana. Det finns uppgifter registrerade mellan åren 2000–2004. Senast registrerade aktivitet i registret är från 2005. Totalt finns 7 134 uppgifter registrerade. Tabellen för uppgifter från Statens institu- tionsstyrelse är tom och inga uppgifter från myndigheten före- kommer i databasen. Socialstyrelsetabellen innehåller 1000 poster och Kriminalvårdstabellen likaså.

Uppgifter i registret

Enligt 30 § förordningen (1990:893) om underrättelse om dom i vissa brottmål ska en kopia av domen sändas till RMV inom en vecka, om någon av följande handlingar om den tilltalade har inhämtats i målet:

15Interoperabilitet är förmågan hos olika system att utbyta information och att använda information som de får från varandra.

16Uppgifterna som hämtas från RMV:s system till servern där registret finns hålls åtskilda från uppgifterna från uppgiftslämnande myndigheter när de kommer in.

347

Rättspsykiatriska forskningsregistret

SOU 2018:36

1.ett utlåtande över en rättspsykiatrisk undersökning,

2.ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m., eller

3.ett yttrande av Socialstyrelsen över en rättspsykiatrisk under- sökning eller ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m.

Av 4 § registerlagen följer emellertid att uppgifter om en person endast får registreras i forskningsregistret om domen vunnit laga kraft. RMV får sällan en uppgift om att en dom överklagats. Myndig- heten får inte heller uppgift om utgången i en dom i en högre instans, om inte den högre instansen begär en § 7-undersökning eller en rätts- psykiatrisk undersökning. Eftersom några uppgifter inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget in- hämtats har vunnit laga kraft har detta lett till att registret inte fylls på. Har åtalet helt ogillats gäller dessutom, enligt andra stycket i 4 § registerlagen, att inga personuppgifter från brottmålet får föras in i registret.

Problem med interoperabilitet och kvalitetsbrister i lämnade uppgifter

Enligt personer som arbetar i den rättspsykiatriska verksamheten på RMV har det rättspsykiatriska forskningsregistret inte kunnat användas för avsedda ändamål. Registerhanteringen har dragits med ett flertal tekniska problem, bl.a. beträffande formatet på uppgifter från de myndigheter som har en skyldighet att försörja registret. Vidare har Socialstyrelsens patientregister saknat uppgift om vilken typ av psykiatrisk vård en patient erhållit. Uppgifter om vilka diagnoser som ställts i samband med utskrivning, jfr. 8 § 3 p. register- lagen, har därmed inte kunnat registreras i forskningsregistret.

I utbyten med andra myndigheter har olika standarder för mål- nummer dessutom orsakat problem. En domstols namn och dom- stolskod har inte heller redovisats på samma sätt av berörda myndig- heter. Olikheter har framkommit även avseende format på person- nummer, där vissa myndigheter använt bindestreck medan andra inte gjort det. Inte heller personnummerbyten har kunnat hanteras av

348

SOU 2018:36

Rättspsykiatriska forskningsregistret

forskningsregistret. Detsamma gäller personer med ofullständiga personnummer. Detta har lett till brister i forskningsregistret.

9.3.3Rättspsykiatrisk verksamhet vid RMV

Enligt 2 § förordningen (2007:976) med instruktion för RMV ska myndigheten särskilt svara för rättspsykiatriska undersökningar i brottmål, läkarintyg (§ 7-undersökningar) som avses i 7 § lagen om särskild personutredning i brottmål, m.m. samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid.

Rättsmedicinalverket ansvarar inte för den rättspsykiatriska vården i landet. Det är i stället sjukvårdshuvudmännen som har en skyldighet att enligt hälso- och sjukvårdslagen (1982:763) bedriva denna. Rätts- medicinalverkets rättspsykiatriska verksamhet består i huvudsak just av utförande av rättspsykiatriska undersökningar, § 7-undersökningar och riskbedömningar av livstidsdömda. Det utesluter inte att miss- tänkta som t.ex. är föremål för en rättspsykiatrisk undersökning vid RMV är i behov av psykiatrisk eller somatisk vård under vistelsetiden vid myndigheten. I dessa delar får RMV betraktas som vårdgivare och är underkastad hälso- och sjukvårdslagens krav på god och säker vård.

Rättsmedicinalverket får också enligt myndighetens instruktion utföra andra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det, exempelvis riskbedömningar och diagnostiska bedömningar på uppdrag av bl.a. barn- och ungdomspsykiatriska mottagningar (BUP), Kriminalvården och socialnämnder. Dessa externa uppdrag är en relativt liten verksamhet. Samtliga ärenden, förutom de externa uppdragen som registreras i RMV:s allmänna diarium, registreras i den rättspsykiatriska undersökningsverksam- hetens ärende- och dokumenthanteringssystem, PsykBase. Systemet får användas för handläggning av rättspsykiatriska ärenden samt för statistik och planering av verksamheten men används inte för journal- föring i den rättspsykiatriska hälso- och sjukvårdsverksamheten.

349

Rättspsykiatriska forskningsregistret

SOU 2018:36

9.3.4Rättspsykiatrisk forskning och utvecklingsarbete

I Sverige

I betänkandet av Bergwallkommissionen17 pekade utredningen på ett ökat behov av kunskapsstyrning inom rättspsykiatrin. Regeringen gav därför Vetenskapsrådet i uppdrag18 att genomföra en kartläggning av den rättspsykiatriska forskningen. Uppdraget redovisades i rapporten Kartläggning av rättspsykiatrisk forskning.19

Vetenskapsrådet definierade inom ramen för arbetet begreppet rättspsykiatri som den medicinska specialitet vars syfte är att utreda, bedöma, diagnostisera, behandla, habilitera alternativt rehabilitera samt följa upp personer som kan misstänkas lida av, alternativt lider av en psykisk sjukdom, i samband med lagöverträdelser. Kartlägg- ningen, som rapporterades till regeringen i augusti 2017, visar att Sverige publicerar cirka tio publikationer per år och tillhör de nio länder som publicerar mest vetenskaplig litteratur inom rättspsykiatri. I Sverige är det Karolinska institutet som står för störst antal publika- tioner följt av Göteborgs universitet. Den svenska forskningen görs främst inom områdena klinisk medicin och hälsovetenskap.

Kunskapsluckor

Av intervjuerna utförda i kartläggningen med verksamma forskare inom området framgår att det finns ett stort behov av att utveckla forskningsstrukturer och samordning såväl internationellt som nationellt. Forskarna anser vidare att det råder stora kunskapsluckor inom fältet. De betonar att det särskilt behövs forskning inom rehabilitering, omvårdnad, farmakologisk behandling, missbruks- behandling och forskning kring våldsbeteende, men också inom det begreppsliga och juridiska fält som definierar det rättspsykiatriska området. Flera av de tillfrågade forskarna lyfte särskilt fram att det bristfälliga forskningsläget är ännu större vad gäller forskning om kvinnor inom rättspsykiatrin. Det rättspsykiatriska forskningsfältet är brett och omfattar många olika forskningsdiscipliner och forsk- ningsteman. Rättspsykiatri kopplar inte bara till olika discipliner, utan

17Bergwallkommissionens betänkande Rapport från Bergwallkommissionen (SOU 2015:52).

18U2016/04441/F.

19Kartläggning av rättspsykiatrisk forskning, Vetenskapsrådet 2017.

350

SOU 2018:36

Rättspsykiatriska forskningsregistret

sträcker sig också över olika nivåer från grundforskning till ren tillämpning och klinisk forskning och utveckling.

Straffrättens och förvaltningsrättens olika regelverk behöver enligt kartläggningen kunskap från psykiatrin på många olika plan. Lagstiftaren kan behöva orientera sig efter vetenskapliga insikter. Det kan exempelvis gälla behov att förstå sammanhang mellan psykisk sjukdom och våld som en grund för adekvata regler om särskilda straffrättsliga reaktioner och rättspsykiatrisk tvångsvård. Det kan också gälla mer generella insikter om hur olika psykiska störnings- tillstånd inverkar på tankar, känslor och handlingar. En viktig aspekt rör exempelvis vilka mentala brister som finns vid personlighets- störningar, och om dessa bör vara relevanta för regler om straffansvar och straff. Därför är det också praxis att rättspsykiatriskt sakkunniga bidrar till domstolens domslut. Här behövs psykiatrisk forskning för att ge både de sakkunniga och domaren ett gott vetenskapligt underlag.

Inom ramen för Vetenskapsrådets kartläggning intervjuades tolv forskare, aktiva inom det rättspsykiatriska forskningsfältet med av- seende på deras syn på styrkor och svagheter inom forskningsfältet, både i och utanför Sverige. De intervjuade beskriver ett flertal fält med pågående forskning i Sverige. Intervjupersonerna uppger att det pågår forskning i biomedicin, neuropsykiatri, genetik och psykopati. Det nämns även angränsande områden där den svenska registerforsk- ningen framhålls som särskilt betydande. Historiskt finns i Sverige en god tradition av forskning på riskbedömningar, dvs. effektiviteten av strukturerade verktyg för bedömning av risk för framtida brottslighet som genomförts tillsammans med internationellt högt rankade forskare. Det nämns även att det i Sverige finns en del vetenskaplig forskning med fokus på innehållet i vården. Flera betonar att forsk- ning om själva vårdinsatserna och rehabiliteringen av de rätts- psykiatriska patienterna är eftersatt. 20

Om man närmare analyserar de svenska forskarnas svar på enkäten framhöll flera av dem behovet av utökad forskning inom det rättspsykiatriska området, speciellt gällande brottsprevention och läkemedelsbehandling, liksom utvärderingsstudier av psykosociala insatser, brottsbearbetning (samtal där man genom fördjupad analys och bearbetning konfronterar patienten med hans eller hennes brotts- liga handlingar) och rehabilitering med fokus på våldsbeteende.

20Kartläggning av rättspsykiatrisk forskning, Vetenskapsrådet 2017, s. 19 ff.

351

Rättspsykiatriska forskningsregistret

SOU 2018:36

Forskarna ansåg bl.a. att det finns behov av såväl randomiserade kontrollstudier som studier där man använder den befintliga kliniska miljön och jämför de som får en intervention med de som inte får interventionen. Gemensamt för flera svar var att man framhöll behovet av utökat samarbete mellan olika forskningsdiscipliner och behov av finansiella möjligheter till större longitudinella studier.

Genom Vetenskapsrådets kartläggning av forskningen inom det rättspsykiatriska området framgår med andra ord att Sverige är i kvantitativt hänseende väl representerat internationellt. Det finns också flera framstående studier, där Sverige exempelvis har bidragit med forskning angående riskbedömningar, om risk för återfall i allvarliga våldsbrott, samt registerstudier. Däremot saknas mer över- gripande forskningsprogram och samordning mellan olika forsk- ningsverksamheter i landet.

Forsknings- och utvecklingsarbete vid RMV

Universitetens rättspsykiatriska forskning är i hög grad beroende av data från den rättspsykiatriska undersökningsverksamheten vid RMV. Det medför att RMV ofta får pröva ansökningar om utlämnande av uppgifter till externa forskningsprojekt. Rättsmedicinalverket bedriver även en omfattande operativ verksamhet som är både kunskaps- intensiv och starkt inriktad på ett vetenskapligt arbetssätt. Enligt RMV:s forskningspolicy21 anses forskning och utveckling inom myndigheten vara av avgörande betydelse för att bibehålla och utveckla kvaliteten i verksamheten och för att säkerställa en hög kompetens. Myndigheten framhåller vidare att målet är att göra forsknings- och utvecklingsarbetet till en naturlig och integrerad del av myndighetens verksamhet på samtliga avdelningar samt att låta resultaten av arbetet komma verksamheten till godo. Forsknings- och utvecklingsarbetet ska också utnyttja de möjligheter till samarbete mellan avdelningarna som organisationen skapar.

Rättsmedicinalverkets insatser på forskningsområdet bygger på samverkan mellan olika personalkategorier samt samarbete med universitet, både nationella och utländska, och andra myndigheter. Inom samtliga verksamhetsområden stödjer verket den akademiska anknytningen genom finansiering av flera tjänster vid universiteten

21Rättsmedicinalverkets forskningspolicy, 2017-05-10, dnr X17-90385.

352

SOU 2018:36

Rättspsykiatriska forskningsregistret

som adjungerande professorer och lektorer. Stödet för den här typen av finansiering finns i 2 § 9 myndighetens instruktion. Till detta kommer examensarbeten och andra fördjupningsarbeten genomförda av studenter. Det finns mot denna bakgrund en konsensus inom myndigheten om att de uppgifter som myndigheten förvaltar ska ställas till både forskningens och andra samhällsfunktioners för- fogande i den utsträckning det är praktiskt och vetenskapligt möjligt. RMV är i liten omfattning huvudman för rättspsykiatriska forsk- ningsprojekt.

Som exempel på studier som har genomförts kan nämnas en om neurokognitiv begåvningsprofil och beteendestörning, en deskriptiv studie av ungdomar omhändertagna för samhällsvård. I en annan beskrivande studie undersöktes 100 män i åldrarna 18–25 som var dömda till ungdomsvård för våldsbrott och sexualbrott. Syftet var att beskriva männens neuropsykologiska funktioner. Härutöver är det vanligt med tillbakablickande registerstudier för att utvärdera metoder för exempelvis riskskattningsinstrument i verksamheten.

Ien studie undersökte verksamheten om ett riskskattningsinstrument fungerar på rättspsykiatriskt undersökta våldsförövare. Syftet var att undersöka instrumentets förmåga att förutsäga återfall i kriminalitet bland psykiskt störda lagöverträdare samt jämföra instrumentets egenskaper avseende fängelsedömda respektive rättspsykiatriskt vårdade förövare. RMV var huvudman för nämnda studier och studierna var godkända av etikprövningsnämnd.

I övrigt är det som nämnts i huvudsak universiteten som svarar för den rättspsykiatriska forskningen. Som exempel kan nämnas att Karolinska institutet är huvudman för majoriteten av forsknings- projekten vid RMV:s rättspsykiatriska enhet i Stockholm. RMV finansierar vidare en professur i rättspsykiatri vid Karolinska institutet och en vid Göteborgs universitet. Den rättspsykiatriska verksamheten deltar också i ett flertal internationella nätverk inom sitt expert- område. Verksamheten sprider dessutom kunskap om sitt forsknings- och utvecklingsarbete genom publikationer och studiebesök.

353

Rättspsykiatriska forskningsregistret

SOU 2018:36

RMV:s rättspsykiatriska ärenderegister

Som nämnts ovan finns vid RMV utöver forskningsregistret det rättspsykiatrisk ärenderegistret PsykBase. Ärenderegistret är indelat i två delar. En del av registret används för hantering av § 7-undersök- ningar och en del för hantering av ärenden enligt lagen om rätts- psykiatrisk undersökning. Ärenderegistret används för planering och genomförande av rättspsykiatriska undersökningar vid undersök- ningsenheterna och för statistik, uppföljning, utvärdering, kvalitets- säkring och utvecklingsarbete inom ramen för RMV:s ansvarsområde. Uppgifterna i registret får efter sekretessprövning lämnas ut för forskning som godkänts av en etikprövningsnämnd. I PsykBase registreras bl.a. uppgifter om domar i brottmål. De uppgifter som registreras rör utgången i ansvarsdelen samt påföljd, såsom t.ex. överlämnande till rättspsykiatrisk vård. Skälet till att uppgifterna registreras är att de behövs i RMV:s utvecklingsarbete.

Pågående forsknings- och utvecklingsarbete vid RMV

Vid RMV har ett större forskningsprojekt initierats inom den rätts- psykiatriska utredningsverksamheten för att öka samstämmigheten och kunskapen om personer som genomgår en rättspsykiatrisk undersökning. Resultaten förväntas öka kunskapen om sambandet mellan förövare, brottssituation, brottsbeteende och offerrelation. De rättspsykiatriska enheterna vid RMV har samarbetsavtal med Göteborgs universitet och Karolinska institutet. För att sprida kun- skap till övriga medarbetare har forskarna bland annat arrangerat symposier, seminarier om forskningsartiklar och ordnat utbildnings- insatser gällande psykopatibedömning. Tillsammans med Institu- tionen för klinisk neurovetenskap vid Karolinska institutet har forsk- ning utförts angående ökad förståelse av mekanismer bakom psyko- patiskt beteendemönster. Projektet görs i samarbete med Kriminal- vården. Vidare bedrivs forskning avseende våld mot kvinnor. Det pågår också ett forskningsprogram som kartlägger psykossjuka lag- överträdare dömda till rättspsykiatrisk vård som alla har genomgått rättspsykiatrisk undersökning vid RMV. Dessa jämförs med psykos- sjuka inom allmänpsykiatrin som inte är våldsamma.

354

SOU 2018:36

Rättspsykiatriska forskningsregistret

9.4Överväganden och förslag

9.4.1Lagen om rättspsykiatriskt forskningsregister ska upphävas

Vårt förslag: Lagen om rättspsykiatriskt forskningsregister ska upphävas.

Enligt vad utredningen inhämtat har forskningsregistret sedan det inrättades haft ett ringa kvalitativt egenvärde för den rättspsykiatriska verksamheten. Vi bedömer att registerlagen inte har tillhandahållit de möjligheter som behövs för att bedriva en kvalitativ och över tid föränderlig forskning. I dagsläget utlämnas inte heller uppgifter från Socialstyrelsen, Kriminalvården eller Statens institutionsstyrelse till RMV. Vidare bedrivs forskning inom den rättspsykiatriska utred- ningsverksamheten inte med hjälp av det rättspsykiatriska forsk- ningsregistret. Som redovisats ovan skulle det även krävas omfattande arbete för att utveckla registrets kvalitet eftersom registret inte underhållits sedan år 2005.

Även om Sverige ligger långt fram när det gäller rättspsykiatrisk forskning kvarstår ändå behov av fortsatt forskning och utveckling inom detta område. Registret kan emellertid inte med stöd av de begränsade data som får registreras enligt registerlagen besvara rättspsykiatrins frågeställningar inom forskning och utvecklings- arbete. Regleringen är således inte ändamålsenlig för rättspsykiatrisk forskning och utveckling. Större delen av den rättspsykiatriska forskningen bedrivs i dag vid landets universitet.

Kvalificerad forskning inom rättspsykiatrin kan inte bedrivas enbart med användning av uppgifter från det rättspsykiatriska forsk- ningsregistret. Sådan forskning förutsätter sambearbetning av personuppgifter från andra register än RMV:s, Socialstyrelsens, Kriminalvårdens och Statens institutionsstyrelses, dvs. de myndig- heter som i dag har en skyldighet att förse registret med uppgifter.

Även om de problem som beskrivits ovan kan avhjälpas är det utredningens bedömning att registret saknar kvalitativt egenvärde för den rättspsykiatriska verksamheten. Inte heller för RMV:s uppfölj- ning, utvärdering eller kvalitetssäkring av sin verksamhet inom rätts- psykiatrin skulle registret komma att ha något kvalitativt egenvärde eftersom detta arbete, såsom i dag, skulle kunna bedrivas med stöd av

355

Rättspsykiatriska forskningsregistret

SOU 2018:36

uppgifterna i PsykBase. Vidare föreslår vi i detta betänkande en lång- siktig och generell reglering av forskningsdatabaser (kap. 8).

Av nu nämnda skäl anser vi att registerlagen ska upphävas.

9.4.224 kap. 2 § i OSL ska upphöra att gälla

Vårt förslag: Som en följd av att lagen om rättspsykiatriskt forskningsregister upphävs ska bestämmelsen om sekretess för det rättspsykiatriska forskningsregistret i 24 kap. 2 § OSL upphöra att gälla och rubriken närmast före bestämmelsen utgå.

Vi har föreslagit att lagen om rättspsykiatriskt forskningsregister ska upphöra att gälla eftersom lagen inte har något kvalitativt egenvärde för den rättspsykiatriska forskningen. Som en följd av detta förslag bör även 24 kap. 2 § i OSL som gäller sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen om rättspsykiatriskt forskningsregister upphävas. Rubriken närmast före bestämmelsen bör utgå. I kapitel 10 föreslår vi en ny bestäm- melse om sekretess i verksamhet som avser uppgifter ett nationellt biobanksregister enligt biobanks¬lagen (2018:000). Vi föreslår att den bestämmelsen får ersätta nuvarande lydelse av 24 kap. 2 § OSL.

I avsnitt 8.9.5 föreslår vi en generell sekretessbestämmelse för enskilds personliga och ekonomiska förhållanden inom forsknings- verksamhet. Denna forskningssekretess kommer enligt vår bedöm- ning att skydda uppgifterna i det rättspsykiatriska forskningsregistret under avvecklingen.

9.4.3Ikraftträdande

Vårt förslag: Lagen om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen om ändring i offentlighets- och sekretesslagen ska träda i kraft den 1 juli 2019.

Vår bedömning: Regeringen bör ge RMV i uppdrag att samråda med Riksarkivet om hur det rättspsykiatriska forskningsregistret ska avvecklas.

356

10En reglering av ett nationellt biobanksregister

10.1Inledning

10.1.1Uppdraget

Vårt uppdrag i denna del är att göra en vidare beredning av det förslag till ett nationellt biobanksregister som Registerforskningsutred- ningen lämnade.1 I detta arbete ska vi bereda remissinstansernas syn- punkter. Enligt våra direktiv2 ska vi även analysera vilka anpassningar av förslaget som kan krävas med hänsyn till dataskyddsförordningen och den kompletterande reglering som nu beslutats i form av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen).

10.1.2Bakgrund

Den nuvarande biobankslagstiftningen återfinns i lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen).3 Bio- bankslagen reglerar endast de enskilda biobankerna, dvs. de samlingar av biologiskt material (vävnadsprover) från en eller flera människor som bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet har tagits. I dagsläget finns cirka 450 biobanker enligt lagens definition.4 I lagen

1Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45), s. 456 ff.

2Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

3Utöver biobankslagen kan även vissa andra författningar på hälso- och sjukvårdens område vara tillämpliga i de vårdsammanhang där vävnadsprover tas, såsom hälso- och sjukvårdslagen (2017:30) och patientlagen (2014:821). Biobankslagen är i huvudsak subsidiär i relation till övriga författningar (1 kap 4 §). Se vidare Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4), s. 101 ff.

4SOU 2018:4 s. 87.

359

En reglering av ett nationellt biobanksregister

SOU 2018:36

finns inga bestämmelser om hur vävnadsprover från en viss individ eller med vissa egenskaper ska kunna lokaliseras till de olika biobanker där sådana prover kan finnas.

Det finns således inget reglerat centralt register över de vävnads- prover som finns i landets olika biobanker. Det finns däremot ett landstingsgemensamt register över sparade vävnadsprover tagna inom vården (Svenska biobanksregistret). Arbetet med det registret inleddes år 2005, och är fortfarande i en uppbyggnadsfas.5 Syftet med registret är att underlätta administration som t.ex. hantering av provgivares samtycken och spårbarhet av prover för hälso- och sjuk- vården, samt att vara ett redskap för att hitta vävnadsprover för etik- godkända forskningsprojekt. Registret ägs gemensamt av landstingen och regionerna och hanteras av de sammanlagt sex regionala bio- bankscentrum (RBC) som finns i varje sjukvårdsregion. RBC har ingen lagreglerad funktion utöver vad som regleras genom avtal. Respektive biobankshuvudman är personuppgiftsansvarig för de uppgifter som finns lagrade i biobankerna och som överförs till Svenska biobanksregistret.6 Det får till följd att respektive biobanks- huvudman ansvarar för beslut om utlämnande av uppgifter ur registret.

Frågan om ett lagreglerat centralt register för spårbarhet till vävnadsprover i landets biobanker har, helt eller delvis, varit föremål för tre olika statliga utredningar: Biobanksutredningen, Register- forskningsutredningen och Utredningen av regleringen av biobanker.

Biobanksutredningen

Biobanksutredningen7 fick år 2008 bl.a. i uppdrag att överväga och lämna förslag till hur kraven på spårbarhet ska kunna uppfyllas samt att överväga inrättande av regionala biobanksregister. Med spårbarhet avsågs här främst möjligheten att hitta de vävnadsprover som behövs för en provgivande patients fortsatta vård. Med spårbarhet avsågs dock även möjligheten att kunna lokalisera vävnadsprover i de fall en provgivares samtycke återkallas, samt för forskningens behov.

Biobanksutredningen lämnade sitt betänkande8 år 2010 och föreslog i huvudsak i denna del att vissa uppgifter om vävnadsprover

5SOU 2018:4 s. 242.

6SOU 2018:4 s. 241.

7S 2008:08.

8Biobanksutredningens betänkande En ny biobankslag (SOU 2010:81).

360

SOU 2018:36

En reglering av ett nationellt biobanksregister

från hälso- och sjukvården skulle registreras i Svenska biobanks- registret, medan motsvarande uppgifter om andra prover (exempelvis i biobanker uppbyggda för forskningsändamål) skulle registreras i den specifika biobanken. Utredningen föreslog att Svenska biobanks- registret skulle innehålla tillräckliga uppgifter för att varje vävnads- prov som hör till eller har hört till de ingående biobankerna ska kunna återfinnas. Biobanksutredningen föreslog att en vårdgivare skulle vara huvudman, tillika personuppgiftsansvarig, för registret, men överlät frågan om vilken vårdgivare till regeringen.

Remissinstanserna var i huvudsak positiva till lagreglering av Svenska biobanksregistret.9 De kritiska synpunkter som framkom rörde frågor om vilka aktörer som skulle ha skyldighet att registrera uppgifter i det centrala registret respektive vilka som skulle kunna göra det frivilligt. Det fanns också en oro över att reglera ett register som vid den tidpunkten var under utveckling och inte var prövat i praktiken. Datainspektionen ansåg att det var svårt att överblicka förslagets konsekvenser för integritetsskyddet som helhet, vad gällde både spårbarhetsregistrering och framtida forskning.10

10.2Registerforskningsutredningen

Efter att Biobanksutredningens slutbetänkande hade remissbehand- lats beslutade Socialdepartementet att inte gå vidare med utredningens förslag. Fråga uppkom då om Registerforskningsutredningen inom ramen för sitt uppdrag skulle kunna ta hand om några av Biobanks- utredningens förslag, som var avsedda att underlätta för forsk- ningen.11 Registerforskningsutredningen lämnade i sitt slutbetän- kande år 2014 ett förslag till reglering av ett centralt register för biobanksuppgifter.

10.2.1Förslaget i korthet

Registerforskningsutredningen föreslog i huvudsak följande reglering av Svenska biobanksregistret. Svenska biobanksregistret skulle göras om till ett nationellt system för registrering av biobanksprover

9Se sammanställningen i SOU 2014:45 s. 473 ff.

10Datainspektionens yttrande dnr 1939-2010.

11SOU 2014:45 s. 458.

361

En reglering av ett nationellt biobanksregister

SOU 2018:36

(Nationella biobanksregistret) med Socialstyrelsen som huvudman och personuppgiftsansvarig. Vårdgivare skulle under ett inlednings- skede lämna uppgifter till registret på frivillig basis. Registrering skulle även vara frivilligt för den enskilde provgivaren, med undantag för uppgifter om vävnadsprover som redan behandlades av vårdgivare före lagens ikraftträdande.

Det skulle enbart vara tillåtet att behandla personuppgifter i registret för ändamålen

•att säkerställa spårbarhet för vävnadsprover i syfte att möjliggöra vård och behandling av den registrerade,

•forskning, kvalitetssäkring och framställning av statistik, samt

•förstörande eller avidentifiering av vävnadsprover när den regist- rerade har återkallat sitt samtycke.

Registret skulle endast få innehålla vissa uppräknade uppgifter, bl.a. provgivarens identitet, vävnadsprovers identitet, karaktär och hante- ring, men även uppgifter om diagnos och analysresultat. De uppgifter som skulle ingå i registret skulle få användas som sökbegrepp. Direktåtkomst till uppgifter i registret skulle däremot inte vara tillåtet.12 Socialstyrelsen skulle begränsa sina anställdas och upp- dragstagares elektroniska åtkomst till registret till vad var och en behöver för att fullgöra sina arbetsuppgifter.

En ny sekretessregel skulle införas för uppgifter i registret om en enskilds hälsotillstånd eller andra personliga förhållanden. Sekretessen skulle dock inte hindra att uppgift lämnas ut om det stod klart att uppgiften kunde röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen skulle även kunna brytas vid allvarligare brottslighet.

12Med direktåtkomst avsågs i detta sammanhang att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst, så som det användes i detta sammanhang, ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. (SOU 2014:45 s. 540). Se även det senare avgörandet HFD 2015 ref 61 (LEFI Online).

362

SOU 2018:36

En reglering av ett nationellt biobanksregister

10.2.2Remissinstansernas synpunkter

Kritiken mot Registerforskningsutredningens förslag om reglering av ett nationellt biobanksregister bestod dels av generell kritik mot registrets effekter på den personliga integriteten, dels av kritik mot det angivna registrets ändamål, verkställighetsreglering, huvudmanna- skap och innehåll.

Personlig integritet

Framför allt Datainspektionen ansåg i sitt remissvar att förslaget öppnade upp för en närgången kartläggning av enskildas hälsoprofiler genom insamling av uppgifter av mycket känslig karaktär och att det möjliggjorde insamling av en omfattande mängd personuppgifter utan den registrerades samtycke.13 Datainspektionen vände sig särskilt mot den delen av förslaget som innebar att redan insamlade uppgifter skulle få behandlas i registret utan provgivarens samtycke, och att provgivaren under vissa omständigheter inte heller skulle bli informerad om sådan behandling. Datainspektionen bedömde att det kunde vara svårt för en underårig att inse vidden av ett lämnat samtycke, och även för en vårdgivare att bedöma om en underårig uppnått en sådan ålder och mognad att han eller hon själv kan ta ställning i frågan. Datainspektionen saknade vidare såväl utredning som analys av behovet av reglering rörande vilka säkerhetsåtgärder som är nödvändiga för att skydda uppgifterna som behandlas.

Registrets ändamål och utlämnande

Flera remissinstanser, särskilt bland landstingen, vände sig mot att registret skulle kunna användas för brottsutredning. Man ansåg att detta skulle undergräva förtroendet för registret och insamling av vävnadsprover inom hälso- och sjukvården.

13Datainspektionens yttrande dnr 2469-2014.

363

En reglering av ett nationellt biobanksregister

SOU 2018:36

Innehåll och verkställighetsreglering

Ett flertal remissinstanser efterlyste ett bemyndigande för registrets huvudman att meddela verkställighetsföreskrifter om hur och vilken information som skulle överföras till det centrala registret.

Läkemedelsverket ansåg att om diagnos och analysresultat skulle vara obligatoriska uppgifter i registret krävdes att denna information kvalitetssäkrades på ett betryggande sätt. Stockholms läns landsting, tillsammans med Region Skåne, ansåg att registret inte borde innehålla uppgifter om diagnos och analysresultat som per definition är patientjournaldata. Västmanlands läns landsting ansåg dock att det skulle underlätta för forskare om uppgift om diagnos och analys- resultat fanns i ett nationellt biobanksregister.

Huvudmannaskap

Flera remissinstanser ifrågasatte om det var lämpligt att Social- styrelsen ensam skulle ha huvudmannaskap för det föreslagna registret. Även Socialstyrelsen stämde in i denna kritik. Det ansågs inte lämpligt att Socialstyrelsen skulle hantera ett register som skulle ge service åt hälso- och sjukvården. Region Skåne uttryckte oro för att utlämnandet skulle ta för lång tid om Socialstyrelsen var register- hållare.

Flera remissinstanser föreslog olika varianter på ett delat huvud- mannaskap där befintliga regionala biobankscentra (RBC) skulle ha ansvar för vårddelarna av registret.

10.3Utredningen om regleringen av biobanker

Parallellt med vår utredning har Utredningen om regleringen av bio- banker haft i uppdrag att bl.a.

•analysera och lämna förslag till hur ett krav på registrering i ett nationellt register bör utformas och för vilka verksamheter som ett obligatorium bör genomföras, samt

•analysera om det ska finnas möjlighet att i ett nationellt register eller på annat sätt registrera och sammanställa uppgifter om prover som tagits utanför hälso- och sjukvården.

364

SOU 2018:36

En reglering av ett nationellt biobanksregister

Utredningen om reglering av biobanker har redovisat sina förslag i slutbetänkande i januari 2018.14

10.3.1Centrala delar av förslaget

Utredningen om reglering av biobanker föreslår att ett nationellt biobanksregister ska inrättas för forskningens behov, samtidigt som det Svenska biobanksregistret ska finnas kvar. Det senare registret ska tillgodose hälso- och sjukvårdens behov av spårbarhet av prover som tagits i samband med vård och behandling. Uppgifterna ska göras tillgängliga för vårdgivare och nås genom direktåtkomst i system för sammanhållen journalföring enligt 6 kap. patientdatalagen (2008:355), förkortad PDL.15 Vidare föreslås uppgifterna tillgängliggöras för patienter i enlighet med vad som gäller i 5 kap. 5 § PDL.16

Socialstyrelsen föreslås vara huvudman och personuppgifts- ansvarig för ett nationellt biobanksregister. Myndigheten ska få bemyndigande att bestämma om ytterligare uppgifter ska överföras till det nationella registret, samt hur information ska lämnas.

Det ska vara obligatoriskt för alla vårdgivare att lämna uppgifter om prov tagna för hälso- och sjukvård till det nationella biobanks- registret. Detta register ska innehålla uppgifter som är tillräckliga för att varje prov som registreras ska kunna spåras. Det handlar bl.a. om provgivares identitet, lämnade samtycken, återkallelser och begräns- ningar av samtycken samt provets identitet, karaktär och hantering, men inte diagnos eller analyssvar.

I det nationella biobanksregistret ska personuppgifter få behandlas för ändamålen forskning, kvalitetssäkring och framställning av statistik.

Statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretess- lagen (2009:400), förkortad OSL, ska gälla för uppgifter i registret. Identifierbara uppgifter ska dock få lämnas ut till annan myndighet eller forskningshuvudman om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Den överförda statistiksekretessen ska gälla framför annan primär sekre- tessbestämmelse hos den mottagande myndigheten vid utlämning för

14SOU 2018:4 s. 229 ff.

15Med ”direktåtkomst” avses här samma begrepp som i 6 kap. PDL.

16SOU 2018:4 s. 307 ff.

365

En reglering av ett nationellt biobanksregister

SOU 2018:36

forskningsändamål i syfte att koppla samman prov och data med tillhörande information om prov.

10.3.2Förhållningssätt till Utredningens om regleringen av biobanker förslag

Vårt uppdrag är att vidarebereda Registerforskningsutredningens förslag med hänsyn till remissinstansernas synpunkter och till de anpassningar som kan behövas med hänsyn till dataskyddsförord- ningen och dataskyddsutredningens förslag till kompletterande natio- nell lagstiftning.17 Enligt tidplanen i våra första direktiv18 skulle vi ha lämnat vårt slutbetänkande innan Utredningen om regleringen av biobanker lämnade sitt. Utredningstiden för vårt uppdrag förlängdes senare till den 25 maj 2018.19

Nu när ett förslag ändå är framlagt av Utredningen om regleringen av biobanker är vårt förhållningssätt att vi bör beakta detta nyare för- slag, särskilt i den mån det vidareutvecklar Registerforsknings- utredningens förslag.

Vad det gäller två avgränsade frågor avseende dels hur ett krav på uppgiftslämnande för vårdgivare ska utformas, dels de närmare förut- sättningarna för hur andra biobanker ska kunna registrera uppgifter i registret, anges uttryckligen i våra direktiv att dessa har ingått i uppdraget för Utredningen om regleringen av biobanker.20 Vi har därför inte vidareberett den delen av Registerforskningsutredningens förslag som behandlar dessa frågor, och kommer således inte att lämna något förslag i denna del.

Vad det gäller övriga delar av Registerforskningsutredningens förslag innebär det nyare föreslagets uppdelning att personuppgifter dels ska behandlas i det oreglerade Svenska biobanksregistret, dels i det nationella biobanksregistret. Jämfört med Registerforsknings- utredningens förslag hanterar det nu föreslagna registret färre upp- gifter och för färre ändamål. Som framgår av avsnitt 10.4.1 ansluter vi oss till denna del av Utredningens om regleringen av biobanker förslag.

17Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). Se även den beslutade lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

18Dir. 2016:65.

19Dir. 2017:87.

20Dir. 2016:65, s. 19.

366

SOU 2018:36

En reglering av ett nationellt biobanksregister

Förutsättningarna för Registerforskningsutredningens förslag blir därför så pass förändrade att vi inte har berett detta äldre förslag vidare i detalj. I stället har vi utgått från Utredningens om regleringen av biobanker förslag i det nedanstående.

10.4Överväganden och förslag

Vår bedömning: Vi ansluter oss i huvudsak till Utredningens om regleringen av biobanker förslag om reglering av ett nationellt register för prover i biobanker som ska få användas för forskning, kvalitetssäkring och framställning av statistik.

10.4.1Förslag i enlighet med Utredningens om regleringen av biobanker betänkande

Ändamål och relation till Svenska biobanksregistret

Vi ansluter oss till förslaget att instifta ett nationellt biobanksregister för bl.a. forskningsändamål, skilt från det existerande svenska bio- banksregistret, med ett tydligt separat ändamål. Ändamålet med registret ska vara forskning, kvalitetssäkring och statistik samt att tillgodose självbestämmande via den enskildes rätt till tillgång (s.k. registerutdrag).21 Uppgifter tillgängliggörs för dessa ändamål efter beslut om utlämnande.

Det svenska biobanksregistret bör kunna finnas kvar som ett separat register, och precis som i dag ha som ändamål att bl.a. under- lätta sökandet efter tidigare tagna prov för en patients egen vård och behandling.22

Denna uppdelning i ändamål mellan det nationella biobanks- registret och Svenska biobanksregistret medför ett mer begränsat ansvar för registrets huvudman jämfört med Registerforsknings- utredningens förslag.

21SOU 2018:4 s. 246.

22SOU 2018:4 s. 242.

367

En reglering av ett nationellt biobanksregister

SOU 2018:36

Rättslig grund för behandlingen

Förslaget innebär ett konstaterande att det är en uppgift av allmänt intresse att föra det nationella biobanksregistret för ovan angivna ändamål för den myndighet som får detta uppdrag. Detta medför att den personuppgiftsbehandling som är nödvändig för att utföra denna uppgift har en rättslig grund i dataskyddsförordningens artikel 6.1 e.23 Denna rättsliga grund blir genom författningsförslaget fastställd i nationell rätt, vilken uppfyller de krav på sådan rätt som framgår av artikel 6.3. Det nationella biobanksregistret kommer att innehålla stora mängder personuppgifter som i sin helhet kan medföra betydande risker för den personliga integriteten. De angivna ända- målen, skyddsåtgärderna och den föreslagna sekretessregleringen avgränsar dock vilken behandling som är möjlig. Vi bedömer samman- taget att denna nationella reglering är proportionell i förhållande till det eftersträvade målet.

De uppgifter som kan förekomma i registret innefattar inte analyser, diagnoser eller andra direkta uppgifter om hälsa. Däremot ska registret innehålla uppgifter om provernas karaktär, vilket kan innefatta uppgift om vilket humanbiologiskt material som ingår i proverna, vilken del av kroppen provet kommer ifrån och vilka prov- tagningsmetoder som använts. 24 Sådana uppgifter kan utgöra i vart fall indirekta uppgifter om hälsa i den utsträckning de exempelvis avslöjar att en viss behandling eller en viss diagnosmetod har använts. Behand- ling av sådana uppgifter är enligt huvudregeln i artikel 9.1 förbjuden.

I 3 kap. 3 § dataskyddslagen regleras vissa situationer där känsliga personuppgifter får behandlas av en myndighet. Av paragrafens andra stycke framgår dock att personuppgiftsbehandling i form av sök- ningar inte får göras med stöd av denna bestämmelse om syftet är att få fram ett urval av personer grundat på känsliga personuppgifter. När registret används för forskningsändamål måste det dock vara möjligt att göra urval baserade på de faktorer som ska studeras. Dessa faktorer kan utgöras av känsliga personuppgifter.25 Utredningens om regle- ringen av biobanker förslag anger också att de uppgifter som ingår i registret ska få användas som sökbegrepp.26 Det är därför inte möjligt

23Jfr SOU 2017:39 s. 117.

24SOU 2018:4 s. 247.

25Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 267 ff.

26SOU 2018:4 s. 250.

368

SOU 2018:36

En reglering av ett nationellt biobanksregister

att bedriva den nödvändiga personuppgiftsbehandlingen med stöd av dataskyddslagen.

I förarbetena till dataskyddslagen klargörs dock att i vissa verksamheter kommer att finnas ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dataskyddslagens bestämmelser medger. Vidare poängteras att bestämmelserna i data- skyddslagen inte ersätter artiklarna i dataskyddsförordningen och att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g även i andra fall.27 Vi gör bedömningen att behandlingen är nödvändig av hänsyn till det viktiga allmänna intresset att uppnå en bra spårbarhet för biobanksprover som bevaras för de syften som registret ska till- godose. Bestämmelserna om rätt att motsätta sig registrering (opt- out, se nedan) och skyldigheten att informera den registrerade utgör bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Även känsliga personuppgifter kan därför behandlas med stöd av artikel 9.2 g. Efter- som personuppgiftsbehandlingen är nödvändig även för forsknings- ändamål kan även artikel 9.2 j utgöra stöd för densamma.

Innehåll i registret

Vi delar Utredningens om regleringen av biobanker bedömning att det i dagsläget inte är lämpligt att reglera att uppgifter om diagnos och analysresultat knutet till vävnadsprover ska överföras till och registre- ras i ett nationellt biobanksregister.28

Verkställighetsföreskrifter

I likhet med Utredningen om regleringen av biobanker anser vi att Socialstyrelsen, i sin roll som huvudman för registret, bör bemyndigas att utfärda föreskrifter om hur uppgifterna ska överföras till registret. Vi delar däremot inte uppfattningen att Socialstyrelsen bör bemyndigas att ändra vilka uppgifter som ska få finnas i registret (se avsnitt 10.4.2).

27Regeringens proposition Ny dataskyddslag (prop. 2017/18:105), s. 91.

28SOU 2018:4 s. 248 f.

369

En reglering av ett nationellt biobanksregister

SOU 2018:36

Huvudmannaskap

Med undantag för den första biobanksutredningen har de tidigare redovisade utredningarna på området föreslagit att Socialstyrelsen ska ansvara för ett nationellt biobanksregister. Den kritik som framförts mot denna bedömning har huvudsakligen gått ut på att myndigheten inte borde ha till uppgift att bistå hälso- och sjukvårdsverksamheten i enskilda ärenden. Även Socialstyrelsen har delat den uppfattningen.

Det befintliga Svenska biobanksregistret föreslås dock finnas kvar. Det registret ska med stöd av reglerna om sammanhållen journal- föring tillhandahålla uppgifter om biobanksprover till hälso- och sjuk- vården. På så sätt renodlas uppdraget för det nationella biobanks- registrets huvudman.

Mot bakgrund av detta gör vi bedömningen att Socialstyrelsen kan ansvara för det nationella biobanksregistret.

10.4.2Bedömningar och förslag som avviker från Utredningens om regleringen av biobanker betänkande

Hantering av redan insamlade uppgifter

Vår bedömning: Dataskyddsförordningen lämnar inte utrymme att generellt underlåta att informera den registrerade om den personuppgiftsbehandling som görs i det nationella biobanks- registret, även om det är fråga om uppgifter som samlats in till lokala biobanker innan den föreslagna lagens ikraftträdande.

Den rättsliga grunden för behandlingen i det nationella registret är enligt förslaget att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är alltså inte, till skillnad från Registerforskningsutredningens förslag, beroende av ett aktivt sam- tycke från den registrerade.

Vi anser dock, i likhet med Utredningen om regleringen av bio- banker,29 att den enskilde ska ha en absolut rätt att motsätta sig registrering och behandling i ett nationellt biobanksregister (opt- out). Den enskilde ska informeras om denna rätt av den vårdgivare eller biobankshuvudman som samlar in prover till en biobank och

29SOU 2018:4 s. 250 f.

370

SOU 2018:36

En reglering av ett nationellt biobanksregister

överför uppgifter till det nationella registret. Om den enskilde mot- sätter sig att uppgifterna registreras får ingen registrering göras.

Utredningen om regleringen av biobanker uttalar dock i motiven till den föreslagna bestämmelsen att situationen avseende dem som redan har sina prover bevarade hos en vårdgivare eller biobanks- huvudman när lagen träder i kraft är mer komplicerad.30 Det är i praktiken omöjligt att kontakta samtliga provgivare för att informera dem om rätten att motsätta sig registrering. Om uppgifter får registreras först från lagens ikraftträdande skulle det enligt Utred- ningens om regleringen av biobanker bedömning ta många år innan registret kommer till nytta. Mot bakgrund av detta föreslår utred- ningen ett undantag från informationskravet, och därmed från den praktiska möjligheten att motsätta sig behandling, för sådana uppgifter som redan finns sparade i biobanker vid lagens ikraft- trädande. I stället föreslog utredningen att allmänheten på lämpligt sätt skulle informeras om registrets existens, ändamål och innehåll. Utöver detta skulle en myndighet ges i uppdrag att utforma och genomföra en informationsinsats riktad till de provgivare som redan har prover bevarade i biobanker. Informationsinsatsen skulle så långt som möjligt tillse att dessa provgivare fick kännedom om överföring av information till det nationella biobanksregistret och sin rätt att motsätta sig registrering.

Registerforskningsutredningen föreslog, till skillnad från Utred- ningen om regleringen av biobanker, att registrering och behandling av personuppgifter i det nationella biobanksregistret skulle bygga på samtycke. För uppgifter som samlats in i lokala biobanker innan lagens ikraftträdande skulle dock ett motsvarande undantag på sam- tyckeskravet gälla.31 Som redovisats ovan var dock detta undantag från samtyckeskravet en av de regler som föranledde kritik från remiss- instanserna.

Utredningens om regleringen av biobanker förslag utgår inte från att personuppgiftsbehandlingen i det nationella biobanksregistret ska bygga på samtycke. Den registrerade ska dock informeras om behand- lingen och om sin rätt att motsätta sig behandling, vilket i praktiken leder till ett förfarande som låter den enskildes inställning vara av- görande för om behandling ska få utföras. På samma sätt som

30SOU 2018:4 s. 252.

31SOU 2014:45 s. 484.

371

En reglering av ett nationellt biobanksregister

SOU 2018:36

Registerforskningsutredningen föreslog ett undantag från sam- tyckeskravet för redan insamlade uppgifter, föreslår Utredningen om reglering av biobanker ett undantag från informationskravet vad gäller redan insamlade uppgifter. Det föreslagna undantaget från infor- mationskravet framgår dock bara tydligt från utredningens motiv- uttalanden – det författningsförslag som presenterats innehåller inte något uttryckligt undantag från informationsplikten för sådana uppgifter som redan finns sparade i biobanker vid lagens ikraft- trädande.

I sammanhanget bör dataskyddsförordningens reglering av infor- mationsplikt uppmärksammas. Eftersom uppgifterna som ska registreras i det nationella biobanksregistret inte tillhandahålls av den registrerade blir artikel 14 tillämplig. Enligt denna bestämmelse ska den personuppgiftsansvariga förse den registrerade med bl.a. upp- gifter om sin identitet och kontaktuppgifter, ändamålen med och den rättsliga grunden för behandlingen samt de kategorier av person- uppgifter som behandlingen gäller. Det finns ett antal möjliga undan- tag från denna informationsplikt i artikel 14.5, bl.a. om tillhanda- hållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning (artikel 14.5 b).

Vår bedömning är att dataskyddsförordningen inte tillåter ett generellt undantag från informationsplikten för ett nationellt bio- banksregister. Om det visar sig oproportionerligt svårt att kontakta en viss provgivare får den personuppgiftsansvarige göra bedömningen om något undantag från informationsplikten kan vara tillämpligt i det enskilda fallet. Vi bedömer att allmänt riktad kommunikation, exem- pelvis information på myndighetens webbplats, inte uppfyller för- ordningens krav på informationsplikt.

Om provgivaren har avlidit utgör uppgifterna om dennes prov inte längre personuppgifter. I dessa fall utgör överföringen av uppgifterna till ett nationellt register ingen personuppgiftsbehandling. Det finns därmed i dessa fall inte något krav på information till den registrerade.

372

SOU 2018:36

En reglering av ett nationellt biobanksregister

Sekretess

Vårt förslag: En ny sekretessregel med omvänt skaderekvisit ska gälla för uppgifterna i det nationella biobanksregistret. Den tystnadsplikt som följer av sekretessbestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.

Vi gör i likhet med Utredningen om regleringen av biobanker bedöm- ningen att uppgifterna i ett nationellt biobanksregister är känsliga på sådant sätt att de bör omfattas av en sekretessbestämmelse. I detta beaktar vi att uppgiften om att någon lämnat vävnadsprov i hälso- och sjukvårdssammanhang kan utgöra en i vart fall indirekt känslig personuppgift. Utredningen om reglering av biobanker har gjort bedömningen att uppgifterna i det nationella biobanksregistret om- fattas av statistiksekretess.

Statistiksekretess gäller enligt 24 kap. 8 § OSL i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska för- hållanden och som kan hänföras till den enskilde. Som huvudregel är sekretessen absolut, även om en uppgift kan lämnas ut om den behövs för forsknings- eller statistikändamål och det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada. Huruvida statistiksekretess är tillämplig på en uppgift i en myndighets verksamhet beror bl.a. på om den förekommer i sådan särskild verksamhet som avser framställning av statistik. Vid den bedömningen är det inte myndigheten som sådan eller dess eventuella ställning som statistikansvarig myndighet32 som avgör om det är fråga om sådan särskild verksamhet. Med särskild verksamhet avses verk- samhet som är skild från annan verksamhet hos myndigheten.33 Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande.34

Det aktuella registret föreslås ha flera olika syften där statistik är ett. Förslaget omfattar dock inte vilken typ av statistik som ska fram- ställas från uppgifterna i registret. Mer framträdande är i stället registrets roll att tillhandahålla underlag till forskning samt möjliggöra

32Vilka myndigheter som är statistikansvariga framgår av bilagan till förordningen (2001:100) om den officiella statistiken. Socialstyrelsen ingår bland dessa myndigheter.

33Regeringens proposition Ändringar av statistiksekretessen (prop. 2013/14:162), s. 9.

34Regeringens proposition med förslag till sekretesslag m.m. (prop. 1979/80:2), del A s. 263.

373

En reglering av ett nationellt biobanksregister

SOU 2018:36

för den enskilde att motsätta sig vidare behandling av vävnadsprover och personuppgifter i biobankerna. Under dessa förutsättningar gör

vibedömningen att registret inte kommer att föras i sådan särskild verksamhet som avses i 24 kap. 8 § OSL. Inte heller hälso- och sjuk- vårdssekretess i enlighet med 25 kap. 1 § OSL torde vara tillämplig på uppgifterna hos Socialstyrelsen, eftersom myndigheten inte omfattas av bestämmelsen som gäller sekretess i hälso- och sjukvården.

Vi föreslår (avsnitt 8.9.5) att det ska införas en ny generell forsk- ningssekretess. Tillämpningsområdet för denna sekretess är dock begränsat till myndigheter som själva behandlar uppgifter för forsk- ningsändamål. Det nationella biobanksregistret har enligt vårt förslag ett bredare syfte och passar därför inte in på forskningssekretessens tillämpningsområde.

Däremot skulle uppgifterna åtminstone omfattas av den svagare sekretessen i 21 kap. 1 § OSL. Vi bedömer dock att sekretessens styrka i detta fall (rakt skaderekvisit) inte är tillräcklig. För att till- försäkra uppgifterna i registret ett godtagbart skydd föreslår vi i stället en särskilt avgränsad sekretessbestämmelse som avser uppgifter om enskild i ett nationellt biobanksregister. Sekretessen ska gälla såvida det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (omvänt skaderekvisit). Sekretess kommer alltså att vara huvudregeln för dessa uppgifter. Det är samma sekretesskydd som gäller för dessa uppgifter när de hanteras

ihälso- och sjukvården.

Syftet med vårt förslag är att dels stärka skyddet för de uppgifter som förekommer i ett nationellt biobanksregister, dels bibehålla förtroendet för forskningen. Vi anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Mot bakgrund av uppgifternas skyddsvärde anser vi därför att uppgifterna ska omfattas av det undantag från meddelarfriheten som regleras i 24 kap. 9 § OSL.

Föreskrifter om vilka uppgifter som ska överföras till registret

Vårt förslag: Socialstyrelsen bör inte bemyndigas att meddela föreskrifter om vilka uppgifter som ska överföras till registret. Sådana ändringar bör ges i lagform.

374

SOU 2018:36

En reglering av ett nationellt biobanksregister

Utredningen om regleringen av biobanker anger i sitt författnings- förslag att det nationella biobanksregistret uttryckligen endast ska innehålla vissa uppräknade uppgifter (3 kap. 2 § i förslaget till ny bio- bankslag), men föreslår samtidigt att Socialstyrelsen ska bemyndigas att meddela föreskrifter om vilka uppgifter som ska överföras till registret (9 kap 4 § 3 p). Vi utgår i vår bedömning från att en sådan föreskrift faktiskt avser att resultera i att de överförda uppgifterna också lagras i registret. Effekten av bemyndigandet skulle då bli att en myndighetsföreskrift i praktiken ges företräde framför en lag.

En utökning av uppgifter i registret kan, om det görs utan den registrerades samtycke, medföra att det blir fråga om så betydande intrång i den personliga integriteten att det kan utgöra en kartläggning av den registrerades personliga förhållanden. En sådan inskränkning i den enskildes rätt får enligt 2 kap. 6 och 21–22 § regeringsformen endast göras i lag. Vi anser därför att det inte är lämpligt att lämna ett bemyndigande vars tillämpning riskerar att strida mot grundlagen. En ändring av vilka uppgifter som registret får innehålla bör därför beredas i lagform.

10.5Förslag till författningsreglering

Eftersom vår beredning av frågan om ett nationellt biobanksregister inte föranleder oss att lämna något eget förslag till en reglering hänvisar vi till Utredningens om regleringen av biobanker förslag till en ny biobankslag, med de ändringar som vi ovan föreslagit.35 Vi före- slår dock en annan konstruktion för sekretessreglering av det natio- nella biobanksregistret.

10.6Sammanfattning

Vi har i detta kapitel vidareberett Registerforskningsutredningens förslag till reglering av ett nationellt biobanksregister, och särskilt beaktat den kritik som framkommit bland remissinstanserna. Vi har i denna del i betydande utsträckning anslutit oss till de bedömningar som nyligen gjorts av Utredningen om reglering av biobanker.

35SOU 2018:4 s. 53.

375

11Utlämnande av uppgifter till europeiska forskningsdatabaser

11.1Vårt uppdrag i denna del

Internationella organisationer som FN och EU har satt upp mål för att minska inkomstskillnaderna. FN:s Agenda 2030 för hållbar utveckling har bl.a. som mål att utrota fattigdomen och minska inkomstspridningen inom och mellan länder. 1 EU har ett mål om att antalet människor inom EU som lever eller riskerar att leva i fattigdom och social utestängning ska ha minskat med minst 20 miljoner till år 2020.2

Svenska forskare har sedan länge bidragit till den internationella forskningen om befolkningens inkomstskillnader, fattigdom och hur skatte- och socialförsäkringssystemen påverkar befolkningens disponibla inkomster. Bidragande till detta har varit den goda till- gången på registerdata av hög kvalitet som finns att tillgå hos Statistiska centralbyrån (SCB). Forskningen har även underlättats av ett internationellt samarbete kring en databas benämnd Luxembourg Income Study (LIS-databasen). Databasen administreras av en icke vinstdrivande forskningsorganisation i Luxemburg, LIS Cross- National Data Center (LIS). LIS-databasen innehåller uppgifter om individers inkomster, skatter, socialförsäkringar och bidrag i cirka

50länder.3

SCB levererade uppgifter till databasen från det att den skapades år

1983 fram till år 2007. SCB har därefter bedömt att det saknas rättsliga förutsättningar för myndigheten att leverera uppgifter. Riks- revisionen har granskat förutsättningarna för SCB att lämna ut data till LIS. I oktober 2016 lämnade Riksrevisionen granskningsrapporten

1https://sustainabledevelopment.un.org/

2http://ec.europa.eu/europe2020/targets/eu-targets/index_sv.htm

3http://www.lisdatacenter.org/our-data/lis-database/

377

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

Internationella jämförelser av inkomstskillnader – Sveriges möjlig- heter att bidra med statistik (RIR 2016:24). Riksrevisionen konsta- terade i rapporten att de uppgifter som LIS har behov av torde omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretess- lagen (2009:400), förkortad OSL. För att möjliggöra ett utlämnande av uppgifterna krävs det därför en författningsreglerad skyldighet för SCB att lämna ut dem till LIS. Riksrevisionen rekommenderade att regeringen, utifrån en avvägning mellan databasens nytta för forsk- ningen och den enskildes behov av integritet, tar ställning till om uppgifterna ska lämnas ut till LIS.

I våra direktiv4 anges att databasen har stor betydelse för forskning på området och att det är av vikt att uppgifter från svenska myndig- heter kan ingå i databasen. Enligt direktiven krävs det en sekretess- brytande bestämmelse för att SCB ska kunna lämna ut uppgifterna. Vidare behöver vissa frågor utredas närmare, bl.a. vilka uppgifter som bör lämnas ut, i vilket format uppgifterna ska lämnas och SCB:s möjligheter att lämna ut uppgifterna utifrån dataskyddsförordningen5 och de kompletterande författningsbestämmelserna i dataskydds- lagen (2018:218). Vi har därför fått i uppdrag att analysera vilken rättslig reglering som behövs och är lämplig för att SCB ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar databasen samt att lämna nödvändiga författningsförslag.

Det är dock inte enbart LIS-databasen som är av intresse för vårt uppdrag att möjliggöra behandling av personuppgifter i forsknings- databaser.6 Inom EU finns fler exempel på forskningssamarbeten där Sverige deltar tillsammans med andra länder. Vår bedömning av gällande rätt kan därför komma att omfatta även andra forsknings- databaser än LIS-databasen. Av den anledningen är nedanstående bedömningar även applicerbara på det generella behovet av utbytet med forskningsdatabaser inom Europa.

4Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04) (dir. 2017:61), s. 3.

6Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

378

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

11.2Rättsliga förutsättningar

11.2.1Offentlighets- och sekretesslagen

Vår bedömning: Det behöver införas en sekretessbrytande bestämmelse som möjliggör för statistikansvariga myndigheter att lämna ut uppgifter till LIS och andra forskningsdatabaser inom Europa.

Sekretess som gäller för uppgifterna hos statistikansvariga myndigheter

Av 24 kap. 8 § första stycket OSL framgår att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Den officiella statistikproduktionen, som regleras i lagen (2001:99) och förord- ningen (2001:100) om den officiella statistiken, utgör det centrala området för sådan särskild verksamhet som avses här. 7 De uppgifter som bör lämnas ut till LIS omfattas av sekretess enligt 24 kap. 8 §.8

Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller inte röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till.

Representanter för LIS har åberopat 8 kap. 3 § 2 OSL som stöd för att SCB ska kunna lämna ut begärda uppgifter.9 Enligt nämnda lagrum får en uppgift för vilken sekretess gäller inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte

1.utlämnande görs i enlighet med särskild föreskrift i lag eller förordning, eller

2.uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften

7Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till

24kap. 8 §.

8Se SCB:s skrivelse 2014-09-16, dnr 2014/1071Ad1, och Riksrevisionens rapport Inter- nationella jämförelser av inkomstskillnader – Sveriges möjligheter att bidra med statistik (RIR 2016:24) s. 16.

9Skrivelse 2013-02-27 till SCB från R. Erikson och M. Jäntti vid Stockholms universitet, dnr SU 328-0003-13 (Stockholms universitets dnr) och 2013/0442 (SCB:s dnr).

379

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

Lagrådet har påpekat att en svensk myndighet i princip inte har någon skyldighet att tillhandagå en utländsk myndighet eller en mellan- folklig organisation med uppgifter vare sig dessa är sekretessbelagda eller inte, såvida inte en sådan uppgiftsskyldighet är särskilt före- skriven. Paragrafen medför således inte någon förpliktelse att lämna uppgifter utan har endast till funktion att fastställa under vilka förut- sättningar sekretessbelagda uppgifter får lämnas till en utländsk myndighet eller en internationell organisation.10

Någon särskild föreskrift om statistikansvariga myndigheters utlämnande av uppgifter till LIS eller någon annan europeisk forsk- ningsdatabas finns varken i lag eller förordning.

Utlämnande till utländska myndigheter eller mellanfolkliga organisationer

De ansvariga för LIS-databasen har som nämnts ovan åberopat det andra undantaget i 8 kap. 3 § OSL. Den fråga som behöver klargöras är således om LIS-databasen och andra europeiska forsknings- databaser omfattas av bestämmelserna i 8 kap. 3 § 2 OSL. Bestäm- melserna i 8 kap. 3 § tar sikte på i vilka fall uppgifter kan lämnas till en utländsk myndighet eller en mellanfolklig organisation.

Det måste först avgöras om den europeiska forskningshuvud- mannen är en utländsk myndighet. Är svaret på den frågan nekande måste man i stället bedöma om forskningshuvudmannen är att betrak- tas som en mellanfolklig organisation enligt kriterierna uppställda i 8 kap. 3 § OSL. I det följande undersöker vi därför främst LIS ur ett organisatoriskt perspektiv.

LIS är en oberoende icke vinstdrivande forskningsorganisation som är registrerad och belägen i Luxemburg med en filial vid The City University of New York. 11 LIS är således inte en utländsk myndighet. Frågan är därmed om LIS är att betrakta som en mellanfolklig organisation.

10Konstitutionsutskottets betänkande 1982/83:KU12 s. 36 och Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till 8 kap. 3 §.

11http://www.lisdatacenter.org/wp-content/uploads/brochure.pdf

380

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

Riksrevisionen har funnit att det inte är entydigt om LIS rent juridiskt är att betrakta som en mellanfolklig organisation. Forskare från svenska statliga universitet deltar i arbetet, något som enligt Riks- revisionen skulle kunna tala för att organisationen är att betrakta som mellanfolklig. Om detta faktum är tillräckligt för att klassificera organisationen som mellanfolklig kan enligt Riksrevisionen emellertid inte fastslås med säkerhet.12

Det finns inte någon definition av mellanfolklig organisation i OSL och fanns inte heller i den äldre sekretesslagen (1980:100), förkortad SekrL. Någon definition nämns inte heller i förarbetena till bestäm- melserna i 8 kap. 3 § OSL, som tidigare fanns i 1 kap. 3 § tredje stycket SekrL.

Uttrycket mellanfolklig organisation förekommer också i 10 kap. 1 § regeringsformen, förkortad RF. Enligt nämnda paragraf är det regeringen som ingår överenskommelser med bl.a. mellanfolkliga organisationer. I förarbetena till den bestämmelsen anges att uttrycket mellanfolklig organisation bara omfattar organisationer som är rättssubjekt enligt folkrätten, vilket är fallet i huvudsak med organi- sationer som är sammanslutningar av stater.13 Lagrådet har ansett att hit torde också få räknas organisationer som upprättats genom avtal mellan flera stater utan att för den skull de enskilda staterna ses som medlemmar i organisationerna.14 Regeringen har uttalat att det inte finns någon allmänt vedertagen definition av vad som är en mellan- folklig eller internationell organisation. Enligt regeringen brukar dock vanligtvis sägas att en mellanfolklig organisation för det första ska skapas genom en internationell överenskommelse, för det andra ska vara ett självständigt organ samt för det tredje ska ha etablerats i enlighet med internationell rätt.15

Den ovan återgivna synen på vad som karaktäriserar en mellan- folklig organisation, dvs. organisationer som är sammanslutningar av stater eller som upprättats genom avtal mellan flera stater eller genom en internationell överenskommelse, förefaller också vara relevant för bestämmelserna i 8 kap. 3 § OSL. I förarbetena till bestämmelsen i

12Riksrevisionens rapport Internationella jämförelser av inkomstskillnader – Sveriges möjlig- heter att bidra med statistik (RIR 2016:24) s. 10.

13Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdagsordning m. m (prop. 1973:90 s. 357 och 360).

14Regeringens proposition Samarbete med Specialdomstolen för Sierra Leone (prop. 2005/06:93), s. 88.

15Prop. 2005/06:93 s. 29 f.

381

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

8 kap. 3 § 1 nämns som exempel de socialförsäkringskonventioner som Sverige har ingått med främmande länder och som innehåller åtaganden om att lämna uppgifter i olika hänseenden.16 Som ytter- ligare exempel kan nämnas lagen (2000:1219) om internationellt tull- samarbete.17 I förarbetena till den lagen anges FN och EG som exem- pel på mellanfolkliga organisationer.18 Vidare kan nämnas att Förenta Nationerna och Europarådet anges som exempel på mellanfolkliga organisationer i förarbetena till bestämmelserna om utrikessekretess i 15 kap. 1 § OSL, vilka tidigare fanns i 2 kap. 1 § SekrL.19

Är LIS en mellanfolklig organisation?

Luxembourg Income Study bildades år 1983 av forskare från sju länder, däribland Sverige.20 Även om det är flera länder som bidrar med uppgifter till LIS är det enligt vår bedömning inte fråga om en organisation som är en sammanslutning av stater eller som har upp- rättats genom avtal mellan flera stater eller genom en internationell överenskommelse. LIS är således inte att betrakta som en mellan- folklig organisation. Bestämmelsen i 8 kap. 3 § 2 OSL är därmed inte tillämplig här. Nämnda bestämmelse kan därmed inte utgöra stöd för SCB att lämna ut uppgifter till LIS.

Statistikansvariga myndigheters möjlighet att lämna ut uppgifter med stöd av 8 kap. 3 § OSL

Även om en europeisk forskningsdatabas skulle vara att betrakta som en mellanfolklig organisation hade det inte per automatik inneburit att den statistikansvariga myndigheten skulle kunna lämna ut önskade uppgifter. Enligt bestämmelsen i 8 kap. 3 § OSL får uppgifter lämnas ut till en utländsk myndighet eller mellanfolklig organisation endast om uppgiften i motsvarande fall fått lämnas ut till svensk myndighet

16Regeringens proposition om ändring i sekretesslagen (prop. 1981/82:186) s. 58.

17Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till

8kap. 3 §.

18Regeringens proposition Internationellt tullsamarbete (prop. 1999/2000:122), s. 19.

19Regeringens proposition med förslag till sekretesslag m.m. (prop. 1979/80:2) Del A s. 130 f.

20Riksrevisionens rapport Internationella jämförelser av inkomstskillnader – Sveriges möjligheter att bidra med statistik (RIR 2016:24), s. 10 samt http://www.lisdatacenter.org/wp-content/uploads/brochure.pdf

382

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut.

Vid utlämnande till svenska myndigheter tillämpar statistik- ansvariga myndigheter statistiksekretessen i 24 kap. 8 § OSL. Enligt huvudregeln är sekretessen i 24 kap. 8 § första stycket absolut, dvs. inte försedd med något skaderekvisit. Det innebär att uppgifterna ska hemlighållas utan någon prövning av om ett utlämnande medför någon risk för skada eller men.21 I tredje stycket finns dock undantag från den absoluta sekretessen. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Även i de fall som en forskningsdatabas är en mellanfolklig organisation måste alltså utlämnande myndighet göra en sådan menprövning före ett utlämnande.

SCB har i skrivelse till LIS den 16 september 2014 uttalat22 att det inte går att bedöma att det står klart att uppgifterna kan lämnas ut till LIS utan att någon enskild lider skada eller men. SCB hänvisar i skrivelsen till att uppgifterna ska lämnas ut till en generell databas, i syfte att användas för framtida, ospecificerade forskningsprojekt. Till Riksrevisionen har företrädare för SCB uppgett att myndigheten ansett sig förhindrad att lämna ut uppgifterna eftersom de skulle lämnas ut till en forskningsdatabas för att i ett senare skede lämnas ut till okända forskningsprojekt och att man därför inte kunnat göra någon skadeprövning.23 SCB är således av uppfattningen att mot- svarande förfrågan från en svensk myndighet inte hade kunnat god- kännas eftersom syftet med uppgifterna är att skapa en databas och inte att användas för ett specifikt forskningsprojekt.24 SCB:s tolkning innebär också att inte heller en förfrågan från någon annan europeisk forskningsdatabas skulle kunna godkännas. Denna bedömning kan inte sägas gälla specifikt för LIS utan torde träffa andra liknande forsk- ningsdatabaser inom EU.

21Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2017, Zeteo), kommentaren till

24kap. 8 §.

22Dnr 2014/1071Ad1 (SCB:s diarienummer).

23Riksrevisionens rapport Internationella jämförelser av inkomstskillnader – Sveriges möjlig- heter att bidra med statistik (RIR 2016:24) s. 16.

24Se SCB:s två skrivelser 2013-03-07, dnr 2013/0442 (SCB:s dnr).

383

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

Sammanfattningsvis är det utredningens bedömning att det krävs en sekretessbrytande bestämmelse som går utöver de undantag från sekretess som finns i 24 kap. 8 § tredje stycket OSL. Detta för att de statistikansvariga myndigheterna ska kunna lämna ut uppgifter till de europeiska forskningsdatabaserna.

Nedan analyserar vi vilka möjligheter till sådan reglering som finns med beaktande av dataskyddsförordningen och dataskyddslagen.

11.2.2Dataskyddsregleringen

Vår bedömning: Dataskyddsförordningen och dataskyddslagen förutsätter att det införs en särskild reglering av en rättslig grund som gör det möjligt för en svensk myndighet att lämna ut uppgifter till LIS eller andra europeiska forskningsdatabaser.

Inledning

Personuppgifter behandlas inom forskningsverksamhet i samband med exempelvis intervjuer av forskningspersoner, inspelningar och genom insamling av registeruppgifter från större register från myndig- heter. Vilka typer av personuppgifter det är fråga om kan variera från projekt till projekt. Det kan handla om allt från t.ex. integritets- känsliga personuppgifter om hälsa och sexualliv till uppgifter om lag- överträdelser. I en del forskningsprojekt förekommer inga känsliga personuppgifter alls.

Rättslig grund

Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges under vilka förutsättningar en behand- ling är laglig. Behandling är endast laglig om och i den mån som åtminstone ett av villkoren i artikel 6.1 a–f är uppfyllt. De rättsliga grunder som enligt vår uppfattning aktualiseras i detta sammanhang finns i artikel 6.1 c och e. Enligt artikel 6.1 c är behandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den

384

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

personuppgiftsansvarige. Av första ledet i artikel 6.1 e framgår att behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse.

För att nämnda grunder ska kunna tillämpas finns ytterligare krav i artikel 6.3. Enligt första stycket ska den grund för behandling som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Förpliktelser och uppgifter av allmänt intresse som inte är rättsligt förankrade i enlighet med unionsrätten eller medlems- statens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.

I de allra flesta typer av forskningsprojekt kan det förekomma känsliga personuppgifter och uppgifter om lagöverträdelser. Huvud- regeln i dataskyddförordningen anger att behandling av dylika person- uppgifter är förbjudna. Det krävs då att det finns ett undantag som är tillämpligt för att behandlingen ska kunna vara tillåten. Det undantag som kan bli aktuella gällande LIS, och andra fall där man behandlar personuppgifter inom en forskningsverksamhet, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 j. Förutom ändamålet med behandlingen omfattar kraven att det finns stöd i unionsrätt eller nationell rätt. Regleringen ska stå i proportion till syftet med behandlingen, vara förenligt med rätten till dataskydd och utöver detta innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Slutsatsen av den bedömningen kan inne- bära att det saknas nationell reglering eller att den befintliga inte upp- fyller samtliga krav. Det kan också innebära att alla krav är uppfyllda och en sekretessprövning enligt gällande rätt kan utföras.

Rättslig grund för utlämnande myndigheter

I detta avsnitt avser vi att belysa den rättsliga grund som statistik- ansvariga myndigheter har för utlämnande av uppgifter till LIS och andra liknande forskningshuvudmän utomlands.

I bilagan till förordningen om den officiella statistiken anges vilka myndigheter som är statistikansvariga myndigheter. Av 3 § lagen om officiell statistik framgår det att officiell statistik ska finnas för allmän information, utredningsverksamhet och forskning. Denna fastställda uppgift utgör rättslig grund för de statistikansvariga myndigheterna

385

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

att utföra en uppgift av allmänt intresse enligt artikel 6.1 e. Det är därmed utredningens bedömning att den personuppgiftsbehandling som krävs i det här fallet är fastställd i nationell rätt och därmed finns det inget behov av en separat reglering i denna del.

Enligt artikel 6.3 andra stycket ska syftet med behandlingen fast- ställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse.

Till skillnad mot vad som gäller avseende grunden rättslig för- pliktelse behöver ändamålet således inte framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Med andra ord måste det finnas ett samband mellan behandlingen och den fastställda uppgiften.

Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestäm- melserna i dataskyddsförordningen med hänsyn till behandling enligt artikel 6.1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan den rättsliga grunden innehålla särskilda bestämmelser om bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka regist- rerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling. Detta omfattar även åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX (där det finns bestämmelser om behandling för bl.a. vetenskapliga eller historiska forskningsändamål eller statistiska ändamål). I artikel 6.3 andra stycket sista meningen anges att unionsrätten eller medlems- staternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I dataskyddslagen finns en kompletterande bestämmelse avseende uppgift av allmänt intresse. Enligt 2 kap. 4 § första stycket 1 får personuppgifter behandlas med stöd av artikel 6.1 e i dataskydds- förordningen om behandlingen är nödvändig för att den person- uppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut

386

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

som har meddelats med stöd av lag eller annan författning. I för- arbetena25 till bestämmelsen i 2 kap. 4 § första stycket 1 anger reger- ingen att bl.a. statliga myndigheters verksamhet i allt väsentligt är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av dessa myndig- heter, även utanför området för myndighetsutövning. I propositionen anges vidare att myndigheternas uppdrag och åligganden framgår av bl.a. författningar och regeringsbeslut, antagna i enlighet med grund- lagens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentlig- gjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed utföras med stöd av artikel 6.1 e i dataskyddsförordningen.26 Även bestämmelserna i dataskyddslagen förutsätter att det finns en särskild reglering som möjliggör nödvändig behandling av personuppgifter vid sådant utlämnande. Det framgår av 1 kap. 3 § dataskyddslagen att en sådan reglering i så fall har företräde framför bestämmelserna i dataskydds- lagen, i den mån regleringen avviker från vad som föreskrivs i dataskyddslagen.

Sammanfattningsvis kan konstateras att bestämmelserna i data- skyddsförordningen och dataskyddslagen förutsätter att det införs en särskild reglering av den rättsliga grunden som gör det möjligt för en statistikansvarig myndighet att lämna ut uppgifter till LIS eller andra europeiska forskningsdatabaser.

11.2.3Uppgiftsskyldighet som bryter sekretess

Vår bedömning: Ett undantag från sekretess på grund av uppgifts- skyldighet omfattar i gällande rätt inte uppgiftsskyldighet till annat än myndigheter.

Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Detta framgår av 10 kap. 28 § första stycket OSL. Av andra stycket framgår att ytter-

25Regeringens proposition Ny dataskyddslag (prop. 2017/18:105).

26Prop. 2017/18:105, s. 55 ff.

387

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

ligare sekretessbrytande bestämmelser och bestämmelser om undan- tag från sekretess finns i anslutning till berörda sekretessbestämmelser i lagens avdelning IV–VI. En sekretessbrytande bestämmelse i form av uppgiftsskyldighet förutsätter således att det är en myndighet som är mottagaren. För att uppgiftsskyldigheten ska bryta sekretessen måste den också ha stöd i lag.

Det finns en särskild skyldighet för statliga myndigheter att lämna uppgifter för officiell statistik. Uppgiftsskyldigheten regleras i lagen om den officiella statistiken (statistiklagen) och omfattar närings- idkare och ägare till en fastighet där någon annan driver jordbruk, skogsbruk eller trädgårdsodling eller håller djur samt stiftelser och ideella föreningar, registrerade trossamfund, kommuner och lands- ting. Uppgiftsskyldigheten innebär alltså att näringsidkare, olika organisationer, kommuner och landsting måste lämna in vissa upp- gifter som krävs för att producera Sveriges officiella statistik.

I fråga om statliga myndigheter finns bestämmelser om uppgifts- skyldigheten i statistikförordningen. Enligt förordningen ska en statlig myndighet lämna de uppgifter som behövs för den officiella statistiken till de statistikansvariga myndigheterna. Vilka myndigheter som är statistikansvariga inom vilket område framgår som ovan nämnts av bilagan till förordningen om den officiella statistiken.27 Skyldigheten att lämna in uppgifter för statistiska ändamål gäller alltså såväl för vissa myndigheter som för vissa privata aktörer.

Däremot finns ingen reglerad uppgiftsskyldighet från myndighet till en privat forskningshuvudman i svensk lagstiftning. I förarbetena till statistiklagstiftningen28 har hittills endast uppgiftsskyldigheten mellan myndigheter behandlats med utvidgning till att omfatta även EU-myndigheter. Det finns även möjlighet för den svenska staten att göra undantag från sekretess för mellanfolkliga organisationer såsom FN (8 kap 3 § OSL). Det finns dock inte något sådant undantag från sekretessen som omfattar offentliga eller privata forskningshuvudmän utanför Sveriges gränser.

27Regeringens proposition Ändringar i statistiklagstiftningen (prop. 2013/14:7), s. 12 f

28Propositionerna 2000/01:27, 2002/03:95, 2008/09:165, 2013/14:7.

388

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

11.3Utredningens förslag

11.3.1En ny sekretessbrytande bestämmelse

Vårt förslag: En uppgift för vilken sekretess gäller får röjas för en forskningshuvudman med verksamhetsställe utanför Sverige, som omfattas av EU:s dataskyddsförordning, om uppgiften i mot- svarande fall skulle få lämnas ut till en forskningshuvudman med verksamhetsställe i Sverige, och om forskningshuvudmannen om- fattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen och lagen om forskningsdatabaser.

Vi föreslår även att regeringen ska ge en myndighet i uppdrag att stödja utlämnande myndigheter vid bedömningen av om en forskningshuvudman utanför Sverige uppfyller de villkor som krävs för ett utlämnande av personuppgifter.

De uppgifter som företrädare för europeiska forskningsdatabaser kan vilja samla in från svenska myndigheter omfattas som regel av statistiksekretessen i 24 kap. 8 § OSL. Vid menprövningen i samband med utlämnanden till forskningsprojekt kräver SCB, liksom andra myndigheter, en godkänd etikansökan samt att uppgifterna skyddas av sekretess hos mottagaren antingen genom en primär sekretess- bestämmelse eller genom överföring av statistiksekretessen. Dessa krav utgör oftast inte något problem för en svensk myndighet att uppfylla. För utlämnande till privata forskningshuvudmän inom Sverige finns möjligheten för utlämnande myndighet att lämna ut uppgifterna med förbehåll enligt 10 kap. 14 § OSL. För det fall där statistiksekretessen inte finns reglerad hos mottagande myndighet anses sekretessen överföras enligt 11 kap. 3 § OSL.

När forskningshuvudmän från olika länder inklusive en svensk forskningshuvudman tillsammans begär ut uppgifter brukar utläm- nande myndighet lämna ut uppgifterna till den svenska forsknings- huvudmannen. Den svenska parten får ta huvudansvaret för upp- gifterna och hantering av dessa. Detta är dock inte en tillfredsställande lösning eftersom en svensk forskningshuvudman inte deltar i alla forskningssamarbeten.

Som tidigare angetts omfattas inte privata forskningshuvudmän utanför landets gränser av det svenska sekretesskyddet. Detta skapar problem eftersom en utlämnande myndighet i sådana fall anser sig

389

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

vara förhindrad att lämnat ut uppgifter. Det finns heller inga sekre- tessbrytande bestämmelser som ger möjlighet att lämna ut uppgifter till privata forskningshuvudmän utomlands.

Forskare hos svenska forskningshuvudmän deltar i många inter- nationella forskningssamarbeten som förutsätter behandling av personuppgifter i forskningsdatabaser, även i databaser i andra länder. För att möjliggöra forskningssamarbeten inom EU och för att upp- fylla syftet med dataskyddsförordningen anser vi att det vore önskvärt med en reglering i offentlighets- och sekretesslagen som möjliggör utlämnande av uppgifter till forskningshuvudmän som omfattas av dataskyddsförordningen.

Vi föreslår således en sekretessbrytande bestämmelse liknande den som återfinns i 8 kap. 3 § OSL. Av bestämmelsen ska framgå att uppgift för vilken sekretess gäller enligt offentlighets- och sekretess- lagen inte skulle få röjas för en forskningshuvudman med verksam- hetsställe utanför Sverige som omfattas av EU:s dataskyddsförord- ning. Ett utlämnande skulle ändå vara tillåtet om uppgiften i mot- svarande fall skulle få lämnas ut till en svensk forskningshuvudman och den utländske forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen och den lag om forskningsdatabaser som vi föreslår. Av den anledningen ska den sekretessbrytande regeln formuleras så att den omfattar både privata forskningshuvudmän och forskningshuvudmän som är ut- ländska myndigheter. Regeln ska bara gälla utländska forsknings- huvudmän som omfattas av dataskyddsförordningen. Möjligheten att lämna ut uppgifter till utländska forskningshuvudmän utanför data- skyddsförordningens tillämpningsområde måste utredas utförligare än vad som är möjligt inom ramen för vår utredning.

I Sverige ställer utlämnande myndigheter krav på att forsknings- huvudmannen ska ha ett etikgodkännande från en av landets etik- prövningsnämnder och ett erforderligt sekretesskydd för att få ut uppgifter till forskning. Vidare ställs krav på att forskningshuvud- mannen ska följa bestämmelserna i dataskyddsförordningen. Dessa krav träffar alla forskningshuvudmän, privata som offentliga. Med anledning av vår strävan att behandla alla forskningshuvudmän lika blir det därför rimligt att motsvarande krav även ska träffa forsk- ningshuvudmän utanför Sverige som också är skyldiga att uppfylla kraven i dataskyddsförordningen. Detta ger uppgifterna motsvarande

390

SOU 2018:36

Utlämnande av uppgifter till europeiska forskningsdatabaser

skydd hos den mottagande parten även i fall där forskningshuvud- mannen inte är en myndighet eller mellanfolklig organisation. Av den sekretessbrytande bestämmelsen ska framgå att dessa krav ska vara uppfyllda för att sekretessen ska kunna brytas och uppgifter lämnas ut.

Den sekretessbrytande bestämmelse som vi förslår ska således inte enbart vara tillämplig för utlämnande av uppgifter till LIS, utan till alla forskningsdatabaser som drivs av forskningshuvudmän med verksam- hetsställen utanför Sverige som omfattas av dataskyddsförordningen. Vi anser att en sådan bestämmelse möjliggör önskvärda forsknings- samarbeten inom EU och innefattar ett gott skydd för den personliga integriteten. Skyddet av uppgifterna måste uppfylla de krav på säker- het vid behandling av personuppgifter som ställs i dataskydds- förordningen. Under dessa förutsättningar kan även syftet med förordningen uppfyllas, nämligen att skydda fysiska personer med avseende på behandling av personuppgifter samtidigt som det fria flödet av uppgifter inom unionen inte begränsas.

Ett ytterligare skydd för uppgifterna finns genom tillämpning av bestämmelsen i 21 kap 7 § OSL. Enligt den nya lydelsen29 gäller sekretess ifall den utlämnande myndigheten har anledning att anta att uppgifterna efter utlämnandet kommer att behandlas i strid mot dataskyddsförordningen eller dataskyddslagen. Oaktat den bestäm- melse som vi föreslår skulle ett antagande om behandling i strid mot dataskyddsförordningen innebära ett hinder mot utlämnande.

Det kommer att vara en ny och inte helt lätt uppgift för en svensk myndighet att avgöra om en forskningsdatabas inom EU uppfyller de villkor som krävs för att uppgifterna ska få röjas enligt vår föreslagna regel. Om det är möjligt ska myndigheten därefter tillämpa sin vanliga sekretessbestämmelse, t.ex. 24 kap. 8 § OSL, alltså göra en menpröv- ning. Om det finns anledning att anta att forskningshuvudmannen skulle behandla uppgifterna i strid mot dataskyddsförordningen eller dataskyddslagen, ska det dessutom göras en prövning enligt 21 kap. 7 § OSL. Det kommer därför att behövas information om hur den mottagande forskningsdatabasen behandlar personuppgifter och om vilka skyddsregler som tillämpas. Utredningen finner att det är lämp- ligt att en myndighet, t.ex. Vetenskapsrådet, får i uppdrag av reger- ingen att bistå myndigheterna med sådan information. Den myndig- het som får detta uppdrag bör samråda med Datainspektionen.

29Lag (2018:220).

391

Utlämnande av uppgifter till europeiska forskningsdatabaser

SOU 2018:36

11.3.2Alternativ lösning för utlämnande av uppgifter till LIS

Ett annat alternativ för att möjliggöra utlämnande av person- uppgifter till LIS, som vi har övervägt, är om Sverige skulle kunna verka för att LIS ska byta organisationsform, från den nuvarande stiftelseliknande organisationen till en s.k. Eric (nedan kallad Eric- konsortium).

Inom EU har man sedan länge haft som mål att stödja och utveckla forskningsinfrastrukturer. Traditionellt sett har stödet för använd- ning och utveckling av europeiska forskningsinfrastrukturer före- trädesvis bestått av bidrag till redan etablerade forskningsinfra- strukturer. EU har detta till trots ansett att utvecklingen av nya forskningsinfrastrukturer måste stimuleras ytterligare. Som ett led i denna målsättning antog Europeiska unionens råd 2009 förordningen (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric- förordningen). Syftet med förordningen är att det ska vara lättare att inrätta och driva europeiska forskningsinfrastrukturer på icke-ekono- miska grunder. Med forskningens infrastruktur avses t.ex. centrala forskningsanläggningar, databaser, biobanker eller storskaliga beräk- ningsresurser.

Ett Eric-konsortium är en juridisk person inom EU med huvud- uppgift att utan vinstsyfte inrätta och driva en forskningsinfra- struktur. Enligt Eric-förordningen ska ett Eric-konsortium i varje medlemsstat ha den mest omfattande rättskapacitet som tillerkänns juridiska personer enligt den medlemsstatens nationella lagstiftning. Medlemmar i ett Eric-konsortium är minst en medlemsstat och två andra länder som antingen är medlemsstater eller anslutna länder. Ytterligare medlemsstater, anslutna länder, tredjeländer som inte är anslutna länder samt mellanstatliga organisationer kan också ansluta sig som medlemmar till ett Eric-konsortium under vissa förut- sättningar.

Organisationen kring LIS är baserad i Europa men är ett vidare internationellt projekt. Forskare från USA var drivande i grundandet av LIS och USA:s National Science Foundation är den viktigaste finansiären. Vi bedömer att det inte är ett möjligt alternativ för LIS att omorganiseras till en ERIC-konsortium. Vi lämnar således inte något sådant förslag.

392

12Skydd för uppgifter om avlidna i forskning

12.1Inledning

12.1.1Uppdraget

I vårt uppdrag ingår att närmare undersöka om uppgifter om avlidna behöver ett särskilt skydd inom ramen för forensisk forskning. Vi ska dels kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning, dels analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och vid behov föreslå de författnings- ändringar som behövs.1

12.1.2Avgränsning

Forensik innebär bl.a. att spår av brott på platser och personer samlas in och analyseras för att säkra teknisk bevisning som kan användas för att binda en misstänkt gärningsperson till ett brott eller för att avfärda brottsmisstankar.2 Med forensisk verksamhet avses främst kriminal- teknik, rättsmedicin, rättskemi, rättsgenetik och rättspsykiatri.3 Forensisk forskning är alltså sådant arbete som utförs för att inhämta ny kunskap inom dessa discipliner samt utvecklingsarbete inom forensisk verksamhet på vetenskaplig grund.

I vår kartläggning och behovsbedömning kommer vi dock inte begränsa oss till enbart reglering som uttryckligen tar sikte på forensisk forskning. I stället gör vi en bredare kartläggning över

1Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 18 f.

2Riksrevisionen, Från spår till bevis – Polisens forensiska organisation, RIR 2017:16, s. 5.

3RMV/SKL-utredningens delbetänkande Forensiska institutet. Ny myndighet för kriminalteknik, rättsmedicin och rättspsykiatri (SOU 2006:63), s. 17.

393

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

bestämmelser som kan ha inverkan på skyddet för uppgifter om avlidna när dessa behandlas för forskningsändamål i stort. Även vid bedömningen av vilket skydd som bör tillkomma uppgifter om avlidna betraktar vi skyddsintresset inom all forskning. Detta eftersom skyddsintresset för avlidna inte torde vara begränsat till just forensisk forskning.

12.1.3Bakgrund

Frågan om ett starkare skydd för avlidna väcktes i Rättsmedicinal- verkets (RMV) rapport Ett nytt författningsstöd för Rättsmedicinal- verkets behandling av personuppgifter, m.m. (Ju2013/08833/Å). I rapporten beskrevs RMV:s behov av tydligare reglering kring integritetsskydd för uppgifter om avlidna som RMV efter begäran lämnar ut till extern forskningshuvudman. Frågan bedömdes av RMV vara principiell och beröra fler samhällsaktörer utöver RMV, varför man rekommenderade att frågan övervägdes närmare i Regerings- kansliet.

12.1.4Disposition

Detta kapitel inleds med en beskrivning av vilken typ av uppgifter om avlidna som typiskt sett kan komma att användas inom forskning, och hur sådana uppgifter i dag behandlas i vissa myndighetssammanhang (avsnitt 12.2). Vi gör sedan en mer detaljerad kartläggning över de rättsliga förutsättningarna och hur det lagreglerade skyddet för dessa uppgifter ser ut (avsnitt 12.3). Vi gör sedan en bedömning av om det finns ett behov av att stärka detta skydd (avsnitt 12.4).

12.2Uppgifter om avlidna som kan komma att användas inom forskning

För en bättre förståelse av vilken typ av uppgifter om avlidna som kan behandlas i forsknings- och forensiska sammanhang inleder vi denna kartläggning med att undersöka hur sådana uppgifter kan användas i några centrala verksamheter.

394

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

12.2.1Uppgifter om avlidna hos RMV

Allmänt

Inom ramen för en rättsmedicinsk obduktion registrerar och hanterar RMV en rad uppgifter om den avlidna, t.ex. uppgifter om drogmiss- bruk, sjukdomstillstånd, skador och medicinska ingrepp.4 Digitala bilder på den avlidne registreras också. Om obduktionen är föranledd av misstanke om brott registrerar RMV även uppgifter om lagöver- trädelser m.m. Härtill kan även läggas den information om den avlidne som ligger latent i de vävnadsprover som bevaras vid myndigheten. Informationen kan utvinnas på olika sätt, t.ex. genom DNA-analys eller kemisk analys.

Rättsmedicinska uppgifter är alltid individrelaterade och kan alltid hänföras till en enskild individ i de fall där identiteten är fastställd genom namn och personnummer. Uppgifter om drogmissbruk, sjuk- domstillstånd, medicinska ingrepp samt lagöverträdelser m.m. utgör typexempel på uppgifter som i dataskyddsförordningens5 mening hade varit att anse som känsliga personuppgifter om personen hade varit i livet (se vidare avsnitt 12.3).

I dödsfallsutredningar är det inte ovanligt att det förekommer upp- gifter om anhöriga till den avlidne, t.ex. namn, personnummer och adressuppgifter. I dödsfallsutredningar som har ett samband med brott kan polismyndighetens handlingar innehålla uppgifter om anhöriga och eventuella vittnen. Vid omhändertagande av vävnad för transplantationsändamål inhämtas ett samtycke till donation från närstående eller anhöriga om den avlidnes inställning i donations- frågan är oklar, vilket resulterar i en dokumentation av närståendes och anhörigas inställning.

Mot bakgrund av personuppgifternas känsliga karaktär, respekten för de avlidna och de anhörigas intressen hanteras i stor utsträckning redan i dag registrerade uppgifter om avlidna som om de vore person- uppgifter i personuppgiftslagens (1998:204) och dataskydds- förordningens mening, eftersom det inte kan uteslutas att det kan skada den avlidnes intressen om de röjs (se avsnitt 12.4.1 angående

4För uppgifter om RMV:s verksamhet har utredningens experter bidragit med erfarenhets- baserad kunskap om myndigheten. Se vidare kapitel 2 om hur utredningen biståtts med särskilt underlag om RMV:s verksamhet.

395

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

skyddsintresset för den avlidnes uppgifter). Det kan inte heller uteslutas att uppgifterna kan betraktas som indirekta personuppgifter om den avlidnes anhöriga och då även utgöra känsliga personuppgifter om de anhöriga.

Hantering av vävnad från avliden

Inom den rättsmedicinska verksamheten har RMV meddelat riktlinjer dels för hantering av humanbiologiskt material tillvarataget enligt lagen (1995:832) om obduktion m.m. (obduktionslagen), dels för användande av biologiskt material från rättsmedicinska under- sökningar för forskning, kvalitetssäkring och kvalitetsutveckling. Av riktlinjerna om kvalitetssäkring m.m. framgår bl.a. att human- biologiskt material får tillvaratas vid en rättsmedicinsk undersökning för forskningsändamål om den avlidne under sin levnad lämnat sitt samtycke enligt lagen (1995:831) om transplantation m.m. (trans- plantationslagen).6 Enligt 3 § transplantationslagen får biologiskt material användas för transplantation eller annat medicinskt ändamål. Med annat medicinskt ändamål avses främst läkemedelsfram- ställning.7 Som exempel på andra medicinska ändamål nämner för- arbetena till bestämmelsen forskning i syfte att förbättra trans- plantationstekniken eller medicinsk undervisning. Förarbetena nämner inte rättsmedicinsk eller annan forskning.

Biologiskt material som tillvaratagits för att tillgodose den rätts- medicinska obduktionens syften får däremot, enligt RMV:s riktlinjer, användas utan medgivande från den avlidne för kvalitetssäkring och kvalitetsutveckling av de metoder som används vid rättsmedicinska undersökningar. Enligt riktlinjerna ska sådant material avidentifieras och på så sätt att materialet inte längre kan knytas till provgivaren av någon part.

Enligt riktlinjerna för hantering av biologiskt material får vid rättsmedicinska undersökningar vävnader tas tillvara för bl.a. mikro- skopisk undersökning.8 Det rör sig om mindre bitar av organ som

6Interna riktlinjer och föreskrifter nr 2001–05.

7Regeringens proposition Transplantationer och obduktioner m.m. (prop. 1994/95:148), s. 73.

8Interna riktlinjer och föreskrifter nr 2001–09.

396

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

bäddas in i paraffin och snittas för mikroskopisk undersökning (så kallade histologiska undersökningar).9

Av 5 § obduktionslagen framgår att humanbiologiskt material ska läggas tillbaka i kroppen när obduktionen har slutförts, om inte syftet med obduktionen kräver att materialet tas till vara för undersökning under en längre tid. I propositionen till obduktionslagen nämner regeringen som exempel på sådana situationer laboratoriemässiga undersökningar. Förvisso får enligt samma bestämmelse organ och annat material tas ut ur kroppen för en undersökning, men enbart om det behövs för att syftet med obduktionen ska kunna tillgodoses. Att sådant material ska återföras till kroppen framgår även av de nämnda riktlinjerna.

Utredningen om dataskydd vid Rättsmedicinalverket har nyligen föreslagit en ny lag om hantering av humanbiologiskt material vid Rättsmedicinalverket. Utredningen föreslår bl.a. att RMV ska få bevara, undersöka och analysera prover av humanbiologiskt material för systematisk utvärdering, utveckling och säkring av kvaliteten, utbildning i undersökningsverksamheten samt forskning inom RMV under förutsättning att forskningen har prövats och godkänts av en etikprövningsnämnd enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Prover ska dessutom få lämnas ut av RMV för forskning som har prövats och godkänts av en etikprövningsnämnd enligt etikprövningslagen.10

Forsknings- och utvecklingsarbete

Den rättsmedicinska vetenskapen är det fundament som den tilläm- pade rättsmedicinens kvalitet och anseende vilar på. Forskning och utveckling är således en nödvändig verksamhet inom det rätts- medicinska området. Enligt 2 § förordningen (2007:976) med instruk- tion för RMV ska myndigheten särskilt svara för utvecklingsarbete och stöd åt forskning av betydelse för verksamheten.

RMV bedriver en omfattande operativ verksamhet som är både kunskapsintensiv och starkt inriktad på ett vetenskapligt arbetssätt.

9Histologi är läran om biologisk vävnad. Genom att studera vävnader kan man upptäcka olika sjukdomar eller förgiftningar. Förberedelserna innefattar fixering, dehydrering, inbäddning (i paraffin), snittning och infärgning.

10Utredningen om dataskydd vid Rättsmedicinalverkets betänkande Stärkt integritet i Rätts- medicinalverkets verksamhet (SOU 2017:80), s. 225 f.

397

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

Forskning och utveckling anses inom myndigheten vara av avgörande betydelse för att bibehålla och utveckla kvaliteten i verksamheten och för att säkerställa en hög kompetens. Målet är att göra forsknings- och utvecklingsarbetet till en naturlig och integrerad del av myndighetens verksamhet på samtliga avdelningar samt att låta resultaten av arbetet komma verksamheten till godo. Forsknings- och utvecklingsarbetet ska också utnyttja de möjligheter till samarbete mellan avdelningarna som organisationen skapar.

RMV:s insatser på forskningsområdet bygger på samverkan mellan olika personalkategorier samt samarbete med universitet, både natio- nella och utländska, och andra myndigheter. Inom samtliga verk- samhetsområden stödjer myndigheten den akademiska anknytningen genom finansiering av flera tjänster vid universiteten som adjunge- rande professorer och lektorer. Till detta kommer examensarbeten och andra fördjupningsarbeten genomförda av studenter. Det finns mot denna bakgrund en konsensus inom myndigheten om att de uppgifter som myndigheten förvaltar ska ställas till både forskningens och andra samhällsfunktioners förfogande i den utsträckning det är praktiskt och vetenskapligt möjligt.

Verksamheten sprider dessutom kunskap om sitt forsknings- och utvecklingsarbete genom publikationer och studiebesök.

Studier på biologiskt material från avliden

Humanbiologiskt material som ursprungligen omhändertagits inom ramen för en rättsmedicinsk undersökning kan utgöra underlag för studier inom den rättsmedicinska forsknings- och utvecklingsverk- samheten.

Det förekommer emellertid att biologiskt material från avliden omhändertas specifikt för en forskningsstudie i samband med en rättsmedicinsk dödsfallsutredning.

Forskning på biologiskt material från avliden kan söka svar på ett flertal olika frågeställningar. En stor del av de rättsmedicinskt utredda dödsfallen kan direkt eller indirekt härledas till missbruk av alkohol och droger. Den rättsmedicinska forskningen söker bl.a. svar på hur olika drogers effekter kan kopplas till för tidig död eller vilken betydelse användande av olika droger och drogkombinationer har för

398

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

uppkomsten av våldsbrott och dessas karaktär, t.ex. graden av utövat våld.

Den rättskemiska verksamheten genomför även studier samt utvecklingsarbete på biologiskt material från avliden med toxiko- logiska, farmakogenetiska och populationsgenetiska frågeställningar. Flertalet av dessa metodutvecklingsprojekt innefattar nyttjande av biologiskt material från avliden.

Studier på humanbiologiskt material inom den rättsmedicinska verksamheten görs även för att besvara andra frågeställningar. Det förekommer att genetiska studier utförs på humanbiologiskt material som har omhändertagits för att slutföra en rättsmedicinsk under- sökning, t.ex. avseende genetiska risker för suicid vid schizofreni.

Registerbaserade studier

I den rättsmedicinska forsknings- och utvecklingsverksamheten studeras data både från den rättsmedicinska undersökningsverk- samhetens egna system och från andra informationskällor, t.ex. Socialstyrelsens dödsorsaksregister och patientregister. Merparten av den rättsmedicinska forsknings- och utvecklingsverksamhetens registerstudier får betraktas som naturliga led i det löpande och syste- matiska utvärderings- och uppföljningsarbetet med syfte att dra nytta av informationen för nya diagnostiska metoder i bl.a. dödsfalls- utredningar.

I den rättskemiska verksamheten genomförs också register- baserade studier på bl.a. data från avliden inom den rättsmedicinska verksamheten. Dessa studier fokuserar på koncentration av droger i blodet hos avlidna. Studierna syftar till att ta fram s.k. gränsvärden för toxiska nivåer eller till att förbättra diagnostiska metoder och tolkning av rättskemiska analysresultat.

399

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

12.2.2Forskning och utvecklingsarbete inom hälso- och sjukvården

Allmänt

Med hälso- och sjukvård avses enligt 2 kap. 1 § hälso- och sjukvårds- lagen (2017:30) åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna. Inom begreppet ryms också exempelvis åtgärder med anledning av barnsbörd och abort.11 Hälso- och sjukvård ska bedrivas så att den uppfyller kraven på god vård. Det innebär bland annat att hälso- och sjukvården ska vara av god kvalitet och tillgodose patientens behov av trygghet i vården och behandlingen (5 kap. 1 § samma lag). Var och en som söker hälso- och sjukvård ska behandlas av den personal och på det sätt som varje enskilt fall fordrar. All vård, behandling och rådgivning ska utföras i enlighet med vetenskap och beprövad erfarenhet.12 Samma krav ställs på hälso- och sjukvårdspersonal när de ska utföra sitt arbete enligt 6 kap. 1 § patientsäkerhetslagen (2010:659). En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Samma krav framgår även av patientlagen (2014:821).

Klinisk forskning

Landstingen och kommunerna ska enligt 18 kap. 2 § hälso- och sjuk- vårdslagen medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område. Lands- tingen och kommunerna ska i dessa frågor, i den omfattning som behövs, samverka med varandra samt med berörda universitet och högskolor. Det finns ingen författningsreglerad definition av begreppet klinisk forskning och en entydig beskrivning av begreppet saknas. Enligt Utredningen av den kliniska forskningen (U 2007:04) kan klinisk forskning definieras som forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett ohälso- problem eller att identifiera faktorer som leder till ökad hälsa. Denna

11Regeringens proposition om hälso- och sjukvårdslag, m.m. (prop. 1981/82:97), s. 40 och 44.

12Prop. 1981/82:97, s. 116.

400

SOU 2018:36Skydd för uppgifter om avlidna i forskning

definition har ett brett stöd bland landstings- och universitets företrädare.13

Forskningen bedrivs ofta i nära anslutning till hälso- och sjuk- vården, framför allt på universitetssjukhusen, vilket gör att begreppet

patientnära	forskning många gånger	används	i sammanhanget.
I Kungliga	Vetenskapsakademiens och	Svenska	Läkaresällskapets

rapport 2016 Kliniska riktlinjer för användning av obeprövade behand- lingsmetoder på allvarligt sjuka patienter anges att klinisk forskning antingen är patientnära och utförs direkt på patienter eller experimen- tell-laboratorieorienterad och utförs i djurmodeller eller cellsystem. Den kliniska forskningen har som mål att generera vetenskapligt generaliserbara resultat för utveckling av nya diagnostiska och terapeutiska metoder i syfte att lösa ett hälsoproblem, eller att identi- fiera faktorer som leder till ökad hälsa.

Områden som kan inkluderas i klinisk behandlingsforskning är bland annat prevention, diagnostik, behandling, uppföljning, imple- mentering, omvårdnad och rehabilitering. Inom klinisk behandlings- forskning är syftet att optimera befintliga behandlingsrutiner, läkemedel och medicinsk teknik eller att utveckla och utvärdera nya sådana. Konkret kan det exempelvis röra sig om att utvärdera diagnos- tiska tekniker, användningen av etablerade läkemedel och om att effektivisera metoder och behandlingar som det finns ett identifierat behov av. Det kan också handla om behandlingsmetoder som inte kräver läkemedel.14

12.2.3NFC:s forsknings- och utvecklingsarbete

Nationellt forensiskt centrum (NFC) är den avdelning inom Polis- myndigheten som ansvarar för myndighetens forensiska verksamhet. NFC ska inom sitt verksamhetsområde bedriva forskning och utveckling inom det forensiska området, kriminalteknisk forskning

13Utredningen av den kliniska forskningens betänkanden Världsklass! – Åtgärdsplan för den kliniska forskningen (SOU 2008:7), s. 57 och Klinisk forskning – Ett lyft för sjukvården (SOU 2009:43), s. 41 och 42. Definitionen används även i det s.k. ALF-avtalet (Avtal mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården).

14SOU 2017:104 s. 188 ff.

401

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

samt samla, bearbeta och offentliggöra resultat inom verksamhets- området. Inom NFC bedrivs konventionell forensik, it-forensik15 samt kriminaltekniskt fältarbete.16 I detta ingår att följa upp den forensiska verksamheten genom att utföra forensiska undersök- ningar, forensisk spårsäkring och analys vid händelser som innefattar kemiska, biologiska, radiologiska eller nukleära och explosiva element samt att följa upp och utvärdera befintliga metoder. NFC har även processansvar (ansvar att ta fram, utveckla och styra arbetssätt, metoder, nyckeltal m.m.) för forensisk verksamhet inom Polis- myndigheten som utförs utanför avdelningen. Avdelningen ansvarar även för att koordinera beställningar till Rättsmedicinalverket samt vara kontaktpunkt för nationella myndigheter och internationella kontakter inom det forensiska området. Forskning och utveckling bedrivs under ledning av en vetenskapligt meriterad forskningsledare och i nära samverkan med den nationella operativa avdelningen och polisregionerna.17

NFC drev drygt 100 forsknings- och utvecklingsprojekt under år 2016, samt beviljade flera projektansökningar inom bland annat dna- analys, brottssamordning, provtagning av farliga ämnen (CBRNE) och analys av stora datamängder och bildanalys.18

NFC har tidigare framhållit att forsknings- och utvecklingsverk- samheten är av stor vikt när det gäller att utveckla den operativa undersökningsverksamheten. För att laboratoriet ska kunna upprätt- hålla en hög kvalitet i verksamheten krävs att man använder bästa möjliga kriminaltekniska metoder och kompetens. NFC följer ut- vecklingen inom det forensiska området, både på nationell och på internationell nivå och har påpekat det angelägna i att ha en väl utvecklad forsknings- och utvecklingsverksamhet, inte minst för att skapa bättre förutsättningar för att rekrytera och behålla personal med hög kompetens.19

15Eftersökande och säkrande av bevis från teknisk utrustning som lagrar digital information.

16Polisens årsredovisning 2016 (dnr A534.161/2015, Saknr 902), s. 45.

17A.a. s. 11 f.

18A. a. s. 64.

19RMV/SKL-utredningens betänkande Forensiska institutet. Ny myndighet för kriminalteknik, rättsmedicin och rättspsykiatri (SOU 2006:63) s. 74 f.

402

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

12.2.4Utlämnande av uppgifter för forskningsändamål

Berörda myndigheter besitter inom sina verksamhetsområden unik kunskap och unika uppgifter om avlidna som är intressanta för internt forsknings- och utvecklingsarbete men också för externa forsknings- huvudmän som universitet och andra högskolor m.fl. Myndigheterna får ofta förfrågningar från forskare med anknytning till universiteten om att få del av uppgifter ur myndigheternas uppgiftssamlingar. Det kan röra sig om att forskarna önskar genomföra t.ex. registerforsk- ning, vävnadsstudier eller genetiska studier på material som härrör från myndigheternas verksamhet.

De uppgifter som förekommer i detta sammanhang är av integri- tetskänslig karaktär, t.ex. uppgifter om sjukdomar, missbruk, våld och brott och det kan inte uteslutas att de utgör indirekta personuppgifter för nu levande personer, t.ex. närstående och anhöriga.

12.3Vilket skydd finns för uppgifter om avlidna som hanteras inom forskning?

12.3.1Grundläggande rättsliga förutsättningar

Dataskyddsförordningens avgränsningar

Dataskyddsförordningen är enligt skäl 27 inte direkt tillämplig på uppgifter om avlidna. Medlemsstaterna får dock fastställa bestäm- melser för behandling av personuppgifter om avlidna. Även enligt personuppgiftslagen avses med personuppgifter endast sådan infor- mation som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt personuppgiftslagen.

Det kan dock inte uteslutas att förordningen är tillämplig på uppgifter om avlidna om uppgifterna direkt eller indirekt går att hän- föra till en levande person. Principerna för det tidigare dataskydds- direktivet och dess svenska genomförande i personuppgiftslagen är fortfarande giltiga (skäl 9). Eftersom förordningen i detta avseende har samma tillämpningsområde som det tidigare dataskyddsdirektivet är antagligen tidigare praxis gällande denna gränsdragning fortfarande tillämplig.

403

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

I ett samrådsyttrande från 2006 ansåg Datainspektionen att registrerade uppgifter om avlidna i en demografisk forskningsdatabas (bl.a. uppgifter om dödsorsak och dödsdatum) kunde utgöra person- uppgifter i personuppgiftslagens mening i de fall sådana uppgifter direkt eller indirekt kan härledas till en levande person.20 Data- inspektionen har gjort motsvarande bedömning beträffande släkt- forskningsuppgifter.21

Inom ramen för exempelvis RMV:s hantering av en avliden registreras och hanteras en rad känsliga uppgifter, t.ex. uppgifter om drogmissbruk och medicinska ingrepp. Även bilder på den avlidne registreras. Om en dödsfallsutredning har samband med brott registreras uppgifter om lagöverträdelser m.m. Uppgifter om drog- missbruk och medicinska ingrepp m.m. utgör typexempel på vad som i dataskyddsförordningens mening är att anse som känsliga person- uppgifter om de direkt eller indirekt kan hänföras till en fysisk individ som är i livet.

Information som hanteras i samband med ett dödsfall är alltid individrelaterad, under förutsättning att individen är identifierad av polisen. Uppgifter kan därför i dokumentationen och ärendehand- läggningen i stor utsträckning hänföras till en enskild individ genom namn och personnummer. Om individen hade varit i livet skulle registrerade uppgifter alltså betraktas som personuppgifter i person- uppgiftslagens mening, men på grund av dataskyddsförordningens avgränsning till levande personer omfattas de inte utan vidare.

Även uppgifter om avlidna kan, som redan antytts, omfattas av dataskyddsförordningens definition av personuppgifter när en avliden persons uppgifter direkt eller indirekt kan härledas till en levande person.

Datainspektionen ansåg i samrådsyttrandet år 2006 att registrerade uppgifter om avliden i en demografisk forskningsdatabas, bl.a. upp- gifter om dödsorsak och dödsdatum, kunde utgöra personuppgifter i personuppgiftslagens mening. Datainspektionen uppgav bl.a. att det inte kunde uteslutas att en dylik uppgift indirekt kunde vara hänförlig till en nu levande person. Enligt Datainspektionen kunde en uppgift om att någon avlidit av en ärftlig sjukdom vara en känslig personupp- gift om en nu levande släkting. En uppgift om dödsorsak kunde därmed indirekt utgöra en känslig personuppgift om en nu levande

202006-01-12, dnr 1999–2005.

212005-12-22, dnr 1908–2005.

404

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

persons hälsa. Datainspektionen erinrade om att forskning som inne- bär att känsliga personuppgifter behandlas utan samtycke ska god- kännas av en etikprövningsnämnd samt att bestämmelserna om detta finns i etikprövningslagen. Eftersom uppgifter om avliden kan utgöra känsliga personuppgifter om nu levande personer, påpekade Data- inspektionen att forskning avseende känsliga personuppgifter måste godkännas av en etikprövningsnämnd för att behandlingen ska vara laglig.

I rättsmedicinska dödsfallsutredningar är det inte ovanligt att det förekommer registrerade uppgifter om anhöriga till den avlidne i de informations- och ärendehanteringssystemen som används, t.ex. namn, personnummer och adressuppgifter. Det kan inte uteslutas att det i många fall finns en uppfattning bland de anhöriga om att de upp- gifter som förekommer om den avlidne utgör känsliga personuppgif- ter för dem själva.

Det förekommer att en personuppgiftsansvarig som behandlar uppgifter om både levande och avlidna saknar kunskap eller reella möjligheter att ta reda på om uppgifterna om avlidna är direkt eller indirekt hänförliga till levande. Artikel 29-gruppen har i ett rådgivande yttrande rekommenderat att den personuppgiftsansvariga i sådana fall av praktiska skäl ska hantera och skydda uppgifter om avlidna på samma sätt som föreskrivs i medlemslandets lagstiftning om skydd för personuppgifter, såvida inte medlemslandets lagstiftning ut- sträckts till att omfatta avlidna.22

Europakonventionens skydd för privat- och familjeliv

Frågan om Europakonventionens skydd för privat- och familjeliv (artikel 8) även kan vara tillämplig på avlidna har berörts av Europa- domstolen vid några tillfällen. I målet Putistin mot Ukraina (mål 16882/03) gällde frågan om en tidningsartikel som indirekt angav att

22Artikel 29-arbetsgruppen för skydd av personuppgifter, Yttrande 4/2007 om begreppet personuppgifter, 01248/07/EN, WP 136, 20 juni 2007 s. 22: ”För det första kanske den registeransvarige inte har möjlighet att ta reda på om den person som uppgifterna avser fortfarande lever eller eventuellt har avlidit. Eller även om han gör detta kanske informationen om den avlidne behandlas enligt samma system som informationen om individen i livet, utan åtskillnad. Eftersom den registeransvarige omfattas av skyldigheterna beträffande upp- giftsskydd enligt direktivet i fråga om uppgifter om levande personer, är det i praktiken förmodligen lättare för honom att behandla även uppgifterna om den avlidne på det sätt som föreskrivs av uppgiftsskyddsbestämmelserna än att göra åtskillnad mellan två uppsättningar uppgifter.”

405

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

en avliden person samarbetat med tyskarna under andra världskriget kunde kränka de efterlevandes privatliv. Europadomstolen fann att en persons privatliv i och för sig kunde kränkas genom angrepp på en avliden familjemedlem. I det aktuella fallet hade dock angreppet varit indirekt och marginellt då den avlidne inte namngetts, varför ett brott mot artikel 8 inte förelåg.

På liknande sätt bedömdes i Jelševar m.fl. mot Slovenien (mål 47318/07) att en s.k. nyckelroman om en slovensk kvinna, som efterlevande ansåg utgjorde förtal av deras mor, inte utgjorde brott mot artikel 8 med hänvisning till den konstnärliga friheten.

12.3.2Skyddet för den avlidnes kroppsliga integritet

När det gäller omhändertagande och olika förfaranden med avlidna kroppar, donation, obduktion, gravsättning etc. är det angeläget att det görs i former som är förenliga med vad människor i allmänhet kan godta och på ett sätt som bidrar och bevarar förtroendet för hälso- och sjukvården och andra aktörer som hanterar avlidna. Var och en har under sin livstid intresse av att hans eller hennes integritet respekteras även efter döden. Det gäller inte bara hur ägodelar ska fördelas utan även hur man ska förfara med den döda kroppen. Den döde har ingen nytta av obduktionen. Däremot kan den dödes integritet kränkas genom obduktionen. Framför allt är det de efter- levande som kan lida av att kroppen skadas. Det är också de efter- levande som har det största intresset av att skydda den avlidnes integritet.

Etikprövningslagen

Etikprövningslagen är redan i dag i vissa fall tillämplig när forskning rör avlidna. Etikprövningslagen är nämligen bl.a. tillämplig på forsk- ning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.

406

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

Obduktionslagen

Respekten för den avlidne kommer till uttryck i obduktionslagen. Enligt 1 § ska den som gör ett ingrepp i eller avser vidta annan åtgärd med en död kropp fullgöra sin uppgift med respekt för den avlidne. Den avlidnes självbestämmanderätt ska respekteras. Enligt 8 § får som huvudregel en klinisk obduktion utföras om den avlidne skriftligen har medgett obduktion eller uttalat sig för en sådan åtgärd eller om det av andra skäl finns anledning att anta att obduktion skulle stå i överensstämmelse med den avlidnes inställning.

När det gäller rättsmedicinska obduktioner är förhållandena annorlunda. Åtminstone sådana rättsmedicinska undersökningar som görs för brottsutredande syften betraktas allmänt som så viktiga att intresset att kunna genomföra dem fått ta över den enskildes intresse att slå vakt om sin integritet (17 §). Det utesluter inte att under- sökningen genomförs med respekt för den avlidnes integritet.

En obduktion innebär bl.a. att en avlidens kropp öppnas för en inre undersökning. I propositionen till nuvarande obduktionslag anför regeringen att en obduktion inte ska innefatta annat tagande av humanbiologiskt material än sådant som behövs för att syftet med obduktionen ska kunna tillgodoses.23 Detta kommer till uttryck i 5 §. Till skillnad från transplantationer enligt transplantationslagen tas inte det uttagna humanbiologiska materialet till vara för någon annan användning. Enligt 5 § ska därför biologiskt material läggas tillbaka i kroppen när obduktionen har slutförts. Av bestämmelsen framgår vidare att sådant material får undersökas ytterligare efter avslutad obduktion, men bara om syftet med obduktionen kräver det. Som exempel på sådana situationer nämner regeringen laboratoriemässiga undersökningar.

Obduktionslagen hänvisar i fråga om forskning till de bestäm- melser om etikprövning av forskning på avlidna människor som finns i etikprövningslagen (se 2 §). Dock anges i obduktionslagen att ett ingrepp i syfte att från en avliden ta ut icke-biologiskt material som har infogats i kroppen (implantat) får, om åtgärden är förenlig med den avlidnes eller de närståendes inställning, också göras om implanta- tet ska användas för behandling av en annan människa eller för forskning eller annat medicinskt ändamål (se 23 §).

23Prop. 1994/95:148 s. 92.

407

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

Transplantationslagen

Transplantationslagen reglerar i huvudsak de närmare förutsätt- ningarna för kroppsligt ingrepp med syfte att ta till vara organ eller annat biologiskt material från avlidna för behandling av sjukdom eller kroppsskada hos en annan människa (transplantation) eller för annat medicinskt ändamål (1 §). Med annat medicinskt ändamål avses enligt propositionen till transplantationslagen främst läkemedelsframställ- ning.24 Som exempel på andra medicinska ändamål nämner regeringen forskning i syfte att förbättra transplantationstekniken eller medicinsk undervisning.

12.3.3Skyddet för den avlidnes eftermäle och frid

Även den avlidnes eftermäle och frid har ett visst skydd i form av reglerna i 5 kap. 4 § brottsbalken om brottet förtal av avliden. Rekvisiten för detta brott är samma som för vanligt förtal i 5 kap. 1 §, dvs. att det ska vara fråga om en gärning som utpekar någon såsom brottslig eller klandervärd i sitt levnadssätt eller eljest lämnar uppgift som är ägnad att utsätta denne för andras missaktning. När det är fråga om en avliden person krävs för straffansvar även att gärningen ska vara sårande för de efterlevande eller att den annars kan anses kränka den frid som bör tillkomma den avlidne. I bedömningen ska beaktas den tid som förflutit sedan den avlidne var i livet samt omständigheterna i övrigt. Brottet utgör enligt 7 kap. 4 § 14 punkten tryckfrihetsförord- ningen även ett tryckfrihetsbrott.

12.3.4Skydd i generell lagstiftning

Offentlighets- och sekretesslagen

Offentlighets- och sekretesslagen (2009:400, OSL) är inte i första hand en dataskyddsreglering, men har i stora delar ett jämförbart skyddsobjekt i de delar lagen reglerar sekretess till skydd för enskilds personliga eller ekonomiska förhållanden (kap. 21–40). Särskilt vad

24Prop. 1994/95:148 s. 73.

408

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

gäller uppgifter som myndigheter hanterar inom ramen för sin verk- samhet, och som är av intresse för forskningen, får sekretessregle- ringen karaktär av skydd för den enskilde.

Till skillnad från personuppgiftslagen och dataskyddsförord- ningen är bestämmelserna i OSL som huvudregel tillämpliga på avlidna.25 I RÅ 2007 ref. 16 uttalade dåvarande Regeringsrätten att sekretess bör kunna gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne, dvs. en jämförelse med brottet förtal av avliden.

Patientdatalagen

I samband med riksdagens behandling av patientdatalagen (2008:395) anförde regeringen att uppgifter om avlidna patienter kan vara integritetskänsliga.26 Därför ansåg regeringen att även sådana upp- gifter ska omfattas av lagens bestämmelser om personuppgifts- behandling i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elek- tronisk åtkomst som får förekomma till uppgifter om avlidna (se 1 kap. 1 §). I lagen anges vidare att syftet med en patientjournal i första hand är att bidra till en god och säker vård av patienten men att den även är en informationskälla för forskning (se 3 kap. 2 §). Dessutom anges att personuppgifter i de nationella och regionala kvalitetsregistren får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalité men också för ändamålet forskning inom hälso- och sjukvården (se 7 kap. 4 §).

Socialförsäkringsbalken

Socialförsäkringsbalkens reglering av personuppgiftsbehandling i 114 kapitlet gäller också, i tillämpliga delar, uppgifter om avlidna (2 §). Ett skäl till detta är att det inom den verksamhet som bedrivs av social- försäkringens administration förekommer en mängd uppgifter som är hänförliga till avlidna.27

25Regeringens proposition med förslag till sekretesslag m.m. (prop. 1979/80:2), s. 84.

26Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 52.

27Regeringens proposition En begränsad översyn av socialförsäkringsregisterlagen (prop. 2000/01:69), s. 19 f.

409

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

Lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet

Lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet gäller enligt 1 kap. 1 § 2 st. också i tillämp- liga delar, bl.a. med avseende på ändamålet för behandling och person- uppgiftsansvaret, uppgifter om avlidna.

Etikprövningslagen

Etikprövningslagen trädde i kraft den 1 januari 2004 och har nyligen behandlats av Utredningen om översyn av etikprövningen.28 Lagen söker balansera forskningens strävan mot kunskapsinhämtning och de risker för människor och människovärdet som forskningen kan innebära. Syftet med lagen är att skydda de enskilda individer som forskning kan avse mot fysiska eller psykiska skador eller mot integritetskränkningar vid forskning. Men syftet är också att skydda människovärdet som sådant (2 §). Lagen tar också i beaktande de etiska aspekter som kommer till uttryck i EG-direktivet för god klinisk sed vid kliniska prövningar av humanläkemedel.29

Lagen är sålunda tillämplig på forskning som innebär ett fysiskt ingrepp eller bedrivs enligt en metod som syftar till att påverka en människa fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt. Lagen gäller även studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa. Lagen gäller vidare för forskning som innebär ett fysiskt ingrepp på en avliden människa eller som avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna individ.

Dessutom omfattar lagen forskning som inbegriper behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser. Som exempel på forskning som omfattas av lagen kan nämnas läke- medelsforskning och forskning inom klinisk psykologi. Exempel på sådant som inte omfattas är enkätundersökningar som avser rent

28Se utredningen om översyn av etikprövningens slutbetänkande Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

29Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel.

410

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

informationsinhämtande om sådant som faller utanför 13 och 21 §§ personuppgiftslagen.

Utgångspunkterna för etikprövningslagen har till stor del hämtats från Europarådets konvention om mänskliga rättigheter och bio- medicin. Således utgår etikprövningslagen från att forskning bara får genomföras om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Forskning får godkännas bara om de risker som den kan medföra för människors hälsa, säkerhet och personliga integritet kan uppvägas av dess vetenskapliga värde. Forskningen får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för de med- verkande. Forskningen får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kom- petens som behövs.

Annan lagstiftning som berör forskning och genetik

Vid sidan av ovan nämnda lagar finns ytterligare lagstiftning av betydelse för forskning och behandling av personuppgifter i samband med den. Som exempel kan nämnas lagen om genetisk integritet (2006:351) och läkemedelslagen (1992:859). Den senare lagen reglerar främst principer för läkemedelsområdet (hur tillsyn och kontroll ska bedrivas och straffbestämmelser) men även klinisk läkemedelspröv- ning, dvs. klinisk undersökning på människor eller djur av ett läke- medels egenskaper i syfte att utreda i vad mån läkemedlet är ända- målsenligt. Regler för klinisk läkemedelsprövning finns också i EU- förordningen om kliniska prövningar av humanläkemedel 536/2014.

För forskning som inbegriper material som lagras i biobanker finns särskilda bestämmelser om information och samtycke i lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobanks- lagen). Lagen är tillämplig på biobanker som inrättas i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet förvaras men förutsatt att materialet kan härledas till en enskild individ (1 kap. 3 §).

411

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

Förslag till Rättsmedicinalverkets datalag

Utredningen om dataskydd vid Rättsmedicinalverket har föreslagit att en särskilt lag ska reglera behandling av personuppgifter i RMV:s verksamhet, och att denna i tillämpliga delar även ska omfatta uppgifter om avlidna. Som skäl för detta förslag har utredningen dels angivit att sådan behandling kan innebära behandling av person- uppgifter beträffande en person som är i livet, dels att uppgifterna som kan förekomma vid RMV regelmässigt är så känsliga ur integri- tetshänseende att en lag som i tillämpliga delar även gäller avlidna personer bidrar till att upprätthålla den frid som bör tillkomma en avliden person.30

12.4Finns det ett behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning?

12.4.1Hur omfattande skydd behövs för uppgifter om avlidna?

Vårt uppdrag i denna del är att ta ställning till om det finns ett behov av att stärka skyddet för uppgifter om avlidna inom forensisk forsk- ning. Som utgångspunkt för en sådan behovsbedömning kan man beakta att den svenska lagstiftaren avstått från den möjlighet som funnits redan i EU:s tidigare dataskyddsdirektiv, nämligen att likställa uppgifter om avlidna med uppgifter om nu levande personer. Detta på grund av att man ansett att regleringen reserveras för de fall där behovet av skydd är mest uttalat, nämligen när det gäller den som är levande och som själv kan ha ett eget anspråk på personlig integritet.

Samtidigt har lagstiftaren på vissa särskilda områden likställt behandling av uppgifter om avlidna med uppgifter om nu levande personer (se avsnitt 12.3.4). Vad gäller skyddet för avlidnas kroppsliga integritet och friden över deras minne finns inte minst i brottsbalken tydliga indikationer på att dessa intressen är skyddsvärda. Vad gäller uppgiftshantering i allmänhet är den omständigheten att skyddet för den enskilde i offentlighets- och sekretesslagen principiellt är tillämp- ligt även för avlidna personer av stor betydelse, inte minst för den registerbaserade forskningen. Det finns alltså redan exempel på att lagstiftaren ansett uppgifter om avlidna som något som är skyddsvärt

30Utredningen om dataskydd vid Rättsmedicinalverkets slutbetänkande Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80), s. 129 ff.

412

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

i sig själv, oberoende av om dessa samtidigt skulle utgöra indirekta uppgifter om nu levande personer.

Man kan sammanfatta den inställning som framträder i svensk lagstiftning med att uppgifter om avlidna är skyddsvärda, men inte på samma sätt som för nu levande personer. Det egentliga skydds- objektet är inte sällan de efterlevandes känslor, vilket bl.a. kommer till uttryck i rekvisiten för brottet förtal av avliden, som även offentlig- hets- och sekretesslagens skydd för avlidna tolkas utifrån.

12.4.2Skyddet som avlidna som en indirekt effekt av skyddet för efterlevande

Eftersom det inte kan uteslutas att uppgifter om avlidna i praktiken utgör indirekta uppgifter om nu levande personer innebär data- skyddslagstiftningen att avlidnas uppgifter har ett visst skydd som en följd av detta. Detta gäller inte minst känsliga uppgifter om hälsa och etnisk tillhörighet. I de fall sådana uppgifter även utgör känsliga uppgifter om nu levande personer utgör kravet på etikprövning när uppgifterna behandlas för forskningsändamål en stark skyddsåtgärd.

12.4.3En tredelad modell för skydd för uppgifter om avlidna

Utifrån ovanstående resonemang om hur skyddet för uppgifter om avlidna ser ut i svensk rätt, tillsammans med hur skyddet för person- uppgifter om efterlevande i vissa fall kan skydda även uppgifter om avlidna, kan man bedöma behovet av skydd huvudsakligen i tre olika fall.

Det fall där uppgifter om avlidna har starkast skydd är när det är fråga om känsliga uppgifter som samtidigt utgör känsliga indirekta personuppgifter om nu levande personer. Genom kravet på etik- prövning när dessa uppgifter behandlas för forskningsändamål uppnås ett starkt skydd även för uppgifter om avlidna.

Ett fall med något svagare skydd är när uppgifter om avlidna samtidigt utgör indirekta, men inte känsliga, personuppgifter om nu levande personer. Vid forskning på sådana uppgifter finns inte ett krav på etikprövning, men som för all personuppgiftsbehandling krävs fortfarande att det finns en tillämplig rättslig grund och att de grund- läggande principerna för personuppgiftsbehandling är uppfyllda.

413

Skydd för uppgifter om avlidna i forskning

SOU 2018:36

Det sista fallet är när uppgifter om avlidna inte på något sätt utgör indirekta uppgifter om nu levande personer. I detta fall finns inte något skydd i dataskyddsförordningen eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. I många registerförfattningar finns dock ett särskilt skydd för upp- gifter om avlidna oberoende av om dessa samtidigt skulle utgöra sådana indirekta uppgifter. Särskilt offentlighets- och sekretesslag- stiftningens tillämplighet på uppgifter om avlidna kan utgöra ett betydelsefullt skydd mot att uppgifter om avlidna används i forsk- ningssammanhang på ett sätt som kränker den avlidne.

12.4.4Behov av tydligare tillämpningsområde för kravet på etikprövning

Vår bedömning: Regleringen av i vilka fall ett forskningsprojekt som behandlar uppgifter om avlidna behöver etikprövas är till- räckligt tydlig i gällande rätt.

I RMV:s rapport Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. anförs att ett skäl för en tydligare reglering på området är att vissa regionala etikprövningsnämnder anser att etikprövningslagen är tillämplig på forskning som avser uppgifter om avlidna, medan andra inte gör det.

Vi gör i detta sammanhang den bedömningen att etikprövnings- lagstiftningen är tillräckligt tydlig i det att den uttryckligen anknyter till personuppgiftslagens definitioner av vilka personuppgifter som medför krav på etikprövning. Det ankommer på det enskilda forsk- ningsprojektet att tydligt klargöra vilka uppgifter som ska behandlas i forskningen så att en bedömning kan göras om forskningen faller inom etikprövningens tillämpningsområde. I detta ingår att bedöma om de uppgifter som behandlas kan utgöra indirekta känsliga person- uppgifter eller uppgifter om lagöverträdelser om nu levande personer.

I sammanhanget bör dock påpekas att etikprövningslagen även är tillämplig på vissa studier som inte innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Särskilt 4 § 4 och 5 p anger att lagen är tillämplig när forskningen innebär ett fysiskt ingrepp på en avliden människa, eller när den avser studier på

414

SOU 2018:36

Skydd för uppgifter om avlidna i forskning

biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.31

12.4.5Det saknas behov av ett utökad skydd för uppgifter om avlidna i forskning

Vår bedömning: Det finns inte ett tillräckligt behov av en ändring av etikprövningslagen för att utöka dess tillämpningsområde till att omfatta uppgifter om avlidna människor. Det saknas av samma anledning behov att utnyttja dataskyddsförordningens möjlighet att i nationell rätt föreskriva att den ska vara tillämplig på uppgifter om avlidna när dessa behandlas i forskningssyfte.

Som vi har beskrivit ovan finns flera olika skyddsmekanismer som samverkar för att skydda uppgifter om avlidna. Den avlidnes kropps- liga integritet är väl skyddad genom befintliga regler (avsnitt 12.3.2) och så är även dennes eftermäle (avsnitt 12.3.3). Vad gäller uppgifter om identifierade men avlidna personer gör vi generellt samma bedöm- ning som gjordes vid personuppgiftslagens införande att dessa inte tillhör de fall där behovet av skydd för den personliga integriteten är mest uttalat.32 Vad gäller behandlingen av sådana uppgifter i forsk- ningssammanhang beaktar vi särskilt att patientdatalagen samt offent- lighets- och sekretesslagen båda inkluderar avlidna i sina skydds- objekt, varför risken för kränkning av den avlidnes personliga integritet i praktiken minskar jämfört med om så inte var fallet.

När man önskar ett skydd för avlidnas integritet är det i praktiken ofta de efterlevande som är skyddsvärda. I de fall när uppgifter sam- tidigt utgör indirekta uppgifter om efterlevande får dessa efterlevande enligt dataskyddsförordningen i praktiken ett integritetsskydd direkt genom dataskyddsförordningen. När det är fråga om forskning som behandlar uppgifter som utgör indirekta, men känsliga, person- uppgifter om nu levande personer har utredningen tidigare föreslagit att dagens system med krav på etikprövning behålls.33

31Ett exempel på det senare utgör etikprövningsnämnden i Uppsalas beslut den 19 oktober 2011 i ärende 2011/296.

32Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39), s. 340.

33SOU 2017:50 s. 200.

415

13 Konsekvensanalys

13.1Inledning

I detta kapitel redovisar vi konsekvenserna av utredningens förslag i enlighet med 14–15 a §§ kommittéförordningen (1998:1474) och 6– 7 §§ förordningen (2007:1244) om konsekvensutredning vid regel- givning. Enligt direktiven ska utredningen utöver detta även redo- visa förslagens konsekvenser för den personliga integriteten.

Av betänkandets disposition framgår att vi strukturerat utred- ningens arbete utifrån vårt huvuduppdrag (avsnitt 13.2) och ett antal särskilda uppdrag (avsnitt 13.3–13.6).

13.2Långsiktig reglering av forskningsdatabaser

Utredningen föreslår i denna del att behandlingen av personuppgifter i en forskningsdatabas ska regleras i en särskild lag, lagen om forsk- ningsdatabaser (forskningsdatabaslagen). Lagen reglerar bland annat vilka forskningshuvudmän som ska få ansvara för forskningsdatabaser och vilka skyddsåtgärder som krävs för att en forskningsdatabas ska vara rättsenlig. Vårt förslag presenteras mer detaljerat i kapitel 8.

13.2.1Problem och målbeskrivning

Det problem som utredningens förslag ska lösa har beskrivits översiktligt i såväl utredningsdirektiven1 som den tidigare Register- forskningsutredningens betänkande. Vi har redovisat problembe- skrivningen mer utförligt i kapitel 4. Problemet som utredningen har att adressera kan kort beskrivas som att värdefulla möjligheter till

1Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 13 ff.

419

Konsekvensanalys

SOU 2018:36

forskning inte kan tas till vara såvida inte särskilda forskningsdata- baser byggs upp. Exempelvis kan värden som skapas i form av insam- lade och bearbetade forskningsdata i ett projekt inte återanvändas på ett effektivt sätt av andra projekt. Till bilden hör att den personupp- giftsbehandling som ändå visat sig förekomma i forskningsdatabas- liknande former utförs i en rättslig gråzon utan ordentlig kontroll på skyddsåtgärder.

Det övergripande målet med vårt förslag till reglering är att möj- liggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid sådan behandling. För behandling av personuppgifter i en forskningsdatabas ska krävas ett godkännande av Etikprövnings- myndigheten. På så sätt omgärdas forskningsdatabasen av samma skydd som forskningen i övrigt.

13.2.2Alternativa lösningar

Det finns flera tänkbara alternativ till vårt förslag. Ett s.k. nollalter- nativ skulle vara att inte införa någon ny generell reglering, utan endast, inom ramen för vad dataskyddsförordningen tillåter, införa specifika registerförfattningar för enskilda forskningsdatabaser, samt i övrigt låta skapandet av uppgiftssamlingar för forsknings- ändamål göras inom ramen för avgränsade etikprövade forsknings- projekt. En sådan reglering skulle dock inte lösa det ovan beskrivna huvudproblemet på ett tillfredsställande sätt eftersom den inte skulle underlätta återanvändning av forskningsdata från tidigare eller på- gående projekt. En sådan lösning skulle inte heller underlätta rätts- tillämpningen för den forskningsdatabasliknande personuppgifts- behandling som i dag utförs i en rättslig gråzon.

Registerforskningsutredningen föreslog en reglering med en sär- skild ramlag med generella regler för forskningsdatabaser, som för varje databas skulle kompletteras med en registerförfattning på för- ordningsnivå. Registerförfattningen skulle reglera specifika frågor om den enskilda databasen, till exempel ändamål och innehåll (se vidare avsnitt 6.3). Avvägningen mellan forskningens behov och de registre- rades fri- och rättigheter med avseende på deras personuppgifter skulle göras i dessa registerförfattningar, beslutade av regeringen

420

SOU 2018:36

Konsekvensanalys

utifrån Vetenskapsrådets förslag på vilka forskningsdatabaser som skulle finnas.

Vi har utifrån det som framgår av remissinstansernas synpunkter på Registerforskningsutredningens förslag (se avsnitt 6.4) och vad som i övrigt framkommit om forskningens behov (kap. 4) kommit fram till en delvis annan konstruktion på regleringen. Initiativet till att skapa forskningsdatabaser bör enligt vår mening komma från forskningsinstitutionerna. Det är där som behovet kan identifieras och formuleras. Forskningshuvudmännen måste ta ansvaret för att behandlingen är laglig, bl.a. genom att de grundläggande dataskydds- principerna efterlevs. Därutöver måste regleringen omgärdas av flera skyddsåtgärder. En central skyddsåtgärd ska vara etikgodkännande av själva databasen innan personuppgiftsbehandling i den kan inledas.

13.2.3Vem berörs av förslagen

Det finns sju huvudsakliga kategorier av fysiska och juridiska perso- ner som berörs av förslagen.

1.De forskningshuvudmän som kan bli huvudmän för en forsk- ningsdatabas. Det är såväl de statliga högskolorna och univer- siteten som omfattas av högskolelagen, som de privata lärosäten som omfattas av offentlighetsprincipen samt har examensrätt som ska få behandla personuppgifter i forskningsdatabaser. Även andra myndigheter än sådana som bedriver undervisning ska få ansvara för forskningsdatabaser, om forskning ingår i deras upp- drag.

2.Övriga forskningshuvudmän, framför allt de privata forsknings- utförare som inte är lärosäten med examensrätt och som omfattas av offentlighetsprincipen. Dessa berörs så till vida att de enligt förslaget inte kan bli huvudmän för en forskningsdatabas.

3.Alla forskare som har behov av uppgifter från en eller flera forsk- ningsdatabaser i sin forskning.

4.Forskningspersoner, dvs. de registrerade fysiska personer vars personuppgifter behandlas i en forskningsdatabas.

5.Etikprövningsmyndigheten, som får utökat uppdrag att även pröva ansökningar om etikgodkännande av forskningsdatabaser.

421

Konsekvensanalys

SOU 2018:36

6.Vetenskapsrådet, som får nya uppdrag att regelbundet följa upp och utvärdera verksamheten vid forskningsdatabaser samt initiera och stödja forskningshuvudmännen i utarbetandet av ge- mensamma uppförandekoder.

7.Myndigheter som för register över sådana uppgifter som kan vara aktuella för forskning, som har att pröva utlämnande av uppgifter till forskningsdatabaser.

13.2.4Förenlighet med EU-rätten

Den föreslagna regleringen bygger på EU:s dataskyddsförordning. Vi bedömer att behandling av personuppgifter i en forskningsdata- bas genom den reglering vi föreslår är förenlig med dataskydds- förordningen givet att den enskilda databasen har ett avgränsat ändamål.

Behandling av känsliga personuppgifter eller uppgifter om lag- överträdelser omfattas av ytterligare krav enligt dataskyddsförord- ningen. Vi bedömer att sådan behandling i en forskningsdatabas kan vara förenlig med dataskyddsförordningen med stöd av de skydds- åtgärder, inklusive etikprövning av själva forskningsdatabasen, som vi föreslår.

13.2.5Tidpunkt för ikraftträdande

Vi föreslår att forskningsdatabaslagen samt övriga lagändringar ska träda i kraft 1 juli 2019. Många forskningshuvudmän som skulle kunna vara huvudmän för forskningsdatabaser kommer då få tid för att utreda och förbereda etikansökan inför detta datum. Eftersom ett etikgodkännande är en förutsättning för att behandla person- uppgifter i en forskningsdatabas enligt vår föreslagna forsknings- databaslag medför detta att det inte kommer vara möjligt att ha en rättslig grund för personuppgiftsbehandling i en forskningsdatabas omedelbart vid forskningsdatabaslagens ikraftträdande. Först efter att forskningshuvudmannen sökt och fått ett etikgodkännande för forskningsdatabasen kan en sådan databas drivas med stöd av forsk- ningsdatabaslagen.

422

SOU 2018:36

Konsekvensanalys

Vi föreslår att lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas genom att forskningsdatabaslagen träder i kraft. Forskningsdata- baser som i dag förs med stöd av den lagen kan i framtiden föras med stöd av forskningsdatabaslagen samt ett etikgodkännande. Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är tidsbegränsad till den 1 januari 2021. Dess giltighetstid förlängdes senast i november 2017, i avvaktan på att forskningsdatautredningen skulle redovisa sitt betänkande. Med hänvisning till att lagstiftningsarbete kan ta lång tid förlängdes lagen med viss marginal.2 Nu när utredningens förslag presenteras finns inte längre behov av en så omfattande marginal. För att den pågående verksamheten ska kunna fortgå under en övergångsperiod föreslår vi istället att lagen ska få fortsätta att tillämpas fram till den 31 decem- ber 2019. Detta medför att pågående forskningsdatabaser kommer ha rättsligt stöd reglerat i lagen under ett halvår från det att forsk- ningsdatabaslagen och ändringarna i etikprövningslagen träder i kraft, vilket ger en möjlighet för denna verksamhet att ansöka om och få ett etikgodkännande under samma period.

13.2.6Ekonomiska konsekvenser

I 14 § kommittéförordningen anges att om förslagen i ett betän- kande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär sam- hällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommu- ner och landsting ska kommittén föreslå en finansiering.

Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet, enligt 15 a § kommittéförordningen.

2Regeringens proposition Fortsatt giltighet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2016/17:204), s. 13.

423

Konsekvensanalys

SOU 2018:36

Kostnader för Etikprövningsmyndigheten

En grundläggande skyddsåtgärd som vi föreslår är att en forsknings- databas måste godkännas enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Dessutom föreslår vi att all forskning som ska använda uppgifter i en forsk- ningsdatabas ska vara etikgodkänd.

Detta kan förväntas öka antalet ärenden. I dag är det etikpröv- ningsnämnderna som gör prövningen, men från och med 2019 ska ärendena handläggas av Etikprövningsmyndigheten. Exakt i vilken omfattning antalet ärenden kommer att öka är svårt att bedöma. Med ledning av redovisade behov av forskningsdatabaser (kapitel 4) och av att redan befintliga forskningsdatabaser omfattas av förslaget, gör vi ett antagande att tillströmningen av ärenden inledningsvis kommer att vara stort. Vi bedömer att antalet ansökningar därefter kommer att gå ner till ett mindre antal nya ärenden per år. Vi gör uppskattningen att den initiala mängden ärenden som kommer att inkomma under det första året kommer vara i storleksordningen hundra ärenden, och att normalnivån därefter kommer vara cirka tio ärenden per år.

Vi har i avsnitt 8.8.5 föreslagit en ny avgift för denna typ av etik- prövningsärende med målsättning att avgiften ska kunna täcka Etik- prövningsmyndighetens kostnader för prövningen. Förslaget skulle på så sätt bli kostnadsneutralt för Etikprövningsmyndigheten i denna del.

Vad gäller etikgodkännande för forskning som ska använda upp- gifter från en forskningsdatabas kan vi inledningsvis konstatera att sådan forskning i många fall redan i dag kräver etikgodkännande. Endast i de fall där forskningen inte ska omfatta behandling av vare sig känsliga personuppgifter eller uppgifter om lagöverträdelser med- för detta en ny tillströmning av etikprövningsärenden. Dessa fall tor- de vara relativt sällsynta. Vår bedömning är att denna del av förslaget endast kommer öka mängden ärenden marginellt.

Den beslutade lagändringen (SFS 2018:147) om ny organisation för etikprövningen3 som träder i kraft den 1 januari 2019 påverkar inte ovanstående bedömningar.

3Regeringens proposition En ny organisation för etikprövning av forskning som avser människor (prop. 2017/18:45).

424

SOU 2018:36

Konsekvensanalys

Ekonomiska konsekvenser för Vetenskapsrådet

Vetenskapsrådet ges i uppdrag att regelbundet följa upp och utvär- dera verksamheten vid forskningsdatabaser samt initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma upp- förandekoder.

Vad gäller såväl antal utvärderingar som kommer att behöva göras, som vilken arbetsinsats som krävs för en enskild utvärdering är detta svårt att förutsäga innan verksamheten inleds. En försiktig bedöm- ning är att detta arbete kan kräva mellan en och tre årsarbetskrafter, motsvarande mellan en och tre miljoner kronor årligen.

Vad gäller arbetet med att initiera och stödja utarbetandet av gemensamma uppförandekoder är detta arbete tidsbegränsat och av mindre omfattning, då en stor del av arbetet med att ta fram sådana uppförandekoder faller på forskningshuvudmännen. Vi uppskattar kostnaderna för Vetenskapsrådet i denna del till cirka en halv års- arbetskraft under två års tid, vilket motsvarar ungefär 1 miljon kro- nor totalt.

Ekonomiska konsekvenser för huvudmän för forskningsdatabaser

De tänkbara ekonomiska konsekvenserna av att inrätta forsknings- databaser med stöd vårt förslag skulle kunna delas in i tre kategorier:

1.Ansökningsavgift samt övriga kostnader föranledda av etikpröv- ningsförfarandet.

2.Kostnader för övriga tekniska och organisatoriska skyddsåtgär- der som följer av vårt förslag.

3.Övriga kostnader för förvaltning av databasen.

Kostnader för skyddsåtgärder och förvaltning (kategori 2 och 3) av en forskningsdatabas har forskningshuvudmännen redan i dag för de befintliga forskningsdatabaserna.

Vad gäller kategori 1 föreslår vi en ansökningsavgift på 15 000 kro- nor. Utformningen av en ansökan om etikprövning kommer även att kräva arbete med att ta fram underlag. Denna arbetskostnad är dock relativt liten i jämförelse med den faktiska förvaltningen av

425

Konsekvensanalys

SOU 2018:36

forskningsdatabasen, och kan även ses som en del av kostnaderna för förvaltningen.

Vad gäller kategori 2 föreslår vi som tekniska och organisatoriska skyddsåtgärder bl.a. krav på utsedd verksamhetschef, organisatorisk enhet för integritetsskyddet i forskningsdatabasen och ett syste- matiskt och riskbaserat informationssäkerhetsarbete (med till- delning av tillräckliga resurser), inre sekretess, anpassad behörighet till vad som behövs för att kunna utföra arbetsuppgifter och logg- ning. Vår bedömning är att dessa skyddsåtgärder utgör en preci- sering av det krav på skyddsåtgärder som följer av artikel 9.2 j samt

89.1i dataskyddsförordningen. Vårt förslag är därför i denna del inte kostnadsdrivande jämfört med vad dataskyddsförordningen i sig kräver för dessa aktiviteter. Våra förslag innebär därför i sig inga ytterligare kostnader för forskningshuvudmännen.

Vad gäller kategori 3 är det fråga om kostnader som inte beror på vårt förslag, utan snarare hör ihop med de behov som själva databasens omfattning och syfte medför. En stor databas med många variabler kommer att ha en högre förvaltningskostnad än en mindre, skarpare avgränsad databas. Våra förslag innebär därför i sig inga ytterligare kostnader för forskningshuvudmännen.

Konsekvenser för forskningsprojekt

Forskningens behov av forskningsdatabaser har beskrivits i kapi- tel 4. Hur stora de praktiska konsekvenserna för forskningsprojekt blir är avhängigt i vilken utsträckning den föreslagna regleringen fak- tiskt utnyttjas för att skapa forskningsdatabaser som är tillgängliga för utomstående forskare. Vår bedömning, baserad främst på samtal med forskare och forskningsinstitutioner som bedriver register- baserad forskning, är att det finns ett stort intresse av att skapa och förvalta forskningsdatabaser.

Jämfört med dagens situation är det vår bedömning att kon- sekvenserna för forskningsprojekt blir att de kan få tillgång till rele- vanta uppgifter snabbare, till lägre kostnad och potentiellt högre kvalitet jämfört med i dag. Kravet på etikprövning för forskning som använder uppgifter från forskningsdatabaser, men inte ska omfatta behandling av vare sig känsliga personuppgifter eller uppgifter om lagöverträdelser medför en ny typ av situation där kostnader för

426

SOU 2018:36

Konsekvensanalys

etikprövning aktualiseras. Vi har ovan gjort bedömningen att sådana fall torde vara relativt sällsynta.

13.2.7Andra konsekvenser enligt kommittéförordningen

Av 15 § kommittéförordningen framgår att om förslagen i ett betän- kande har betydelse för den kommunala självstyrelsen ska konse- kvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsföre- byggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

Vi möjliggör för kommunerna att driva forskningsdatabaser under de villkor som lagen ställer. Det innebär inte någon inskränkning av det kommunala självstyret jämfört med gällande rätt.

Vårt förslag syftar till att förbättra förutsättningarna för sam- hällsnyttig forskning. Förslaget kan på så sätt i nästa steg generera förbättringar inom områden som t.ex. det brottsförebyggande arbetet, arbetet för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensför- måga eller villkor i övrigt, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

13.2.8Konsekvenser för den personliga integriteten

Av våra direktiv framgår att utredningen, utöver vad som följer av 14–15 a §§ kommittéförordningen, ska redovisa förslagens kon- sekvenser för den personliga integriteten. För en generell bakgrund till de rättsliga förutsättningarna hänvisar vi till utredningens delbetänkande.4

4Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 296 ff.

427

Konsekvensanalys

SOU 2018:36

Integritetsanalys

Ändamål och rättslig grund

Den föreslagna lagstiftningen syftar till att möjliggöra personupp- giftsbehandling för forskningsändamål i forskningsdatabaser. Den huvudsakliga rättsliga grunden för behandlingen är att den är nöd- vändig för att utföra en uppgift av allmänt intresse (se vidare av- snitt 8.2.3) i enlighet med artikel 6.1 e i dataskyddsförordningen. Forskningshuvudmannen är personuppgiftsansvarig enligt data- skyddsförordningen.

Omfattningen av uppgiftsinsamlingen

Vilka personuppgifter och om hur många som kommer att samlas in och behandlas beror på forskningsdatabasens inriktning och spe- cifika ändamål. Enligt den föreslagna definitionen av forsknings- databas kan uppgifterna samlas in såväl från den enskilda som från andra källor.

Skydd för personuppgifterna

Uppgifterna kommer vara tillgängliga för anställda hos forsknings- huvudmannen i den utsträckning det är nödvändigt för dessa att utföra sina arbetsuppgifter, och kommer efter etik- och sekretess- prövning att få lämnas ut i pseudonymiserad form till forsk- ningsprojekt. Uppgifterna kommer att skyddas av den föreslagna forskningssekretessen i forskningsdatabasen. När uppgifterna läm- nas ut till ett forskningsprojekt som omfattas av svensk sekretess- lagstiftning kommer uppgifterna att skyddas av samma sekretess där. Med tanke på forskningsdatabasernas syfte är det inte lämpligt att i generell lagstiftning ställa upp regler om sök- och sammanställ- ningsbegränsningar.5 Det övergripande syftet med forskningsdata- baserna kräver att personuppgifterna bevaras under forsknings- databasens hela livslängd (se vidare om avveckling avsnitt 8.12).

Den enskildes personliga integritet i samband med behandlingen skyddas såväl av de föreslagna etikprövningsförfarandena, som av

5Jfr generellt om sökbegränsningar och forskning SOU 2017:50 s. 267 ff.

428

SOU 2018:36

Konsekvensanalys

regler om pseudonymisering vid utlämnande samt av tekniska och organisatoriska skyddsåtgärder (se avsnitt 8.9, 8.10 samt 8.11.3). Vår reglering kompletterar och specificerar det skydd som stadgas enligt dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

Den registrerades rättigheter

Den registrerades rätt att motsätta sig behandling framgår av data- skyddsförordningen. Vi föreslår inget undantag från denna rätt i den generella lagstiftningen (jfr avsnitt 8.8.4). Även den registrerades rätt till information om behandlingen, oavsett om de behandlade uppgifterna har samlats in direkt från denne eller från någon annan källa, framgår direkt av dataskyddsförordningen.

Den föreslagna lagstiftningen möjliggör en långtgående och omfattande personuppgiftsbehandling om ett stort antal människor, som huvudregel baserad på annan rättslig grund än den registrerades samtycke. De föreslagna skyddsåtgärderna, inte minst möjligheten för den enskilde att motsätta sig behandlingen, minskar dock enligt vår mening avsevärt den integritetsförlust som den enskilde lider på grund av förslaget. Även det föreslagna etikprövningsförfarandet garanterar en oberoende bedömning av behandlingens proportiona- litet, avvägt mot dess vetenskapliga värde.

Proportionalitetsbedömning

Såväl regeringsformen som dataskyddsförordningen kräver att en proportionalitetsbedömning görs i samband med förslag till bestäm- melser som inskränker den enskildes fri- och rättigheter vad gäller personlig integritet. Vid denna bedömning ska det ändamål för vilket personuppgiftsbehandlingen ska få utföras ställas mot det integritets- intrång som behandlingen medför, och som vi beskrivit i föregående avsnitt.6

Ändamålet med vårt förslag är att möjliggöra en effektivare forsk- ning av högre kvalité med hjälp av forskningsdatabaser. Såväl forsk- ning i allmänhet som databasers betydelse för denna, är ett legitimt

6Se vidare generellt om dessa proportionalitetskrav i olika rättsliga instrument SOU 2017:50 s. 308 ff.

429

Konsekvensanalys

SOU 2018:36

intresse enligt dataskyddsförordningen (se särskilt skäl 157). Det till- hör dessutom unionens mål att åstadkomma ett europeiskt forskningsområde (artikel 179.1 i EUF-fördraget). Även den svens- ka grundlagen framhåller skyddet för forskningens frihet (2 kap. 18 § andra stycket RF). Det är alltså fråga om två prioriterade och legitima intressen som ställs mot varandra.

Vår bedömning är att den förbättrade möjligheten till forskning är ett sådant viktigt allmänt intresse som uppväger de risker för den personliga integriteten som personuppgiftsbehandling i forsknings- databaser kan medföra.

Vår bedömning är vidare att förslagen i och för sig kan medföra betydande intrång i de registrerades personliga integritet som kan innebära kartläggning av dennes personliga förhållanden (jfr 2 kap. 6 § andra stycket RF). Inskränkningarna i de registrerades fri- och rättigheter görs dock för att tillgodose forskningsändamål. Detta är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle, utan som ovan nämnt dessutom är grundlagsskyddat. Den begräns- ning av den enskildes fri- och rättigheter som det är fråga om sträcker sig enligt utredningens bedömning inte så långt att den utgör ett hot mot den fria åsiktsbildningen, och den görs inte heller enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Möjligheterna att behandla personuppgifter i forsknings- databaser ska därtill omgärdas av ett flertal obligatoriska skydds- åtgärder, som t.ex. krav på etikprövning och nya bestämmelser om sekretess. Kraven i 2 kap. 21 § RF är därför uppfyllda.

13.3Rättspsykiatriska forskningsregistret

Utredningen föreslår att registret läggs ned och den särskilda regis- terförfattningen avskaffas. De kostnadsmässiga konsekvenserna av detta har redan bedömts av RMV i en tidigare rapport. RMV kommer fram till att detta medför en kostnadsbesparing, men att denna besparing inte låter sig beräknas i nuläget. Vi hänvisar därför till konsekvensutredningen i den rapporten.7

Vad gäller konsekvenserna för den personliga integriteten medför utredningens förslag att personuppgiftsbehandling inte längre kan

7 Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/08833/Å), s. 95 f.

430

SOU 2018:36

Konsekvensanalys

göras med stöd av den särskilda registerförfattningen. Vid behov kan dock en motsvarande forskningsdatabas inrättas under förutsättning att kraven i den föreslagna forskningsdatabaslagen är uppfyllda. Konsekvenserna för den personliga integriteten torde därmed i vart fall inte försämras.

13.4Ett nationellt biobanksregister

Vi ansluter oss i huvudsak till Utredningen om reglering av bio- bankers förslag. Vi hänvisar därför till konsekvensutredningen i den utredningen.8

13.5Utlämnande av uppgifter till europeiska forskningsdatabaser

Utredningen föreslår en förändring av offentlighets- och sekre- tesslagen (2009:400), förkortad OSL. Förändringen möjliggör ut- lämnande av uppgifter som omfattas av statistiksekretess enligt 24 kap 8 § OSL till europeiska forskningsdatabaser. Förslaget skulle möjliggöra för SCB att återuppta sitt utlämnande av uppgifter till forskningsdatabasen Luxembourg Income Study (LIS). De löpande kostnadsmässiga konsekvenserna för det ökade arbetet för SCB torde inte bli alltför stora. I sammanhanget bör uppmärksammas att SCB tidigare regelmässigt har levererat uppgifter till LIS från det att den skapades 1983 fram till 2007.

13.6Skydd för uppgifter om avlidna

Utredningen föreslår inte något nytt skydd för uppgifter om avlidna inom forskning. Det blir därmed inte någon förändring av rättsläget, och därför inte heller några konsekvenser att bedöma.

8Utredningens om reglering av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4), s. 455 ff.

431

14 Författningskommentar

14.1Förslaget till lag om forskningsdatabaser

1 kap. Lagens tillämpningsområde m.m.

Innehåll och syfte

1 § Denna lag innehåller bestämmelser om behandling av personupp- gifter i en forskningsdatabas.

I 4 kap. 5 § finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

Paragrafen innehåller en beskrivning av vilken typ av bestämmelser som finns i lagen om forskningsdatabaser (forskningsdatabaslagen).

I första stycket anges att lagen innehåller bestämmelser om be- handling av personuppgifter i en forskningsdatabas.

Andra stycket innehåller en upplysning om att det i 5 kap. 5 § finns en generell bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

Bestämmelsen behandlas i avsnitt 8.4.

2 § Syftet med denna lag är att möjliggöra behandling av personupp- gifter i en forskningsdatabas. Syftet är också att säkerställa att de registre- rades personliga integritet skyddas vid denna behandling.

Paragrafen anger syftet med lagen. Enligt paragrafen är syftet att möjliggöra behandling av personuppgifter i en forskningsdatabas samtidigt som det ska säkerställas att de registrerades personliga integritet skyddas vid denna behandling.

Bestämmelsen behandlas i avsnitt 8.4.

433

Författningskommentar

SOU 2018:36

Förhållandet till annan lagstiftning

3 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Bestämmelsen reglerar lagens förhållande till Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direk- tiv 95/46/EG (allmän dataskyddsförordning), nedan kallad data- skyddsförordningen. I paragrafen anges att lagen kompletterar data- skyddsförordningen. Bestämmelsen tydliggör att lagen inte kan till- lämpas fristående, utan endast tillsammans med dataskyddsförord- ningen.

Bestämmelsen behandlas i avsnitt 8.5.

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter i en forskningsdatabas som avviker från denna lag ska de bestämmelserna gälla.

Paragrafen reglerar lagens förhållande till annan nationell lagstift- ning.

I första stycket anges forskningsdatabaslagens relation till data- skyddslagen (2018:218) och föreskrifter som har meddelats i anslut- ning till lagen. Forskningsdatabaslagen har företräde framför data- skyddslagen. Om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen gäller alltså dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen.

I andra stycket finns en subsidiaritetsbestämmelse med innebör- den att lagen är subsidiär gentemot andra lagar eller förordningar som reglerar personuppgiftsbehandling i en forskningsdatabas.

434

SOU 2018:36

Författningskommentar

Bestämmelser i andra lagar som reglerar enskilda forskningsdata- baser gäller alltså före forskningsdatabaslagen.

Bestämmelsen behandlas i avsnitt 8.5.

Definitioner

5 § Med forskningshuvudman avses i denna lag detsamma som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor.

Paragrafen innehåller en definition av begreppet forskningshuvud- man. Det anges att forskningshuvudman definieras på samma sätt som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Med forskningshuvudman avses alltså en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs.

Bestämmelsen behandlas i avsnitten 3.3.6. och 8.7.2.

6 § Med forskningsdatabas avses i denna lag en databas (uppgifts- samling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhanda- hålla uppgifter till flera olika forskningsprojekt.

Paragrafen innehåller en definition av begreppet forskningsdatabas. Med forskningsdatabas avses i lagen en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Utanför lagens definition faller således forskningsregister som skapas för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning.

Bestämmelsen behandlas i avsnitten 3.3.3 och 8.7.1.

Lagens tillämpningsområde

7 § Denna lag tillämpas vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

435

Författningskommentar

SOU 2018:36

Paragrafen anger lagens territoriella tillämpningsområde. Av bestäm- melsen framgår att lagen ska tillämpas vid behandling av personupp- gifter som utförs inom ramen för verksamhet som bedrivs vid person- uppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Det saknar betydelse var den faktiska personuppgifts- behandlingen utförs.

Bestämmelsen behandlas i avsnitt 8.6.2.

2 kap. Grundläggande villkor för skapandet av en forskningsdatabas

1 § En forskningshuvudman får vara personuppgiftsansvarig för behandling av personuppgifter i en forskningsdatabas under förutsätt- ning att forskningshuvudmannen är en

1.statlig myndighet,

2.kommunal myndighet, eller

Av denna paragraf framgår personuppgiftsansvaret vid behandling av personuppgifter i en forskningsdatabas. I paragrafen anges vilka forskningshuvudmän som får vara personuppgiftsansvariga.

De forskningshuvudmän som räknas upp är dels statliga och kom- munala myndigheter, dels juridiska personer och enskilda närings- idkare. När det gäller juridiska personer och enskilda näringsidkare anges som förutsättningar att dessa ska bedriva högre utbildning och ha examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina samt att de enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, jämställs med myndigheter. För dessa organ gäller alltså att de ska ha examensrätt och vara upptagna i bilagan till OSL.

Bestämmelsen behandlas i avsnitt 8.8.2.

2 § Personuppgifter får behandlas i en forskningsdatabas för att

1.skapa underlag för olika forskningsprojekt, och

2.lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.

436

SOU 2018:36

Författningskommentar

I paragrafen anges de övergripande ändamålen för vilka behandling av personuppgifter i en databas ska vara tillåten.

Det första ändamålet som anges är att skapa underlag för olika forskningsprojekt. Syftet med behandlingen är således inte att skapa underlag för ett visst, redan definierat projekt utan att samla in uppgifter som kan utgöra underlag för olika forskningsprojekt. Det andra ändamålet som anges är att lämna ut uppgifter till forsknings- projekt inom ett angivet forskningsområde.

Av 5 kap. 1 § framgår att utlämnande till forskning bara får göras under förutsättning att projektet godkänts enligt etikprövnings- lagen.

Utöver de övergripande ändamål som anges i denna paragraf ska enligt 2 kap. 4 § för varje enskild forskningsdatabas de särskilda ändamålen fastställas.

Bestämmelsen behandlas i avsnitt 8.8.3.

3 § Personuppgifter får behandlas i en forskningsdatabas under förut- sättning att

1.den har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, och

2.forskningshuvudmannen har säkerställt finansieringen av forsk- ningsdatabasen.

Paragrafen anger villkoren för att personuppgifter ska få behandlas i en forskningsdatabas. Detta får enligt bestämmelsen bara förekomma under förutsättning att forskningsdatabasen har godkänts enligt etikprövningslagen och att forskningshuvudmannen har säkerställt finansiering av forskningsdatabasen.

Etikgodkännande av forskningsdatabasen krävs enligt bestäm- melsen oavsett vilken typ av personuppgifter som ska behandlas i forskningsdatabasen, alltså även om behandlingen inte ska omfatta känsliga personuppgifter eller personuppgifter om lagöverträdelser.

Enligt 7 kap. 1 § första punkten ska regeringen eller den myndig- het som regeringen bestämmer få meddela föreskrifter om finan- sieringen av en forskningsdatabas. Det kan t.ex. handla om att bestämma för hur lång tid finansieringen av en forskningsdatabas måste vara säkerställd.

Bestämmelsen behandlas i avsnitten 8.8.4 och 8.8.5.

437

Författningskommentar

SOU 2018:36

4 § En forskningshuvudman ska i ett beslut om att skapa en forsk- ningsdatabas fastställa

1.vilka uppgifter som ska behandlas i forskningsdatabasen, och

2.för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.

Paragrafen innehåller ett krav på att en forskningshuvudman ska fatta ett beslut om en forskningsdatabas uppgifter och ändamål. Paragrafen anger att forskningshuvudmannen i ett beslut om att skapa en forskningsdatabas ska fastställa vilka uppgifter som ska behandlas i databasen och för vilka ändamål dessa uppgifter är nödvändiga att behandla.

Forskningshuvudmannen ska således enligt bestämmelsen fatta ett uttryckligt beslut om att en viss forskningsdatabas ska inrättas samt om vilka uppgifter som får behandlas och för vilka ändamål. Det kan t.ex. handla om att precisera vilka typer av forskningsprojekt som forskningsdatabasen ska kunna utgöra underlag till, vilka forsk- ningsfrågor som ska besvaras, inom vilka forskningsområden projekten ska genomföras och vilken typ av uppgifter som ska samlas in till en viss närmare angiven typ av forskning.

Bestämmelsen är ett uttryck för den i dataskyddsförordningen fastslagna principen om ansvarsskyldighet.

Av 7 kap. 1 § andra, tredje och fjärde punkterna framgår att före- skrifter får meddelas om begränsningar av de ändamål för vilka uppgifter får behandlas i en databas, av de uppgifter som en forsk- ningsdatabas får innehålla och av behandling av uppgifter i en forsk- ningsdatabas.

Bestämmelsen behandlas i avsnitt 8.8.4.

3 kap. Organisatoriska åtgärder

1 § Forskningshuvudmannen ska utse en verksamhetschef för forsk- ningsdatabasen.

Verksamhetschefen ska minst en gång per år sammanställa och lämna skriftlig information om behandlingen av personuppgifter i fors- kningsdatabasen till forskningshuvudmannen.

438

SOU 2018:36

Författningskommentar

Paragrafen reglerar ett krav på att en verksamhetschef utses samt vissa uppgifter för verksamhetschefen. I första stycket anges att forsk- ningshuvudmannen ska utse en verksamhetschef för forsknings- databasen. Verksamhetschefen ska inför forskningshuvudmannen ansvara för att forskningsdatabasen fungerar på ett rättsenligt och säkert sätt.

I andra stycket anges att verksamhetschefen minst en gång per år ska sammanställa och lämna information om behandlingen av per- sonuppgifter i forskningsdatabasen till forskningshuvudmannen.

Bestämmelsen behandlas i avsnitt 8.10.2.

2 § Det ska hos forskningshuvudmannen finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den per- sonliga integriteten i forskningsdatabasen. Den ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas per- sonliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de per- sonuppgifter som behandlas i forskningsdatabasen.

Paragrafen reglerar en organisatorisk enhet för informationssäker- het och skydd för personlig integritet i en forskningsdatabas. Det stadgas att det hos forskningshuvudmannen ska finnas en organisa- torisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Vidare stadgas att enheten ska ha till uppgift att genom tekniska och orga- nisatoriska åtgärder skydda enskildas personliga integritet och upp- rätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i forskningsdatabasen.

Bestämmelsen behandlas i 8.10.3.

Forskningshuvudmannen ska tilldela tillräckliga resurser för infor- mationssäkerhetsarbetet. Den som utför detta arbete ska hålla forsk- ningshuvudmannen informerad.

439

Författningskommentar

SOU 2018:36

Paragrafen reglerar informationssäkerhetsarbete. I första stycket anges att en forskningshuvudman som behandlar personuppgifter i en forskningsdatabas ska bedriva ett systematiskt och riskbaserat infor- mationssäkerhetsarbete med stöd av ett ledningssystem för infor- mationssäkerhet. Paragrafen tar sikte på forskningshuvudmannens ansvar för att säkerställa de grundläggande informationssäkerhets- aspekterna vid behandlingen av personuppgifter i forskningsdata- basen.

Bestämmelsen innebär ett generellt krav på ett sådant informa- tionssäkerhetsarbete som motsvarar det som gäller för statliga myndigheter enligt 5 § Myndighetens för samhällsskydd och bered- skap föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Kravet gäller oavsett vilken typ av forsknings- huvudman det är som ansvarar för en forskningsdatabas, alltså ut- över statliga myndigheter även kommunala myndigheter som är forskningshuvudmän och privata lärosäten.

I andra stycket anges att forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Vidare anges att den som utför detta arbete ska hålla forskningshuvudmannen informerad. Det kan t.ex. handla om information om de riskanalyser som har gjorts av informationssäkerheten, incidenter som har påverkat informationssäkerheten och som medfört eller hade kunnat medföra integritetsskador, uppföljningar som har gjorts samt förbättringsåtgärder som har vidtagits.

I 7 kap. 1 § femte punkten anges att föreskrifter får meddelas om informationssäkerhetsarbetet.

Bestämmelsen behandlas i avsnitt 8.10.4.

4 kap. En säker och ändamålsenlig behandling av personuppgifter

Uppgifterna i forskningsdatabasen

1 § Personuppgifter i en forskningsdatabas får vara direkt identifier- bara, om det är nödvändigt för att uppfylla ändamålet med forsk- ningsdatabasen.

Forskningshuvudmannen ska besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ända- målet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.

440

SOU 2018:36

Författningskommentar

Paragrafen rör personuppgifterna i en forskningsdatabas. Enligt första stycket får personuppgifter i en forskningsdatabas vara direkt identifierbara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.

Enligt andra stycket ska forskningshuvudmannen besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudo- nymiserade eller skyddade på annat sätt.

I 5 kap. 2 § stadgas att personuppgifter som lämnas ut från en forskningsdatabas enligt huvudregeln ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.

Bestämmelsen behandlas i avsnitt 8.9.2.

Intern elektronisk åtkomst

2 § Den som arbetar hos en forskningshuvudman får ta del av per- sonuppgifter i en forskningsdatabas endast om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.

Paragrafen reglerar hur den interna elektroniska åtkomsten av per- sonuppgifter får användas av de som arbetar hos forskningshuvud- mannen, så kallad inre sekretess. Det anges att den som arbetar hos en forskningshuvudman får ta del av personuppgifter i en forsk- ningsdatabas endast om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.

Bestämmelsen behandlas i avsnitt 8.10.5.

3 § Forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forsk- ningsdatabas. Behörigheten ska anpassas och begränsas till vad som be- hövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.

Paragrafen innehåller en bestämmelse om behörighetsstyrning avse- ende intern elektronisk åtkomst. Behörighetsstyrning är en teknisk och organisatorisk åtgärd för att skydda personuppgifter i en

441

Författningskommentar

SOU 2018:36

forskningsdatabas. I paragrafen anges att forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Med detta avses användares faktiska möjligheter att ta del av uppgifter i forsk- ningsdatabasen.

Vidare anges att behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.

En användares rätt att ta del av uppgifter begränsas dessutom av bestämmelsen i 4 kap. 2 §.

Bestämmelsen behandlas i avsnitt 8.10.5.

4 § Forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kontrol- leras.

Forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifter i en forskningsdatabas.

Paragrafen reglerar dokumentation och kontroll av elektronisk åtkomst såsom en teknisk och organisatorisk åtgärd för att skydda personuppgifter i en forskningsdatabas.

I första stycket anges att forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas doku- menteras (loggas) och kan kontrolleras. Med detta åsyftas att det ska finnas behandlingshistorik avseende åtkomst till personuppgifter.

I andra stycket anges att forskningshuvudmannen ska göra syste- matiska och återkommande kontroller av om någon obehörigen tar del av personuppgifter i en forskningsdatabas. Endast kontroller vid särskilda fall när obehörig åtkomst misstänks är således inte tillräckligt för att uppfylla kravet i bestämmelsen.

Bestämmelsen behandlas i avsnitt 8.10.5.

Tystnadsplikt hos enskild forskningshuvudman

442

SOU 2018:36

Författningskommentar

sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande.

I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.

Paragrafen innehåller en generell regel om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

I första stycket anges att den som arbetar hos en privat forsk- ningshuvudman inte obehörigen får röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska för- hållanden. Vidare anges att det inte ska anses utgöra obehörigt röjande när någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

I andra stycket anges att i det allmännas verksamhet ska i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400) till- lämpas.

Bestämmelsen innebär att det tillsammans med bestämmelsen om forskningssekretess i den föreslagna 24 kap. 1 § finns ett enhetligt skydd gäller för uppgifter som lämnas ut från en forskningsdatabas, oavsett om utlämnandet görs till en offentlig eller privat forsk- ningshuvudman.

Bestämmelsen behandlas i avsnitt 8.9.6.

5 kap. Utlämnande av personuppgifter från en forskningsdatabas

Villkor för utlämnande

1 § Personuppgifter i en forskningsdatabas får lämnas ut till ett forskningsprojekt under förutsättning att

1.tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) eller denna lag inte hindrar det, och

2.forskningsprojekten har godkänts enligt lagen (2003:460) om etik- prövning av forskning som avser människor.

Paragrafen anger villkor för utlämnade av personuppgifter från en forskningsdatabas. I paragrafen anges att personuppgifter i en forsk- ningsdatabas får lämnas ut till ett forskningsprojekt under förut- sättning att tystnadsplikt enligt OSL eller forskningsdatabaslagen inte hindrar det och att forskningsprojektet har godkänts enligt

443

Författningskommentar

SOU 2018:36

etikprövningslagen. Etikgodkännande krävs enligt bestämmelsen oavsett vilken typ av personuppgifter som ska behandlas, alltså även om behandlingen inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser.

Bestämmelsen behandlas i avsnitt 8.11.2.

2 § Personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

Personuppgifter får dock vara direkt identifierbara vid utlämnan- det, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.

Paragrafen reglerar skyddsåtgärder vid utlämnande av personupp- gifter från en forskningsdatabas. Det anges att personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna ska lämnas ut till.

Bestämmelsen behandlas i avsnitt 8.11.3.

3 § Personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 § får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Paragrafen reglerar utlämnande av personuppgifter till utredningar om oredlighet i forskning eller yttrande i samband med en sådan utredning. Det anges att personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 § också får lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. För att möjliggöra granskning av sådana projekt som använder personuppgifter från en forsk- ningsdatabas krävs att utlämnade får göras också till en utredning om oredlighet i forskning. Bestämmelsen möjliggör också utläm- nande av uppgifter för att yttrande ska kunna lämnas enligt 1 kap. 16 § högskoleförordningen (1993:100) i samband med en sådan utredning.

Bestämmelsen behandlas i avsnitt 8.11.2.

444

SOU 2018:36

Författningskommentar

Direktåtkomst

4 § Personuppgifter i en forskningsdatabas får inte lämnas ut genom direktåtkomst annat än till den registrerade själv enligt 5 §.

Paragrafen innehåller ett förbud mot direktåtkomst. Det anges att personuppgifter i en forskningsdatabas inte får lämnas ut genom direktåtkomst annat än till den registrerade själv enligt 5 §.

Bestämmelsen behandlas i avsnitt 8.11.5.

5 § En forskningshuvudman får medge den registrerade direktåt- komst till direkt identifierbara uppgifter om den enskilde själv. Innan uppgifterna lämnas ut på detta sätt ska forskningshuvudmannen pröva om uppgifterna får lämnas ut. Den registrerade får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 4 §.

Paragrafen reglerar möjlighet till direktåtkomst för den registrerade själv. Det anges att en forskningshuvudman får medge den registre- rade direktåtkomst till direkt identifierbara uppgifter om den en- skilde själv. Bestämmelsen innebär inte en rättighet för enskilda till direktåtkomst till sina uppgifter i forskningsdatabaser utan en möj- lighet för en forskningshuvudman att erbjuda registrerade direkt- åtkomst till sina egna uppgifter.

Vidare anges i paragrafen att innan uppgifterna lämnas ut på detta sätt ska forskningshuvudmannen pröva om uppgifterna får lämnas ut. Detta innebär att forskningshuvudmannen måste bedöma om uppgifterna skulle kunna omfattas av sekretess innan direktåtkomst erbjuds.

Slutligen anges att den registrerade under samma förutsättningar får medges direktåtkomst till sådan dokumentation som avses i 4 kap. 4 §. Direktåtkomst till den logginformation som finns om åtkomst till uppgifterna får alltså också medges.

I 7 kap. 1 § sjätte punkten anges att föreskrifter får meddelas om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för den registrerade.

Bestämmelsen behandlas i avsnitt 8.11.6.

445

Författningskommentar

SOU 2018:36

6 kap. Uppföljning och utvärdering

1 § Forskningshuvudmannen ska regelbundet ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fortsätta.

Paragrafen reglerar intern uppföljning av en forskningsdatabas. Av paragrafen framgår att intern uppföljning krävs. Det anges att forsk- ningshuvudmannen regelbundet ska ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fortsätta.

Bestämmelsen innebär att forskningshuvudmannen i egenskap av personuppgiftsansvarig för behandlingen av personuppgifterna i forskningsdatabasen ska se till att behandlingen i varje stund är laglig. För bedömningen kan det vara av betydelse t.ex. om forsk- ningsdatabasen används på det sätt som planerats, om forsknings- databasen är ändamålsenlig och om den kommer att kunna användas fortsättningsvis.

Bestämmelsen behandlas i avsnitt 8.10.6.

2 § Vetenskapsrådet ska regelbundet följa upp och utvärdera verksam- heten vid forskningsdatabaser. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabaserna avseende säkerhet och ändamålsenlighet.

Vetenskapsrådet ska redovisa resultatet av sin utvärdering till reger- ingen.

Paragrafen gäller extern uppföljning och utvärdering utöver den tillsyn som Datainspektionen kommer att ha över personuppgifts- behandling i forskningsdatabaser.

I första stycket anges att Vetenskapsrådet regelbundet ska följa upp och utvärdera verksamheten vid forskningsdatabaser. Vidare anges att Vetenskapsrådet i sin utvärdering ska granska forsknings- databaserna avseende säkerhet och ändamålsenlighet. I 7 kap. 1 § sjunde punkten anges att föreskrifter får meddelas om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras.

I andra stycket anges att Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.

Bestämmelsen behandlas i avsnitt 8.10.7. Se även kommentaren till förordning om ändring av förordning (2009:975) med instruk- tion för Vetenskapsrådet.

446

SOU 2018:36

Författningskommentar

7 kap. Ytterligare föreskrifter

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om

1.finansieringen av en forskningsdatabas,

2.begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas,

3.begränsningar av de uppgifter som en forskningsdatabas får inne-

hålla,

4.begränsningar av behandling av uppgifter i en forskningsdatabas,

5.det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva enligt 3 kap. 3 §,

6.de krav på säkerhetsåtgärder som ska gälla vid sådan direkt- åtkomst för den registrerade som avses i 5 kap. 5 §, och

7.på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvär- dering enligt 6 kap. 2 § ska utföras

Bestämmelsen innehåller upplysningar om vilka föreskrifter reger- ingen eller den myndighet regeringen bestämmer kan meddela när det gäller forskningsdatabaser. Det bör i första hand vara Veten- skapsrådet eller Datainspektionen som kommer att bli bemyndigade att meddela sådana föreskrifter.

I första punkten anges att föreskrifter får meddelas om finansier- ingen av en forskningsdatabas. Det kan t.ex. handla om föreskrifter om under hur lång tid finansieringen ska vara tryggad.

Enligt andra och tredje punkterna får föreskrifter meddelas om begränsningar av de ändamål för vilka uppgifter får behandlas i en databas och av de uppgifter som en forskningsdatabas får innehålla.

Enligt fjärde punkten får föreskrifter meddelas om begränsningar av behandling av uppgifter i en forskningsdatabas.

Föreskrifter får enligt femte punkten meddelas om det systema- tiska och riskbaserade informationssäkerhetsarbetet som forsk- ningshuvudmannen ska bedriva enligt 3 kap. 3 §.

I sjätte punkten anges att föreskrifter får meddelas om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst för den registrerade som avses i 5 kap. 5 §.

Slutligen anges i sjunde punkten att föreskrifter får meddelas om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvär- dering enligt 6 kap. 2 § ska utföras.

447

Författningskommentar

SOU 2018:36

Bestämmelsen behandlas i avsnitt 8.13.

14.2Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

2 §

I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningsdatabas: detsamma som avses i 1 kap. 6 § lagen (2019:000) om forskningsdatabaser,

forskningshuvudman: en statlig myndighet eller en fysisk eller juri- disk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i arti- kel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), här benämnd EU:s dataskyddsförordning.

Paragrafen innehåller definitioner. Bestämmelsen har ändrats på så sätt att en definition av forskningsdatabas har införts. Det anges att i lagen avses med forskningsdatabas detsamma som i 1 kap. 6 § lagen om forskningsdatabaser.

Vidare har definitionen av behandling av personuppgifter anpas- sats till dataskyddsförordningen. Med behandling av personupp- gifter ska enligt bestämmelsen, i stället för sådan behandling som avses i 3 § personuppgiftslagen (1998:204), sådan behandling som anges i artikel 4.2 dataskyddsförordningen avses.

Bestämmelsen behandlas i avsnitt 8.7.

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1.sådana särskilda kategorier av personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter),

448

SOU 2018:36

Författningskommentar

2.sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,

3.personuppgifter i en forskningsdatabas enligt lagen (2019:000) om forskningsdatabaser, eller

4.personuppgifter som samlas in från en forskningsdatabas enligt lagen (2019:000) om forskningsdatabaser.

Bestämmelsen gäller etikprövningslagens tillämpningsområde. Första och andra punkterna innebär en anpassning till dataskyddsförord- ningen. Dessa anpassningar föreslogs i Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), se avsnitt 14.4.5 i det betänkandet. Det anges att lagen ska tillämpas på forskning som innefattar behand- ling av särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden.

Tredje och fjärde punkterna är nya och innebär en utvidgning av etikprövningslagens tillämpningsområde. I tredje punkten anges att lagen ska tillämpas på forskning som innefattar behandling av per- sonuppgifter i en forskningsdatabas enligt lagen om forskningsdata- baser. Enligt fjärde punkten ska lagen tillämpas på forskning som innefattar behandling av personuppgifter som samlas in från en forskningsdatabas enligt lagen om forskningsdatabaser.

Ändringarna behandlas i avsnitt 8.8.5 och 8.11.2.

5 § Denna lag ska tillämpas på forskning som avses i 3 §, och som ska utföras inom ramen för verksamhet som bedrivs vid personuppgifts- ansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

Denna lag ska även tillämpas på forskning som enbart omfattas av 4 § och som ska utföras i Sverige.

Paragrafen gäller etikprövningslagens territoriella tillämpningsom- råde. Efter ändringen omfattar bestämmelsen två stycken.

I första stycket anges att lagen när det gäller forskning som avses i 3 § ska tillämpas på forskning som utförs inom ramen för verk- samhet som bedrivs vid personuppgiftsansvarigas eller personupp- giftsbiträdens verksamhetsställen i Sverige. Ändringen innebär att

449

Författningskommentar

SOU 2018:36

lagens tillämpningsområde överensstämmer med det som ska gälla enligt forskningsdatabaslagen.

Enligt andra stycket ska etikprövningslagen alltjämt tillämpas på forskning som ska utföras i Sverige när det gäller forskning som omfattas av 4 §, dvs. forskning som enbart avser olika fysiska in- grepp m.m. För sådan forskning föreslås alltså ingen förändring av etikprövningslagens territoriella tillämpningsområde.

Ändringen behandlas i avsnitt 8.6.

6 § Forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor.

Ett godkännande ska avse ett visst projekt, en del av ett projekt eller en på något liknande sätt bestämd forskning eller en forskningsdatabas.

Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.

Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.

Paragrafen gäller etikgodkännande. Bestämmelsen anger bl.a. att forskning som avses i 3–5 §§ bara får utföras om den godkänts vid en etikprövning.

Bestämmelsen har ändrats på så sätt att ett etikgodkännande utöver ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning också kan avse en forsknings- databas. Bestämmelsen har även justerats språkligt.

Ändringen behandlas i avsnitt 8.8.6.

8 § Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.

Bestämmelsen har justerats språkligt.

450

SOU 2018:36

Författningskommentar

10 § Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningsper- soners hälsa, säkerhet och personliga integritet.

Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

Bestämmelsen har justerats språkligt.

11 § Forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.

En forskningsdatabas får bara godkännas om de grundläggande vill- koren för skapandet av en forskningsdatabas och de krav på organisa- toriska åtgärder som ställs i 2 och 3 kap. lagen (2019:000) om forsk- ningsdatabaser är uppfyllda.

Paragrafen innehåller villkor för etikgodkännande.

Bestämmelsen har ändrats på så sätt att ett andra stycke har in- förts. Här anges att en forskningsdatabas bara får godkännas om de grundläggande villkoren för skapandet av en forskningsdatabas och de krav på organisatoriska åtgärder som ställs i 2 och 3 kap. forsk- ningsdatabaslagen är uppfyllda. Hänvisningen till forskning innebär att första stycket också ska tillämpas på forskningsdatabaser. Bestäm- melsen har även justerats språkligt.

Bestämmelsen behandlas i avsnitt 8.8.6.

14.3Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

8 kap.

Sekretess mot forskningshuvudman utanför Sverige som omfattas av EU:s dataskyddsförordning

4 § En uppgift för vilken sekretess gäller enligt denna lag får inte röjas för en forskningshuvudman med verksamhetsställe utanför Sverige som ansvarar för en forskningsdatabas och som omfattas av förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av

451

Författningskommentar

SOU 2018:36

sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, om inte

1.uppgiften i motsvarande fall skulle få lämnas ut till en forsknings- huvudman med verksamhetsställe i Sverige, och

2.forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt denna lag och enligt lagen (2019:000) om forsknings- databaser.

Paragrafen är ny och gäller sekretess mot forskningshuvudman utan- för Sverige som omfattas av dataskyddsförordningen. Det stadgas att en uppgift för vilken sekretess gäller enligt offentlighets- och sekre- tesslagen inte får röjas för en forskningshuvudman med verksam- hetsställe utanför Sverige som ansvarar för en forskningsdatabas som omfattas av dataskyddsförordningen. Detta gäller dock inte om upp- giften i motsvarande fall skulle få lämnas ut till en forskningshuvud- man med verksamhetsställe i Sverige. Vidare krävs i sådant fall att forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen samt enligt lagen om forskningsdatabaser.

Bestämmelsen gäller såväl privata forskningshuvudmän som forsk- ningshuvudmän som är utländska myndigheter. Bestämmelsen möjlig- gör utlämnade till bland annat forskningsdatabasen Luxembourg Income Study.

Bestämmelsen behandlas i avsnitt 11.3.1.

10 kap.

23 § Om inte annat följer av 19–22 §§ får en uppgift som angår miss- tanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller 3–8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1.brott för vilket det inte är föreskrivet lindrigare straff än fängelse

iett år,

452

SOU 2018:36

Författningskommentar

2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

Paragrafen reglerar utlämnande av sekretessbelagda uppgifter som angår misstankar om brott. Bestämmelsen har ändrats på så sätt att hänvisningen till 24 kap. 2 a §, som rör förande av och uttag ur register för forskning om vad arv och miljö betyder för människors hälsa, har tagits bort.

Bestämmelsen behandlas i avsnitt 8.9.5.

27 § Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretess- belagd uppgift lämnas till en myndighet, om det är uppenbart att intres- set av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 1 och 8 §§,

25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.

Paragrafen innehåller en så kallad generalklausul. Enligt general- klausulen i paragrafens första stycke hindrar sekretess inte att en sekretessbelagd uppgift lämnas till en myndighet, om det är uppen- bart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Andra stycket har ändrats så att bestämmelsen om forsknings- sekretess i 24 kap. 1 § undantas från generalklausulens tillämpnings- område.

Bestämmelsen behandlas i avsnitt 8.9.5.

453

Författningskommentar

SOU 2018:36

24kap. Forskningssekretess

1 § Sekretess gäller hos en forskningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att upp- gifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

I paragrafen införs en bestämmelse om generell forskningssekretess med ett omvänt skaderekvisit. Denna ersätter bestämmelsen om sekretess för psykologiska undersökningar, som i stället omfattas av den nya bestämmelsen.

Första stycket har ändrats så att sekretess ska gälla hos en forsk- ningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Andra stycket kvarstår. I detta stycke anges att sekretessen gäller i högst sjuttio år för uppgift i allmän handling.

Bestämmelsen behandlas i avsnitt 8.9.5.

Nationellt biobanksregister

2 § Sekretess gäller i verksamhet som avser uppgifter i ett nationellt biobanksregister enligt biobankslagen (2018:000) för uppgift om en enskild som har tillförts registret om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Paragrafen gällde tidigare rättspsykiatriskt forskningsregister och enligt förslaget i stället nationellt biobanksregister. Paragrafen har ändrats på så sätt att det anges att sekretess gäller i verksamhet som avser uppgifter i ett nationellt biobanksregister enligt den föreslagna biobankslagen för uppgift om en enskild som har tillförts registret om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

Bestämmelsen ersätter den nuvarande bestämmelsen i paragrafen om sekretess i verksamhet som avser förande av eller uttag ur

454

SOU 2018:36

Författningskommentar

Bestämmelsen behandlas i avsnitt 10.4.2.

9 § Den tystnadsplikt som följer av 1 och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

Paragrafen gäller tystnadsplikt. Det anges i vilka fall den tystnads- plikt som följer av sekretessbestämmelser i kapitlet inskränker rätten att meddela och offentliggöra uppgifter som följer av bestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Paragrafen har ändrats på så sätt att även den tystnadsplikt som följer av forskningssekretessen enligt 1 § inskränker rätten att med- dela och offentliggöra uppgifter.

Paragrafen hänvisar i andra stycket till 24 kap. 2 §. Genom våra förslag till ändringar av den bestämmelsen kommer inskränkningen av meddelarfriheten också att omfatta sekretess i verksamhet som avser uppgifter ett nationellt biobanksregister enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Ändringen behandlas i avsnitt 8.9.5 och i 10.4.2 behandlas kon- sekvensen av att paragrafen kommer att omfatta sekretess i natio- nella biobanksregistret.

14.4Förslaget till förordning om ändring av förordning (2009:975) med instruktion för Vetenskapsrådet

2 §

Vetenskapsrådet ska också

1.genomföra forskningspolitiska analyser och ge regeringen råd i forskningspolitiska frågor,

2.initiera och stödja strategiska satsningar inom forskning och forskningsinfrastruktur,

455

Författningskommentar

SOU 2018:36

3.planera tillgången till forskningsinfrastruktur långsiktigt i sam- verkan med andra forskningsfinansiärer och forskningsutförare,

4.fördela medel till nationell forskningsinfrastruktur och interna- tionella åtaganden,

5.följa upp Sveriges medlemskap i svenska, europeiska och inter- nationella organisationer och infrastrukturer när det gäller kostnader i förhållande till deltagande,

7.medverka i och främja det svenska deltagandet i Europeiska unionens verksamhet inom forskning och teknisk utveckling,

8.företräda Sverige i de EU-organisationer och internationella organisationer som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,

9.ansvara övergripande för samordning av kommunikation om forskning och forskningsresultat,

10.ansvara för kommunikation om forskning och forskningsresultat inom sina områden,

11.utveckla samarbeten med de länder som Sverige har ingått avtal med inom forskningsområdet i de fall som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,

12.integrera ett jämställdhetsperspektiv i myndighetens verksamhet och främja jämställdhet vid fördelning av forskningsmedel,

13.verka för att ett köns- och genusperspektiv inkluderas i den forskning som myndigheten finansierar, när det är tillämpligt,

14.ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor,

15.stödja och ge råd till Svenska Unescorådet inom ramen för Unescos vetenskapliga arbete,

16.initiera och stödja satsningar på konstnärlig forskning,

17.stödja och utveckla förutsättningarna för kliniska studier i Sverige,

18.förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register,

456

SOU 2018:36

Författningskommentar

18 a. utvärdera och följa upp forskningsdatabaser enligt lagen (2019:000) om forskningsdatabaser avseende kvalitet, säkerhet och ändamålsenlighet.

19.ansvara för kommunikationssystemet Swedish University Computer Network (SUNET),

21.svara för utbildning av ledamöter och ersättare i Centrala etikprövningsnämnden och de regionala etikprövningsnämnderna.

22.initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder enligt art. 40 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning).

Paragrafen gäller Vetenskapsrådets uppgifter. Punkterna 18 a och 22 är nya och innebär en utökning av Vetenskapsrådets uppgifter. I punkten 18 a anges att Vetenskapsrådet ska utvärdera och följa upp forskningsdatabaser enligt lagen (2019:000) om forskningsdatabaser avseende kvalitet, säkerhet och ändamålsenlighet.

I punkten 22 anges att Vetenskapsrådet ska initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppföran- dekoder enligt art. 40 i dataskyddsförordningen.

Bestämmelserna behandlas i avsnitten 8.10.7 och 8.11.7. Se även kommentaren till 6 kap. 2 lagen om forskningsdatabaser.

14.5Förslaget till förordning om ändring

i förordningen (2003:615) om etikprövning av forskning som avser människor

8 § Etikprövningsmyndigheten bör vid etikprövning av annan forskning än klinisk läkemedelsprövning besluta inom 60 dagar. Vid etikprövning av en forskningsdatabas bör myndigheten besluta inom 120 dagar. Vid ändring enligt 4 § bör myndigheten besluta inom 35 dagar.

457

Bilaga 1

Kommittédirektiv 2016:65

Personuppgiftsbehandling för forskningsändamål

Beslut vid regeringssammanträde den 7 juli 2016

Sammanfattning

Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå an- passningar och kompletterande författningsbestämmelser på gene- rell svensk nivå. En särskild utredare får nu i uppdrag att föreslå en kompletterande reglering av behandling av personuppgifter för forsk- ningsändamål. Syftet är att regleringen ska möjliggöra en ändamåls- enlig behandling av personuppgifter för forskningsändamål sam- tidigt som den skyddar den enskildes fri- och rättigheter.

Utredaren ska bl.a.

•analysera vilken reglering av personuppgiftsbehandling för forsk- ningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå,

•analysera vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras,

•i ett första skede analysera vilka anpassningar som behöver göras av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister inför att dataskyddsför- ordningen ska börja tillämpas och i ett andra skede föreslå lång- siktiga regleringar av forskningsdatabaser, och

459

Bilaga 1

SOU 2018:36

•lämna de författningsförslag som behövs.

Uppdragen i de två första punkterna och uppdraget att analysera vilka anpassningar som behöver göras av de i tredje punkten nämnda lagarna inför att dataskyddsförordningen ska börja tillämpas och förslag till behövliga författningsförslag i dessa delar ska delredo- visas senast den 1 juni 2017. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.

Nuvarande regleringar av betydelse för behandling av personuppgifter för forskningsändamål

EU:s dataskyddsdirektiv och personuppgiftslagen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestäm- melserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

PUL följer i princip dataskyddsdirektivets struktur och inne- håller i likhet med direktivet bestämmelser om bl.a. personuppgifts- ansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Ett av de grundläggande kraven för behandling av personuppgifter är enligt 10 § d PUL att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En viktig princip som framgår av andra stycket i denna paragraf är emellertid att behandling av personuppgifter för historiska, statis- tiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in.

460

SOU 2018:36

Bilaga 1

PUL är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning.

Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling

Enligt regeringsformen (RF) är var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.

Etikprövningslagen och dess förhållande till personuppgiftslagen

För forskning som utförs i Sverige och som avser människor krävs normalt etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen inne- håller bestämmelser om etikprövning av forskning som avser män- niskor och biologiskt material från människor och om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda männi- skan och respekten för människovärdet vid forskning (1 §). Etik- prövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan- den enligt 21 § PUL (3 §). Lagen ska därutöver tillämpas bl.a. på forskning som avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa och forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medi- cinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Den forskning som lagen omfattar får utföras bara om den har godkänts vid en etikprövning. Forskning får godkännas bara om de risker som den kan medföra för försökspersonernas

461

Bilaga 1

SOU 2018:36

hälsa, säkerhet och personliga integritet uppvägs av dess vetenskap- liga värde (9 §). Forskningen får innefatta behandling av sådana per- sonuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

I samband med att etikprövningslagen trädde i kraft 1 januari 2004 anpassades regleringen av behandling av känsliga personuppgifter för forskningsändamål i PUL till regleringen i etikprövningslagen. Enligt 19 § PUL får känsliga personuppgifter, t.ex. uppgifter som rör hälsa, behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. Detsamma gäller enligt 21 § uppgifter om lagöverträdelser och liknande uppgifter. En behandling av person- uppgifter som inte omfattas av nämnda bestämmelser kräver således inte något godkännande enligt etikprövningslagen, men bestäm- melserna i PUL gäller för behandlingen.

EU:s dataskyddsförordning

Europaparlamentet och rådet har under våren 2016 antagit en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen, nedan kallad dataskydds- förordningen, ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig i med- lemsstaterna. Den både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den person- uppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.

Dataskyddsförordningen kommer att utgöra grunden för gene- rell personuppgiftsbehandling inom EU. Genom förordningen

462

SOU 2018:36

Bilaga 1

upphävs det nu gällande dataskyddsdirektivet med verkan från den 25 maj 2018, vilket innebär bl.a. att PUL måste upphävas.

En särskild utredare fick den 25 februari 2016 regeringens (Justitie- departementets) uppdrag att bl.a. föreslå de anpassningar och kom- pletterande författningsbestämmelser på generell svensk nivå som dataskyddsförordningen ger anledning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella person- uppgiftsregleringen (dir. 2016:15). Utredningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utred- ningens uppdrag att analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkiv- myndighet som behövs i den generella regleringen samt analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektors- specifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.

Uppdraget att undersöka vilken nationell kompletterande reglering av behandling av personuppgifter för forskningsändamål som kan behövas

Vissa bestämmelser i dataskyddsförordningen berör särskilt förut- sättningarna för att behandla personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål. Artikel 5 med principer för behandling av personuppgifter, artikel 6 om när behandling av per- sonuppgifter är laglig, artikel 9 med reglering av behandling av särskilda kategorier av personuppgifter, artikel 12–20 om den regi- strerades rättigheter och artikel 89 med särskilda bestämmelser för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål är särskilt viktiga.

463

Bilaga 1

SOU 2018:36

Med behandling av personuppgifter för forskningsändamål avses nedan behandling av personuppgifter för vetenskapliga eller histo- riska forskningsändamål, vilka är de begrepp som används i data- skyddsförordningen.

Vilken särskild rättslig reglering behövs för personuppgiftsbehandling för forskningsändamål?

När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter för forskningsändamål huvud- sakligen att vara antingen att den registrerade har lämnat sitt sam- tycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål enligt artikel 6.1(a) eller att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1(e).

När det gäller samtycke kan det behöva analyseras vilka slutsatser som bör dras av det som anges i beaktandesats 43 i dataskydds- förordningen. Där anges att för att säkerställa att ett samtycke lämnas frivilligt bör det inte utgöra giltig rättslig grund för behand- ling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Artikel 6.2 ger medlemsländerna rätt att i nationell rätt behålla eller införa specifika bestämmelser för att anpassa tillämpningen av bestämmelserna för att efterleva bl.a. artikel 6.1(e), dvs. den bestäm- melse som anger att personuppgifter får behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Medlemsländerna får närmare fastställa specifika krav för uppgifts- behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, bl.a. för behandling av personuppgifter för forsk- ningsändamål.

Enligt artikel 6.3 ska grunden för den behandling av personupp- gifter som avses i bl.a. artikel 6.1 (e) fastställas i unionsrätten eller en medlemsstats nationella rätt. Denna rättsliga grund kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestäm- melserna i dataskyddsförordningen, bland annat de allmänna villkor

464

SOU 2018:36

Bilaga 1

som ska gälla för den personuppgiftsansvariges behandling av upp- gifter, vilken typ av uppgifter som ska behandlas, berörda registre- rade, till vilka uppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer vid behandling enligt kapitel IX (bl.a. forsk- ningsändamål). Den nationella lagstiftningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I dag sker behandling av personuppgifter för forskningsändamål med stöd av bestämmelser i PUL. När personuppgifter behandlas för forskningsändamål sker det normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d i PUL. Denna paragraf i PUL motsvaras av artikel 6.1(e) i dataskyddsförordningen. Artikel 6.3 anger att grun- den för behandling av personuppgifter enligt bl.a. 6.1(e) ska fast- ställs i unionsrätten eller en medlemsstats nationella rätt. Data- skyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och lämna behövliga och lämpliga författningsförslag. När det gäller behandling av person- uppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå för att säkerställa att behandling av personuppgifter för forsknings- ändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.

Utredaren ska därför

•undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att före- slå, och

•lämna de författningsförslag som behövs.

465

Bilaga 1

SOU 2018:36

Vilket behov av skyddsåtgärder finns vid personbehandling för forskningsändamål?

I och med att dataskyddsförordningen träder i kraft kommer ett krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter att gälla enligt artikel 89.1. Skyddsåtgärderna ska garan- tera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, dvs. behandling av person- uppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande upp- gifter används, under förutsättning att ändamålen med behandlingen kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Det krävs därför en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.

Det finns anledning att i detta sammanhang överväga om etik- prövning av forskning liksom i dag enbart ska tillämpas på forskning som innefattar behandling av sådana personuppgifter som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av person- uppgifter för forskningsändamål. Om etikprövning även fortsätt- ningsvis ska göras enbart när forskningen innefattar sådana person- uppgifter som omfattas av ett särskilda skyddsregler i förhållande till andra personuppgifter i dataskyddsregleringen, behöver det över- vägas om andra lämpliga skyddsåtgärder ska tillämpas när det är fråga om behandling av andra personuppgifter för forskningsändamål. Utredarens ställningstagande i dessa frågor kan medföra behov av ändringar i etikprövningslagen. Ett alternativ är att reglera frågorna i en annan författning som kompletterar bestämmelserna i data- skyddsförordningen och den nationella reglering på nationell nivå som Dataskyddsutredningen ska föreslå.

466

SOU 2018:36

Bilaga 1

Det behöver också analyseras vilka andra ändringar som behöver göras i etikprövningslagen med anledning av dataskyddsförordning- en och den generella reglering som Dataskyddsutredningen kommer att föreslå.

Utredaren ska därför

•lämna förslag på sådana lämpliga skyddsåtgärder för den registre- rades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av,

•överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forsk- ningsändamål av sådana personuppgifter som inte omfattas av etikprövningslagen,

•se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den gene- rella reglering Dataskyddsutredningen ska föreslå, och

•lämna behövliga författningsförslag.

Närmare om känsliga personuppgifter och uppgifter om lagöverträdelser

Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används begreppet känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Förbudet är förenat med en rad viktiga undan- tag som fastställs i artikel 9.2–9.5. Enligt artikel 9.2 (j) i dataskydds- förordningen gäller inte förbudet mot behandling av dessa särskilda kategorier av personuppgifter om behandlingen är nödvändig för arkivändamål av allmänt intresse eller för vetenskapliga och histo- riska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 på grundval av unionslagstiftning eller en medlemsstats

467

Bilaga 1

SOU 2018:36

lagstiftning. Denna lagstiftning ska stå i proportion till det efter- strävade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen.

Som nämnts tidigare finns det i PUL vissa undantagsbestämmel- ser från förbudet mot att behandla känsliga personuppgifter. Enligt 13 § PUL får känsliga personuppgifter behandlas om den registre- rade har lämnat sitt samtycke och enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för forskningsändamål om be- handlingen godkänts enligt etikprövningslagen. I direktiven för Dataskyddsutredningen konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstift- ning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i PUL. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.

Även behandling av personuppgifter om lagöverträdelser och liknande uppgifter, som idag regleras i 21 § PUL, kommer enligt art. 10 i dataskyddsförordningen att vara föremål för särskilda be- gränsningar. Enligt den artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Dataskyddsutredningen har i uppdrag att anlysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.

Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och lik- nande uppgifter för forskningsändamål och vilka bestämmelser om

468

SOU 2018:36

Bilaga 1

lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör inne- hålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etik- prövning eller organisatoriska eller tekniska åtgärder såsom pseudo- nymisering eller användning av kodnycklar.

Utredaren ska därför

•analysera om det, utöver den generella reglering som Dataskydds- utredningen kommer att föreslå och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och upp- gifter om lagöverträdelser och liknande uppgifter för forsknings- ändamål och vilka bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla, och

•lämna de författningsförslag som behövs.

Bör det göras undantag från huvudreglerna om den registrerades rättigheter för personuppgiftsbehandling för forskningsändamål?

Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i dataskyddsförordningen i unionslagstiftningen eller medlemsstater- nas lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för att sådana lämpliga skyddsåtgärder tillämpas som behandling av personupp- gifter för dessa ändamål ska omfattas av enligt första punkten i artikeln. De nämnda artiklarna handlar om den registrerades rätt till tillgång till uppgift om personuppgifter som rör honom eller henne och som behandlas, rätt till rättelse av personuppgifter, rätt till be- gränsning av behandling av personuppgifter och rätt att göra invänd- ning mot behandling av personuppgifter. Undantag får bara göras i den utsträckning det är sannolikt att de aktuella rättigheterna skulle göra det omöjligt eller mycket svårare att uppfylla de särskilda ända- målen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

I direktiven till Dataskyddsutredningen konstateras att behovet av undantag med stöd av artikel 89.2 (vilken i ett utkast till data- skyddsförordningen och i direktiven till Dataskyddsutredningen

469

Bilaga 1

SOU 2018:36

numrerades 83.2) i stor utsträckning aktualiseras i sektorsspecifik lagstiftning. Samtidigt framhålls att en ändamålsenlig behandling av personuppgifter för bl.a. vetenskapliga och historiska forsknings- ändamål behöver garanteras, samtidigt som skyddet för den regi- strerades fri- och rättigheter beaktas. Utgångspunkten bör enligt direktiven vara att vissa grundläggande bestämmelser, liknande de som finns i personuppgiftslagen, behöver tas in i den generella regle- ringen som ska komplettera dataskyddsförordningen. Dataskydds- utredningen ska därför analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för bl.a. vetenskap- liga eller historiska forskningsändamål som bör finnas i den generella regleringen och lämna lämpliga författningsförslag.

Det är av stor vikt att bestämmelserna som reglerar behandling av personuppgifter för vetenskapliga eller historiska forskningsända- mål ger goda förutsättningar för behandling av personuppgifter för dessa ändamål, samtidigt som behovet av skydd för den registrerades fri- och rättigheter beaktas för att upprätthålla förtroendet för integritetsskyddet i samband med forskning bland dem som ställer upp och deltar i forskningsprojekt. Det behöver mot denna bak- grund analyseras om det utöver den generella reglering på nationell nivå som Dataskyddsutredningen ska föreslå finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som regle- rar den registrerades rättigheter vid behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål och hur sådana undantag i så fall bör utformas.

Utredaren ska därför

•analysera om det utöver den generella reglering som Dataskydds- utredningen ska föreslå finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas, och

•lämna de författningsförslag som behövs.

470

SOU 2018:36

Bilaga 1

Uppdraget att föreslå regleringar för forskningsdatabaser

Det behövs bättre förutsättningar för registerbaserad forskning

En särskild utredare fick i januari 2013 i uppdrag att undersöka för- utsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Vid utformningen av förslagen skulle utredaren göra en avvägning mellan forskningens behov av till- gång till uppgifter och den enskildes rätt till personlig integritet. Utred- ningen tog sig namnet Registerforskningsutredningen (U 2013:01).

I betänkandet Unik kunskap genom registerforskning (SOU 2014:45) konstaterar utredaren att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Bland dessa kan nämnas lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa. Dessutom finns det inom vissa myndigheter, t.ex. Institutet för arbetsmark- nads- och utbildningspolitisk utvärdering och Statistiska Central- byrån, några databaser som helt eller delvis används för forskning. Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige.

I betänkandet lämnade utredaren ett förslag till lag om forsk- ningsdatabaser. Lagen ska ge stöd för statliga universitet eller hög- skolor som omfattas av högskolelagen (1992:1434) och andra stat- liga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Med forsk- ningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser och för varje databas ska det finnas en särskild förordning som reglerar t.ex. ändamål och innehåll. Utredningens betänkande har remitterats.

Lagen om vissa register för forskning om vad arv och miljö bety- der för människors hälsa tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder

471

Bilaga 1

SOU 2018:36

för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i av- vaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutred- ningen. Efter förlängning gäller lagen till och med den 31 december 2017. I och med att ny lagreglering med anledning av förevarande utredningsarbete inte kommer att kunna vara på plats till nämnda datum har regeringen för avsikt att lämna förslag om ytterligare förlängning av lagens giltighetstid.

En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av om förslaget till lag om forskningsdatabaser är förenligt med dataskyddsförordningen och vilka anpassningar av förslaget som kan krävas till förordningen och den generella reglering som Dataskyddsutredningen ska föreslå.

När det gäller registerforskning är beaktandesats 33 i dataskydds- förordningen av intresse. I denna beaktandesats, som infördes med svenskt stöd, konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för veten- skapliga forskningsändamål i samband med insamlingen av uppgifter. Den registrerade bör därför kunna ge sitt samtycke till vissa områ- den för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas, behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Data- skyddsutredningen kommer att föreslå, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till dess att dataskyddsförordningen ska börja tillämpas.

472

SOU 2018:36

Bilaga 1

Utredaren ska därför

•föreslå behövliga anpassningar i lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen ska börja tillämpas, och

•föreslå långsiktiga regleringar av forskningsdatabaser.

Lagen om rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utveck- lingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en upp- räkning av vilka uppgifter om personerna som får registreras.

Endast RMV får ha direktåtkomst till uppgifter i det rättspsykia- triska forskningsregistret. Socialstyrelsen, Kriminalvården respek- tive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rätts- psykiatriska forskningsregistret (24 kap. 2 §). I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av person- uppgifter, m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.

I den proposition som ligger till grund för lagen om rättspsykia- triskt forskningsregister uttalade regeringen att behovet av forsk-

473

Bilaga 1

SOU 2018:36

nings- och utvecklingsarbete inom rättspsykiatrin är stort. Reger- ingen konstaterade att det behövs ökade kunskaper om bl.a. effek- terna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är outforskade och kräver grundläggande forsk- ning (prop. 1998/99:72 s. 26 f.).

För att genomföra sådan angelägen forskning på området krävs tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt innehåller rättspsykiatriskt forsknings- register uppgifter av mycket integritetskänslig natur och forsk- ningsbehoven måste hela tiden vägas mot respekten för den enskil- des personliga integritet. En utgångspunkt måste vara att endast de uppgifter som är nödvändiga bör få förekomma i ett sådant register och att de endast bör få användas i ett sammanhang som har ett verkligt samhällsintresse.

Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna måste en sådan reglering som det bedöms finnas behov av också vara anpassad till dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå. Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella regle- ring Dataskyddsutredningen kommer att föreslå, som behöver göras av lagen om rättspsykiatriskt forskningsregister till dess att data- skyddsförordningen ska börja tillämpas.

Utredaren ska därför

•undersöka hur lagen om rättspsykiatriskt forskningsregister an- vänds i dag,

•föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas,

•analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och

•lämna behövliga författningsförslag.

474

SOU 2018:36

Bilaga 1

En lag om Nationella biobanksregistret

Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (bio- bankslagen) trädde i kraft 2003. Lagen tillkom för att, med respekt för den enskilda människans integritet, reglera hanteringen av human- biologiskt material som tagits från framförallt patienter inom hälso- och sjukvården. Socialstyrelsen har påpekat att biobankslagen är svår att tillämpa och att lagen har lett till ökad administration i den kliniska hälso- och sjukvården. Regeringen har beslutat att bio- bankslagen ska bli föremål för en genomgripande översyn. Utred- ningen En ändamålsenlig reglering för biobanker (S 2016:04) har bl.a. i uppdrag att se över biobankslagen och andra angränsande för- fattningar som har betydelse på området. Syftet med utredningen är att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov.

Enligt biobankslagen är en biobank biologiskt material (s.k. vävnadsprover) från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör. De person- uppgifter som är kopplade till vävnadsproverna i en biobank ingår inte i begreppet biobank och omfattas som huvudregel inte av lagen. Regleringen i denna del finns främst i PUL och i patientdatalagen (2008:355).

Svenska biobanksregistret är landstingens gemensamma register över sparade vävnadsprover tagna inom vården. Registret som sedan 2009 förvaltas av ett landstingsägt bolag är fortfarande i en upp- byggnadsfas. Syftet med registret är att underlätta administration såsom hantering av provgivares samtycken och spårbarhet av prover. För att skapa ett nationellt register som kan nyttjas för de tänkta syftena krävs särskild rättslig reglering.

I Registerforskningsutredningens betänkande föreslogs att Social- styrelsen ska vara personuppgiftsansvarig för Svenska biobanks- registret och att det ska regleras i en särskild lag, lagen om Nationella biobanksregistret. Lagförslaget innehåller bl.a. bestämmelser om förhållandet till PUL, den registrerades inställning till person- uppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den

475

Bilaga 1

SOU 2018:36

registrerade. Enligt förslaget ska det vara frivilligt för vårdgivare att lämna uppgifter till registret, men ett krav på registrering bör införas på sikt. Vidare föreslog utredaren att det bör finnas en möjlighet för andra huvudmän än vårdgivare att registrera sina uppgifter i det nationella registret.

Utredningen bedömde dock att frågan om hur ett krav på upp- giftslämnande för vårdgivare och frågan om de närmare förutsätt- ningarna för att andra biobanker ska kunna registrera uppgifter i registret behöver utredas närmare. Dessa frågor ingår i uppdraget för utredningen En ändamålsenlig reglering för biobanker (S 2016:04).

En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i med- lemsstaterna krävs också en analys av vilka anpassningar av förslaget som kan krävas till dataskyddsförordningen och den kompletterande generella reglering som Dataskyddsutredningen ska föreslå.

Utredaren ska därför

•lämna förslag till en reglering av Nationella biobanksregistret.

Uppdraget att analysera om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning

Etikprövningslagen blir i vissa fall tillämplig när forskningen rör avlidna personer. Lagen är bl.a. tillämplig på forskning som innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Då uppgifter om avlidna personer behandlas för forskningsändamål kan forsk- ningen i vissa fall behöva prövas enligt etikprövningslagen. Enligt 3 § PUL avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt PUL. Om sådana uppgifter direkt eller indirekt kan hänföras till levande personer är dock PUL tillämplig. Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer.

476

SOU 2018:36

Bilaga 1

I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna, exempelvis patientdatalagen (2008:355) och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I den tidigare nämnda rapporten från RMV anser myndigheten att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Det kan därför vara lämpligt att närmare undersöka om vissa uppgifter om avlidna behöver ett särskilt skydd när uppgifterna behandlas inom ramen för forensisk forskning.

Utredaren ska

•kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,

•analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och

•vid behov föreslå de författningsändringar som behövs.

Uppdraget att se över förfarandereglerna i etikprövningslagen

I Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45) föreslogs en möjlighet till enklare förfarande vid etikprövning när det gäller forskning som endast inne- fattar behandling av personuppgifter som hämtats från myndig- hetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. Dessa skulle enligt förslaget kunna behandlas betydligt enklare eftersom risken för intrång i den enskildes integritet vid denna typ av person- uppgiftsbehandling är liten. Det föreslogs att sådana ärendena skulle kunna avgöras av ordföranden ensam utan att behandlas av hela avdelningen. En variant av förslaget skulle kunna vara att ord- föranden skulle kunna avgöra sådana ärendena med s.k. pseudo- nymiserade personuppgifter i samråd med vetenskaplig ledamot.

Som tidigare nämnts ska utredaren överväga om etikprövning av forskning bör utvidgas till att gälla all forskning som innefattar be- handling av personuppgifter. Om utredaren föreslår en utvidgning av etikprövningslagen ska det också beaktas att en sådan utvidgning ökar antalet ärenden hos etikprövningsnämnderna. Det behöver då övervägas hur ärendehanteringen kan ske på ett effektivt sätt och om

477

Bilaga 1

SOU 2018:36

samma krav på prövningen behöver gälla i alla ärenden. I samband med ställningstagande till frågan om utökning av kravet på etik- prövning behöver det därför också analyseras om ändringar behöver göras i bestämmelserna i etikprövningslagen som reglerar handlägg- ningen av ärendena.

Utredaren ska därför

•analysera vilka anpassningar som kan behöva göras i de bestäm- melser i etikprövningslagen som reglerar handläggningen av ären- dena,

•överväga om det bör införas ett enklare förfarande vid etikpröv- ning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och

•lämna de författningsförslag som behövs.

Konsekvensbeskrivningar

Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer av 14–15 a §§ kommittéförord- ningen (1998:1474) ska utredaren redovisa förslagens konsekvenser för den personliga integriteten.

Genomförandet av uppdraget

Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till data- skyddsförordningen. Utredaren ska därför hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, främst Dataskyddsutredningen (Ju 2016:04) och Utredningen om person- uppgiftsbehandling inom utbildningsområdet (U 2016:03).

Utredaren ska vidare hålla sig informerad om utredningen En ändamålsenlig reglering för biobanker (S 2016:04), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och Utred- ningen om en översyn av regelverken för forskningsetik och gräns- området mellan klinisk forskning och hälso- och sjukvård (U 2016:45).

478

Bilaga 2

Kommittédirektiv 2017:29

Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)

Beslut vid regeringssammanträde den 16 mars 2017

Utvidgning av och förlängd tid för uppdraget

Regeringen beslutade den 7 juli 2016 kommittédirektiv om uppdrag att bl.a. analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den gene- rella reglering som Dataskyddsutredningen kommer att föreslå med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).

Utredaren får nu dessutom i uppdrag att

•analysera vilka rättsliga förutsättningar som finns i dataskydds- förordningen för behandling av personuppgifter i Kungl. biblio- tekets verksamhet, och

•analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kom- mer att lämnas av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och

•lämna de författningsförslag som behövs.

Uppdraget ska i den del som avser behandling av personuppgifter i Kungl. bibliotekets verksamhet redovisas i en promemoria senast den 13 oktober 2017. Uppdraget i den del som ska redovisas senast

481

Bilaga 2

SOU 2018:36

den 8 december 2017 förlängs och ska i stället redovisas senast den 27 april 2018.

Rättsliga förutsättningar för Kungl. bibliotekets behandling av personuppgifter

Kungl. biblioteket är nationalbibliotek och arkiv för ljud och bild- dokument och rörliga bilder. Myndigheten ska enligt förordningen (2008:1421) med instruktion för Kungl. biblioteket bl.a. förvara, beskriva och tillhandahålla den svenska tryckproduktionen i dess helhet och dokument för elektronisk återgivning enligt 10 § första stycket i lagen (1993:1392) om pliktexemplar av dokument. I den lagen finns bestämmelser om skyldighet att lämna exemplar av dokument (pliktexemplar) till Kungl. biblioteket och vissa univer- sitetsbibliotek. Med dokument för elektronisk återgivning avses enligt lagen dokument som i fixerad form lagrar text, ljud eller bild och vars innehåll kan återges enbart med hjälp av elektroniskt hjälp- medel. I förordningen (2008:1420) om pliktexemplar av dokument finns närmare bestämmelser om bevarande och tillhandahållande av dokumenten och där framgår att dokumenten ska bevaras för fram- tiden.

Kungl. biblioteket ska även fullgöra de uppgifter som följer av lagen (2012:492) om pliktexemplar av elektroniskt material och för- ordningen (2012:866) om pliktexemplar av elektroniskt material. I lagen ges föreskrifter om skyldighet att lämna exemplar av elektro- niskt material som har gjorts tillgängligt för allmänheten här i landet genom överföring via nätverk (pliktexemplar) till Kungl. biblioteket. Med elektroniskt material förstås enligt lagen en avgränsad enhet av en elektronisk upptagning med text, ljud eller bild som har ett på förhand bestämt innehåll som är avsett att presenteras vid varje användning. Av förordningen med kompletterande bestämmelser till lagen framgår att det elektroniska materialet ska bevaras för framtiden. Biblioteket ska inom sitt verksamhetsområde vara en resurs för forskning i rollen som främst humanistiskt och samhälls- vetenskapligt forskningsbibliotek och främja den svenska forsk- ningens kvalitet genom att tillhandahålla en effektiv forsknings- infrastruktur.

Det material som Kungl. bibilioteket har i uppgift att hantera innehåller en stor mängd personuppgifter. Myndigheten stöder i dag

482

SOU 2018:36

Bilaga 2

till stor del sin behandling av personuppgifter på undantaget för behandling av personuppgifter i ostrukturerat material enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen (1998:204), för- kortad PUL. Genom PUL har Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet) genomförts i svensk rätt. Under våren 2016 beslutades inom EU en ny förordning, Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nya dataskyddsförordningen börjar gälla den 25 maj 2018 och kommer då att vara direkt tillämplig i medlemsstaterna. Genom förordningen upphävs dataskyddsdirektivet, vilket bl.a. innebär att PUL kommer att upphävas. Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. I många fall är dessutom de personuppgifter som finns i bibliotekets samlingar av sådan art att de omfattas av artikel 9 i dataskyddsförordningen, dvs. det är fråga om känsliga personuppgifter där särskilda förutsätt- ningar gäller enligt dataskyddsförordningen för att det ska vara lagligt att behandla uppgifterna. Kungl. bibliotekets verksamhet är av stort allmänt intresse och det är av vikt att en ändamålsenlig personuppgiftsbehandling kan ske i verksamheten även fortsätt- ningsvis när dataskyddsförordningen börjar gälla samtidigt som den enskildes fri- och rättigheter skyddas.

Kungl. biblioteket har även en uppgift att med hjälp av automa- tiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i form av det svenska material som publiceras på internet. Detta regleras i förordningen (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt. Enligt 3 § i förordningen gäller PUL vid behandling av person- uppgifter i projektet om inte något annat följer av förordningen eller annars av 2 § PUL. Bestämmelserna om rättelse och skadestånd i PUL gäller vid behandling av personuppgifter enligt förordningen. Enligt förordningen får personuppgifter behandlas i projektet för att tillgodose behovet av forskning och information (5 §). Sådana käns- liga personuppgifter som anges i 13 § PUL får behandlas i projektet bara om det är nödvändigt för att tillgodose ändamålen som anges i

483

Bilaga 3

Kommittédirektiv 2017:61

Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)

Beslut vid regeringssammanträde den 1 juni 2017

Utvidgning av uppdraget

Regeringen beslutade den 7 juli 2016 att ge en särskild utredare i uppdrag att bl.a. föreslå den kompletterande reglering av behandling av personuppgifter för forskningsändamål som behövs utöver den generella reglering som Dataskyddsutredningen har föreslagit med anledning av EU:s nya dataskyddsförordning (dir. 2016:65). I tilläggsdirektiv den 16 mars 2017 fick utredaren därutöver i upp- drag att analysera vilka rättsliga förutsättningar som finns i data- skyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet och föreslå den reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av Dataskyddsutredningens förslag. Tiden för redovisning av upp- draget förlängdes också (dir. 2017:29).

Utredaren får nu dessutom i uppdrag att bl.a.

•analysera vilken rättslig reglering som behövs och är lämplig för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar Luxembourg Income Study för att uppgifterna ska ingå i databasen, och

•lämna nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 27 april 2018.

485

Bilaga 3

SOU 2018:36

Rättsliga förutsättningar för att lämna ut uppgifter till Luxembourg Income Study

Internationella organisationer som FN och EU har satt upp mål för att minska inkomstskillnaderna. FN:s Agenda 2030 för hållbar utveckling har bl.a. som mål att utrota fattigdomen och minska inkomstspridningen inom och mellan länder. EU har ett mål om att antalet människor inom EU som lever eller riskerar att leva i fattig- dom och social utestängning ska ha minskat med minst 20 miljoner till 2020.

Svenska forskare har sedan länge bidragit till den internationella forskningen om befolkningens inkomstskillnader, fattigdom och hur skatte- och socialförsäkringssystemen påverkar befolkningens disponibla inkomster. Bidragande till detta har varit den goda tillgången på registerdata av hög kvalitet som finns att tillgå hos SCB. Forskningen har även underlättats av ett internationellt sam- arbete kring en databas benämnd Luxembourg Income Study (LIS) som administreras av en forskningsorganisation i Luxemburg, LIS Cross-National Data Center asbl. LIS är en databas med uppgifter om individers inkomster, skatter, socialförsäkringar och bidrag i 47 länder. Statistiska centralbyrån (SCB) levererade uppgifter till databasen från det att den skapades 1983 fram till 2007. SCB har därefter bedömt att det saknas rättsliga förutsättningar för myndig- heten att leverera uppgifter.

Riksrevisionen har som en del av sin effektivitetsgranskning granskat förutsättningarna för att lämna ut data till LIS och lämnade i oktober 2016 granskningsrapporten Internationella jämförelser av inkomstskillnader – Sveriges möjligheter att bidra med statistik (RIR 2016:24). Riksrevisionen konstaterade i sin rapport att de uppgifter som LIS har behov av torde omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), och att för att möjliggöra ett utlämnande av uppgifterna krävs det en författ- ningsreglerad skyldighet för SCB att lämna ut dem till LIS. Riks- revisionen rekommenderade att regeringen, utifrån en avvägning mellan databasens nytta för forskningen och den enskildes behov av integritet, tar ställning till om uppgifterna ska lämnas ut till LIS.

LIS har stor betydelse för forskning på området och det är av vikt att uppgifter från svenska myndigheter kan ingå i databasen. Det krävs en sekretessbrytande bestämmelse för att SCB ska kunna

486

Bilaga 4

Kommittédirektiv 2017:87

Tilläggsdirektiv till Forskningsdatautredningen (2016:04)

Beslut vid regeringssammanträde den 20 juli 2017

Utvidgning av och förlängd tid för uppdraget

Regeringen beslutade den 7 juli 2016 kommittédirektiv om uppdrag att bl.a. föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål i syfte att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter (dir. 2016:65). I tilläggsdirektiv den 16 mars 2017 lämnades även uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskydds- förordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet och föreslå viss reglering. Tiden för redovisning av uppdraget förlängdes också (dir. 2017:29). I tilläggsdirektiv den 1 juni 2017 fick utredaren ytterligare ett uppdrag (dir. 2017:61).

Utredaren får nu dessutom i uppdrag att bl.a. analysera och före- slå vilken reglering som är möjlig och kan behövas utöver data- skyddsförordningen, med beaktande av de förslag som lämnats i betänkandet SOU 2017:39, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i forskningsbibliotekens verk- samhet samtidigt som den enskildes fri- och rättigheter skyddas. Uppdraget ska redovisas tillsammans med uppdraget om person- uppgifter i Kungl. Bibliotekets verksamhet. Utredningstiden i den delen förlängs och båda deluppdragen ska redovisas senast den 6 november 2017. Utredningstiden för uppdraget i övrigt förlängs också och ska i stället redovisas senast den 25 maj 2018.

489

Bilaga 4

SOU 2018:36

Rättsliga förutsättningar för personuppgiftsbehandling hos forskningsbiblioteken

Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434). Dessa bibliotek ska svara för biblio- teksverksamhet inom de områden som anknyter till utbildning och forskning vid universitet och högskolor. Högskolebibliotek finns också hos enskilda utbildningsanordnare. I verksamheten hos dessa bibliotek behandlas en stor mängd personuppgifter. Exempelvis behandlas personuppgifter om låntagare i låneverksamheten. Det pågår ett omfattande arbete med digitalisering av analoga samlingar och publicering av dessa på internet. Digitalisering sker även vid t.ex. privatkopiering och fjärrlån. Biblioteken tillhandahåller möjligheter att söka efter information i databaser och har också börjat fungera som vetenskapliga förlag med förmedling av sakkunniggranskning och utgivning av publikationer. Högskolebibliotek i form av forsk- ningsbibliotek vid universitet och högskolor och Kungl. biblioteket är nyckelaktörer i den pågående övergången till ett öppet veten- skapssystem, i vilket allt fler delar av forskningsprocessen, som forskningsdata, publikationer, läromedel och konferensrapporter, tillhandahålls fritt på internet för vidareanvändning. En allt viktigare uppgift för forskningsbiblioteken har också kommit att bli att sköta lärosätenas lokala publikationsdatabaser och att se till att forskare får rätt erkännande för sina resultat genom att hantera identifikatorer, exempelvis Open Researcher and Contributor ID (ORCID) och Digital Object Identifier (DOI). Detta är internationella standarder för att identifiera personer och forskning och kan därför innehålla personuppgifter. En annan trend är att öppna utbildningsresurser växer i betydelse. Genom att ny teknik finns tillgänglig ökar forskningens behov av snabb och enkel tillgång till digitala och fysiska vetenskapliga resurser. Den tekniska utvecklingen har gjort s.k. text- och datautvinning (TDM) möjlig. Detta innebär att man på automatisk väg kan behandla stora digitala informationsmängder, t.ex. text, ljud, bild eller data, för att utvinna ny kunskap och upp- täcka nya tendenser. Text- och datautvinning kan i framtiden komma att användas av biblioteken själva för att nyttja och presen- tera materialet i deras samlingar och digitala databaser samt under- lätta sökning och forskning i dessa. Detta kan i sig innebära att

490

SOU 2018:36

Bilaga 4

biblioteken samtidigt kommer att ägna sig åt personuppgifts- behandling.

Det behöver därför analyseras i vilken utsträckning EU:s data- skyddsförordning kommer att vara tillämplig då personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar.

I forskningsbibliotekens samlingar finns dessutom sådana sär- skilda kategorier av personuppgifter som avses i artikel 9 i data- skyddsförordningen, s.k. känsliga personuppgifter. Enligt förord- ningen gäller ett förbud mot att behandla sådana uppgifter, om inte någon av undantagsreglerna i artikel 9.2 är tillämpliga.

När det gäller de rättsliga förutsättningarna för bibliotekens verk- samhet kommer bl.a. artikel 85 om förhållandet till yttrande- och informationsfriheten och den nationella reglering som föreslås i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39) att vara av betydelse.

Utredaren ska därför

•analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig då personuppgifter behandlas i forsknings- bibliotekens verksamhet och för vilken behandling av person- uppgifter som forskningsbiblioteken har ett personuppgifts- ansvar,

•analysera vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken,

•analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till lag med kompletterande bestämmelser till dataskyddsförordningen som lämnats i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39), för att personuppgifter ska kunna behandlas på ett ändamåls- enligt sätt i forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och

•lämna de författningsförslag som behövs.

491

Bilaga 5

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Utredningens uppdrag

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att med anledning av EU:s dataskyddsförordning1 föreslå en kompletterande reglering med syftet att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.2

Den 16 mars 2017 beslutade regeringen tilläggsdirektiv3 till utredningen med uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av person- uppgifter i Kungliga bibliotekets verksamhet, samt beslutade att uppdraget ska slutredovisas senast den 27 april 2018.

Utredningen har därefter fått i ytterligare tilläggsuppdrag4 att analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsför- ordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken. Vi ska även analysera vilken regle- ring som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till kompletterande dataskyddslag som

1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

2Kommittédirektiv, dir. 2016:65.

3Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (2016:04), dir. 2017:29.

4Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (2016:04), dir. 2017:87.

493

Bilaga 5

SOU 2018:36

lagts fram av Dataskyddsutredningen5 samt lämna de författnings- förslag som behövs.

Uppdragen som utredningen har fått genom dessa tilläggs- direktiv redovisas härmed i en gemensam promemoria.

Sammanfattning av våra förslag

I denna promemoria föreslår vi en rad ändringar i befintliga för- fattningar som rör forskningsbibliotekens, det vill säga Kungliga bibliotekets, högskolebibliotekens och de privatfinansierade forsk- ningsbibliotekens arbetsuppgifter och personuppgiftsbehandling. Vi föreslår även en ny förordning om behandling personuppgifter i forsk- ningsbibliotekens verksamhet. Syftet med författningsförslagen är att säkerställa att personuppgifter kan behandlas på ett ändamålsenligt och säkert sätt i bibliotekens verksamhet även efter att dataskyddsförord- ningen börjar tillämpas. Vi föreslår att den nya förordningen och författningsändringarna träder i kraft den 25 maj 2018.

Härmed överlämnar utredningen delredovisningen.

Stockholm i november 2017

Cecilia Magnusson Sjöberg

Cecilia Arrgård

Maria Jacobsson

Staffan Malmgren

Margareta Sandén

Magnus Stenbeck

5Dataskyddsutredningens betänkande Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39).

494

Bilaga 5

SOU 2018:36

5 § Med forskningsbibliotek avses i denna förordning Kungl. biblioteket, högskolebiblioteken som avses i 12 § bibliotekslagen (2013:801) och de privatfinansierade högskolebiblioteken.

Uppgifter av allmänt intresse

6 § Ett forskningsbibliotek utför uppgifter av allmänt intresse genom att

1.utföra uppgifter som finns reglerade i förordningen (2008:1421) med instruktion för Kungl. biblioteket,

2.utföra uppgifter som finns reglerade i bibliotekslagen (2013:801) och i högskoleförordningen (2003:100), och

3.tillgängliggöra kunskap i syfte att stödja forskning och utbild- ning inom en högskolas verksamhetsområde.

Behandling av känsliga personuppgifter

7 § Ett forskningsbibliotek får behandla känsliga personuppgifter för arkivändamål av allmänt intresse i enlighet med de förutsättningar som anges i artikel 9.2 j i dataskyddsförordningen.

8 § Ett forskningsbibliotek får behandla känsliga personuppgifter genom text- och datutvinning i enlighet med de förutsättningar som anges i artikel 9.2 g i dataskyddsförordningen.

Personuppgifter om lagöverträdelser

9 § Ett forskningsbibliotek får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.

Skyddsåtgärder

10 § Ett forskningsbibliotek får endast behandla känsliga person- uppgifter och personuppgifter om lagöverträdelser som finns i sådant material, som

502

SOU 2018:36

Bilaga 5

1.har utlämnats till försäljning eller för spridning på annat sätt (utgivits), och

2.biblioteket har i uppgift att tillhandahålla i sin verksamhet.

11 § Text- och datautvinning enligt 8 § får inte utföras

1.i syfte att utvinna känsliga personuppgifter eller uppgifter om lagöverträdelser, eller

2.om sådana uppgifter processas under något skede av behand- lingen.

Begränsningen i första stycket gäller inte om det är nödvändigt att forskningsbiblioteket utför sådan text- och datautvinning för att tillhandahålla kunskap till forskning, som har godkänts vid etik- prövning enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Undantag från den registrerades rättigheter

12 § Den registrerades rättigheter enligt artikel 15, 16, och 21 data- skyddsförordningen ska inte gälla när ett forskningsbibliotek behandlar personuppgifter för arkivändamål av allmänt intresse. Undantaget gäller enbart för personuppgifter som förekommer i sådant material hos forskningsbiblioteket, som har utlämnats till försäljning eller för spridning på annat sätt (utgivits).

Denna förordning träder i kraft den 25 maj 2018.

503

Bilaga 5

SOU 2018:36

1.4Förslag till förordning om ändring i förordningen (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt

Härigenom föreskrivs i fråga om förordning (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kultur- arvsprojekt

dels att 12 och 13 §§ ska upphävas,

dels att rubriken till förordningen, rubriken närmast före 3 och 7 §§ samt 1–11 §§ ska ha följande lydelse.

Förordning om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsverksamhet

Nuvarande lydelse	Föreslagen lydelse
Förhållandet till	Förhållandet till annan
personuppgiftslagen	dataskyddsreglering
	1 §

Denna förordning skall tilläm- pas vid helt eller delvis automa- tiserad behandling av personupp- gifter i Kungl. bibliotekets verk- samhet med det digitala kultur- arvsprojektet.

Med det digitala kulturarvs- projektet avses i denna förordning Kungl. bibliotekets projekt att med hjälp av automatiserad robot- teknik samla in, bevara och till- handahålla det nationella digitala kulturarvet i form av det svenska

Denna förordning ska tilläm- pas vid helt eller delvis auto- matiserad behandling av person- uppgifter i Kungl. bibliotekets digitala kulturarvsverksamhet, som görs i syfte att tillgodose behovet av forskning och information om det nationella digitala kulturarvet.

2 §

Med den digitala kulturarvs- verksamheten avses i denna för- ordning Kungl. bibliotekets verk- samhet att med hjälp av automa- tiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i

506

SOU 2018:36

Bilaga 5

material som publiceras på Inter- net.

Med det svenska material som publiceras på Internet avses i denna förordning material som går att hänföra till Sverige genom sådan anknytning som adress, adressat, språk, upphovsman eller avsän- dare.

form av det svenska material som publiceras på internet.

Med det svenska material som publiceras på internet avses i denna förordning material som går att hänföra till Sverige genom sådan anknytning som adress, adressat, språk, upphovsman eller avsän- dare.

	3 §
Personuppgiftslagen (1998:204)	Denna förordning komplette-
gäller vid behandling av person-	rar Europaparlamentet och rådets
uppgifter i projektet, om inte något	förordning (EU) 2016/679 av den
annat följer av denna förordning	27 april 2016 om skydd för fysiska
eller annars av 2 § personuppgifts-	personer med avseende på behand-
lagen.	ling av personuppgifter och om
	det fria flödet av sådana uppgifter
	och om upphävande av direktiv
	95/46/EG		(allmän	dataskydds-
	förordning), nedan kallad data-
	skyddsförordningen
	Om inte annat följer av denna
	förordning		gäller lagen (2018:xx)
	med	kompletterande		bestämmelser
	till	EU:s	dataskyddsförordning
	(dataskyddslagen).

En registrerad person har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna förordning.

Den registrerade får dock in- vända mot att vissa uppgifter till- gängliggörs genom direktåtkomst enligt 10 §. Dessa uppgifter ska i så fall genast spärras från direkt- åtkomst, om inte Kungl. biblioteket kan påvisa berättigade skäl för behandlingen som väger tyngre än den registrerades intresse av att upp- gifterna spärras.

507

Bilaga 5

SOU 2018:36

				4 §
Kungl. biblioteket är person-					Kungl. biblioteket är person-
uppgiftsansvarigt för sin behand-				uppgiftsansvarigt för sin behand-
ling av personuppgifter i projektet.				ling av personuppgifter i kultur-
				arvsverksamheten.
				5 §
Personuppgifter får behandlas i					Personuppgifter får behandlas i
projektet för att tillgodose behovet				kulturarvsverksamheten för att till-
av forskning och information.				godose behovet av forskning och
				information.
				6 §
Sådana känsliga personuppgif-					Sådana känsliga personuppgif-
ter	som anges i 13 § person-			ter som anges i artikel 9.1 i data-
uppgiftslagen		(1998:204)	får	skyddsförordningen får behandlas i
behandlas i projektet bara om det är				verksamheten bara om det är
nödvändigt för att tillgodose de				nödvändigt för att tillgodose de
ändamål som anges i 5 § denna				ändamål som anges i 5 § denna
förordning.				förordning.
Databas för projektet				Databas för
				kulturarvsverksamheten
			7 §
Inom projektet får Kungl. biblio-					Inom kulturarvsverksamheten
teket ha en samling av personupp-				får Kungl. biblioteket ha en samling
gifter som med hjälp av auto-				av personuppgifter som med hjälp
matiserad behandling används för				av	automatiserad	behandling
de ändamål som anges i 5 § (databas				används för de ändamål som anges i
för projektet).				5 § (databas för kulturarvsverksam-
				heten).
				8 §
I projektets databas får behandlas					I kulturarvsverksamhetens data-
bara	sådana	personuppgifter	som	bas får behandlas bara sådana
har offentliggjorts genom publice-				personuppgifter som har offentlig-
ring i det svenska materialet på				gjorts genom publicering i det
Internet.				svenska materialet på internet.

508

SOU 2018:36

Bilaga 5

9 §

Uppgifter i projektets databas får lämnas ut på medium för auto- matiserad behandling bara för att användas i forskning. Kungl. biblio- teket får ta ut avgifter för sådant medium med belopp som mot- svarar självkostnaden.

Uppgifter i kulturarvsverksam- hetens databas får lämnas ut på medium för automatiserad behand- ling bara för att användas i forsk- ning. Kungl. biblioteket får ta ut avgifter för sådant medium med belopp som motsvarar självkostna- den.

10 §

Direktåtkomst får medges till uppgifter i projektets databas bara via terminaler inom Kungl. biblio- tekets lokaler.

Direktåtkomst får medges till uppgifter i kulturarvsverksam- hetens databas bara via terminaler inom Kungl. bibliotekets lokaler.

11 §
Sådana känsliga personuppgif-	Sådana personuppgifter	som
ter som anges i 13 § personuppgifts-	anges i artikel 9.1 och artikel 10 i
lagen (1998:204) och sådana perso-	dataskyddsförordningen får	inte
nuppgifter som anges i 21 § samma	användas som sökbegrepp.
lag får inte användas som sök-
begrepp.

Denna förordning träder i kraft den 25 maj 2018.

509

Bilaga 5

SOU 2018:36

1.7Förslag till förordning om ändring i förordningen (2008:1421) med instruktion för Kungl. biblioteket

Härigenom föreskrivs att 2 § förordningen (2008:1421) med instruk- tion för Kungl. biblioteket ska ha följande lydelse

Nuvarande lydelse

Föreslagen lydelse

2§6

Myndigheten ska även

1. fullgöra de uppgifter som följer av

–lagen (1993:1392) om pliktexemplar av dokument,

–lagen (2012:492) om pliktexemplar av elektroniskt material,

– förordningen (2008:1420) om	– förordningen (2008:1420) om
pliktexemplar av dokument och	pliktexemplar av dokument,
– förordningen (2012:866) om	– förordningen (2012:866) om
pliktexemplar av elektroniskt	pliktexemplar	av elektroniskt
material,	material och
	– förordningen (2002:287) om
	behandling av	personuppgifter i
	Kungl. bibliotekets digitala kultur-
	arvsverksamhet,

2.samla, förvara, beskriva och tillhandahålla utomlands utgivna publikationer med svensk anknytning,

3.samla, förvara, beskriva och tillhandahålla en representativ samling utländsk litteratur, särskilt inom samhällsvetenskap och humaniora,

4.vårda och förkovra bibliotekets äldre samlingar av böcker och annat tryck, handskrifter, kartor och bilder,

5.framställa nationalbibliografin,

6.svara för frågor om samverkan mellan forskningsbibliotek när det gäller digitalisering och digitalt tillgängliggörande, och

7.analysera utvecklingen inom forskningsbiblioteken i landet.

Denna förordning träder i kraft den 25 maj 2018.

6Senaste lydelse 2012:867.

512

SOU 2018:36

Bilaga 5

1.8Förslag till förordning om ändring i förordningen (2012:866) om pliktexemplar av elektroniskt material

Härigenom föreskrivs att det i förordningen (2012:866) om plikt- exemplar av elektroniskt material ska införas två nya paragrafer 9 och 10 §§ och närmast före 9 § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	Behandling av personuppgifter
	9 §
	Kungl. biblioteket får behandla
	känsliga	personuppgifter	med stöd
	av artikel 9.2 j i Europaparlamen-
	tets och rådets förordning (EU)
	2016/679 av den 27 april 2016 om
	skydd för fysiska personer med av-
	seende på behandling av person-
	uppgifter och om det fria flödet av
	sådana uppgifter och om upp-
	hävande	av direktiv	95/46/EG
	(allmän	dataskyddsförordning),
	nedan	kallad dataskyddsförord-
	ningen, om det är nödvändigt för att
	fullgöra bibliotekets uppgifter enligt
	denna förordning.
	10 §
	Den	registrerades	rättigheter
	enligt artikel 15, 16, och 21 i data-
	skyddsförordningen ska		inte gälla
	när Kungl. biblioteket		behandlar
	personuppgifter med stöd av denna
	förordning.

Denna förordning träder i kraft den 25 maj 2018.

513

Bilaga 5

SOU 2018:36

2 Vårt uppdrag och arbete

2.1Kungliga biblioteket

Kungliga biblioteket (KB) är en statlig myndighet. Av förordningen (2008:1421) med instruktion för Kungl. biblioteket (instruktionen) framgår att KB är Sveriges nationalbibliotek och arkiv för ljud- och bilddokument och rörliga bilder. KB ska ta emot, förvara, beskriva och tillhandahålla den svenska tryckproduktionen i dess helhet och dokument för elektronisk återgivning enligt 10 § första stycket lagen (1993:1392) om pliktexemplar av dokument. I förordningen

(2008:1420) om pliktexemplar av dokument finns närmare bestäm- melser om hur dokumenten ska bevaras för framtiden samt hållas tillgängliga.

KB ska även fullgöra de uppgifter som följer av lagen (2012:492) om pliktexemplar av elektroniskt material och förordningen (2012:866) om pliktexemplar av elektroniskt material. I lagen ges föreskrifter om skyldighet att lämna exemplar av elektroniskt material som har gjorts tillgängligt för allmänheten här i landet genom överföring via nätverk. Med elektroniskt material förstås enligt lagen en avgränsad enhet av en elektronisk upptagning med text, ljud eller bild som har ett på förhand bestämt innehåll som är avsett att presenteras vid varje användning. Av förordningen med kompletterande bestämmelser till lagen framgår att även det elektroniska materialet ska bevaras för framtiden.

KB ska inom sitt verksamhetsområde också vara en resurs för forskning i rollen som främst humanistiskt och samhällsvetenskapligt forskningsbibliotek och främja den svenska forskningens kvalitet genom att tillhandahålla en effektiv forskningsinfrastruktur. Vidare

514

SOU 2018:36

Bilaga 5

ska KB även ha en nationell överblick över det allmänna biblioteks- väsendet och främja samverkan och utveckling inom området. KB ska särskilt ansvara för bl.a. de nationella bibliotekssystemen LIBRIS.

KB har dessutom en uppgift, som dock inte framgår av instruk- tionen, att med hjälp av automatiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i form av det svenska material som publiceras på internet. Detta regleras i förord- ningen (2002:287) om behandling av personuppgifter i Kungl. biblio- tekets digitala kulturarvsprojekt (Kulturarw³-förordningen).

Det material som KB har i uppgift att hantera innehåller en stor mängd personuppgifter. Myndigheten stöder i dagsläget till stor del sin behandling av personuppgifter på undantaget för behandling av personuppgifter i ostrukturerat material enligt den s.k. missbruks- regeln i 5 a § personuppgiftslagen (1998:204), som har sin grund i dataskyddsdirektivet.7

Från och med den 25 maj 2018 ska dataskyddsförordningen8 börja tillämpas vilket innebär att dataskyddsdirektivet och personuppgifts- lagen upphör att gälla. Till skillnad från dataskyddsdirektivet ska dataskyddsförordningen inte implementeras i svensk rätt. I stället ska förordningens bestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestäm- melser. Dataskyddsförordningen är med andra ord direkt tillämplig, men kommer att behöva kompletteras med nationell lagstiftning.

Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. I många fall är dessutom de personuppgif- ter som finns i KB:s samlingar av sådan art att de omfattas av artikel 9 eller 10 i dataskyddsförordningen. Det är alltså fråga om sådana känsliga personuppgifter eller uppgifter om lagöverträdelser där enligt dataskyddsförordningen särskilda förutsättningar gäller för att det ska vara lagligt att behandla uppgifterna. Det kan exempelvis vara fråga om uppgifter i böcker eller tidningsartiklar om någons hälsa, politiska åsikter eller lagöverträdelser. Även metadata såsom

7Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

8Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

515

Bilaga 5

SOU 2018:36

bibliografisk information om samlingarna kan i undantagsfall inne- hålla denna typ av personuppgifter.

KB:s verksamhet är av allmänt intresse9 och det är av vikt att en ändamålsenlig personuppgiftsbehandling kan utföras i verksamheten även fortsättningsvis när dataskyddsförordningen börjar tillämpas samtidigt som den enskildes fri- och rättigheter skyddas. Utredningen har fått i tilläggsuppdrag10 att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av person- uppgifter i KB:s verksamhet. Vi ska också analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som lämnats av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. Vi ska även lämna de författningsförslag som behövs.

2.2Forskningsbibliotek

I forskningsbibliotekens verksamheten behandlas en stor mängd personuppgifter. Utredningen har fått i ytterligare tilläggsuppdrag11 att analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförord- ningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken. Vi ska även analysera vilken regle- ring som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till kompletterande dataskyddslag som

9Avsnitt 3.2.3.

10Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04), (dir. 2017:29).

11Kommittédirektiv Tilläggsdirektiv till Forskningsdatautredningen (2016:04), (dir.2017:87).

516

SOU 2018:36

Bilaga 5

lagts fram av Dataskyddsutredningen12 samt lämna de författnings- förslag som behövs.

Eftersom begreppet forskningsbibliotek inte har en legaldefinition analyserar vi detta begrepp i avsnitt 4.2 med syfte att definiera utred- ningsuppdraget. I utredningens förslag avser vi med begreppet forsk- ningsbibliotek KB och såväl offentligt som privat finansierade hög- skolebibliotek.

2.3Utredningsarbetet

Utredningen har bedrivit arbetet i nära samråd med KB. Utöver ett flertal möten med jurister och verksamhetsansvariga har utredningen tagit del av ett antal promemorior om pågående och planerade verk- samheter samt en inventering av it-system och verksamhetsprocesser som finns hos KB. Utredningen har även beaktat KB:s studie ”Plikten under lupp”, som utförts parallellt med utredningsuppdraget.13

Av det tilläggsdirektiv som rör forskningsbibliotekens verksamhet framgår att vi vid genomförandet av uppdraget ska inhämta syn- punkter från ett urval av forskningsbibliotek och forskningsaktörer. Utredningen har därför tillkallat en särskild referensgrupp bestående av representanter från biblioteken vid Göteborgs universitet, Karolinska institutet, Kungliga Tekniska Högskolan, Lunds universi- tet, Stockholms universitet, Sveriges Lantbruksuniversitet, Umeå universitet och Uppsala universitet, samt av forskare vid Karolinska institutet och Stockholms universitet. Utredningen har träffat referensgruppen för att diskutera forskningsbibliotekens verksamhet. Representanterna i gruppen har även lämnat synpunkter på utkast till denna promemoria.

2.4Promemorians disposition

Vi behandlar grundläggande rättsliga frågor av betydelse för biblio- tekens verksamhet i kapitel 3. I avsnitt 3.8 beskriver vi vilken metod

vikommer att använda när vi i kapitel 4 och 5 redovisar vår bedömning av om forskningsbibliotekens behandlingar av personuppgifter är

12SOU 2017:39.

13http://www.kb.se/aktuellt/nyheter/2017/Pliktlagstiftningen-har-stora-brister-och- behover-revideras/

517

SOU 2018:36

Bilaga 5

3Bakgrund och grundläggande frågor

3.1Ny dataskyddsreglering

3.1.1Inledning

Vi presenterar i denna inledning en kortfattad rättslig översikt över de regler som gäller för behandling av personuppgifter i dag och vilka som kommer att tillämpas från och med den 25 maj 2018. Översikten är allmänt hållen med intentionen att kort illustrera de områden som vi har identifierat som viktiga för bibliotekens verksamhet.

EU:s reglering av personuppgiftsbehandling finns i dagsläget i dataskyddsdirektivet.14 I Sverige är dataskyddsdirektivet implemen- terat genom personuppgiftslagen (1998:204). Som nämnts tidigare i avsnitt 2.1 ska dataskyddsförordningen börja tillämpas från och med den 25 maj 2018. Dataskyddsdirektivet och personuppgiftslagen upp- hör då att gälla. Dataskyddsförordningen är direkt tillämplig, men kommer att behöva kompletteras med nationell lagstiftning.

Flera bestämmelser i dataskyddsförordningen har samma innebörd som de som redan gäller enligt personuppgiftslagen. Förordningen anger i skäl 9 att målen och principerna för dataskyddsdirektivet fort- farande är giltiga. På samma sätt som i dag kommer det även i fort- sättningen vara tillåtet att behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter för att utföra en uppgift av allmänt intresse. De registrerade kommer även fortsättningsvis ha rätt att få information om den personuppgifts- behandling som görs, och den som behandlar personuppgifter måste

14Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

519

Bilaga 5

SOU 2018:36

skydda uppgifterna med tillräckliga säkerhetsåtgärder. Om det är fråga om behandling av uppgifter om t.ex. hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.

Dataskyddsförordningens materiella tillämpningsområde framgår av artikel 2. Där anges att förordningen ska tillämpas på sådan behand- ling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Tillämpningsområdet är därmed detsamma som för det nu gällande dataskyddsdirektivet.

3.1.2Känsliga personuppgifter

I artikel 9 dataskyddsförordningen regleras behandling av ”särskilda kategorier av personuppgifter”. I sitt betänkande har Dataskydds- utredningen dock valt att använda sig av termen ”känsliga person- uppgifter” för samma begrepp. 15 I vårt delbetänkande har vi använt samma term, 16 vilken även kommer att användas fortsättningsvis.

Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av gene- tiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.

Från huvudregeln att det är förbjudet att behandla känsliga personuppgifter finns ett antal undantag i artikel 9.2. De två undan- tag som i det följande bedöms vara tillämpliga i forskningsbiblio- tekens verksamhet är undantaget i artikel 9.2 g (viktigt allmänt intresse) och artikel 9.2 j (arkivändamål av allmänt intresse).

3.1.3Personuppgifter om lagöverträdelser m.m.

I dataskyddsförordningen finns särskilda bestämmelser om behand- ling av personuppgifter som rör fällande domar i brottmål och lag- överträdelser eller därmed sammanhängande säkerhetsåtgärder (personuppgifter om lagöverträdelser m.m.). Enligt artikel 10 får

15SOU 2017:39 s. 162.

16Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) s. 185 f.

520

SOU 2018:36

Bilaga 5

sådan behandling endast utföras under kontroll av myndighet eller när behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

3.2Förändringar i rättsläget på grund av dataskyddsförordningen och följdlagstiftningen

3.2.1Missbruksregeln upphävs

I dagsläget kan behandling av personuppgifter i ostrukturerat material falla under den s.k. missbruksregeln i 5 a § personuppgiftslagen. Den innebär i korthet att det är tillåtet att behandla uppgifter i ostruktu- rerat material så länge det inte är kränkande för någons personliga integritet. När dataskyddsförordningen träder i kraft upphävs data- skyddsdirektivet och personuppgiftslagen. Någon bestämmelse mot- svarande missbruksregeln finns inte i dataskyddsförordningen. Miss- bruksregeln kan därför inte längre tillämpas. Myndigheter måste således stödja sig på en annan rättslig grund för sina personuppgifts- behandlingar.

3.2.2Begreppet rättslig grund

De rättsliga grunderna för laglig behandling av personuppgifter är i stort sett detsamma som i dataskyddsdirektivet och personuppgifts- lagen. De grunder som kan bli aktuella för biblioteken att tillämpa är samtycke, avtal och uppgift av allmänt intresse.

En viktig förändring i dataskyddsförordningen är att som laglig behandling räknas inte längre den intresseavvägning enligt 10 § f personuppgiftslagen som myndigheter tidigare kunde åberopa som grund för sin behandling när de fullgör sina uppgifter. Enligt för- ordningen måste myndigheter i stället kunna ange en annan rättslig grund för sin behandling.

Av skäl 43 framgår vidare att samtycke inte ska kunna utgöra giltig rättslig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige,

521

Bilaga 5

SOU 2018:36

och då särskilt om den personuppgiftsansvarige är en offentlig myn- dighet. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge17 är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt.

En annan viktig förändring är att den rättsliga grunden i artikel 6.1 e måste vara fastställd i unionsrätten eller nationell rätt (artikel 6.3). Det kravet finns inte uttryckt i dataskyddsdirektivet i dag.

Vad som krävs för att en behandling ska vara laglig framgår av artikel 6. Behandling av personuppgifter är enligt denna bestämmelse endast laglig om ett eller flera av de villkor som anges i bestämmelsen är uppfyllda. Villkoret uppgift av allmänt intresse återfinns i artikel 6.1 e. Dataskyddsutredningen föreslår en bestämmelse som tydliggör att personuppgifter får behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan för- fattning.18 I vårt delbetänkande föreslår vi att personuppgifter, med stöd av artikel 6.1 e i dataskyddsförordningen, ska få behandlas för forskningsändamål om behandlingen är nödvändig och proportioner- lig för att utföra forskning av allmänt intresse.19

Av artikel 6.3 dataskyddsförordningen framgår att det inte är behandlingen som ska fastställas, utan i stället grunden för behand- lingen. Det framgår av artikel 6.3 att en behandling ska kunna härleda sin lagliga grund i unionsrätten eller medlemsstatens nationella rätt. Det framgår även av skäl 45 att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åligger den personuppgiftsansvarige att utföra eller om behandlingen krävs för att utföra en uppgift av allmänt intresse.

En behandling som är laglig enligt artikel 6.1 innebär inte att den får utföras på vilka uppgifter som helst eller på valfritt sätt. I artikel 5.1 a i dataskyddsförordningen anges ett antal principer för behandling av personuppgifter, bl.a. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Den personuppgiftsansvarige måste därför utöver att ha stöd i en

17SOU 2017:50 s. 176.

18SOU 2017:39, avsnitt 8.3.4.

19SOU 2017:50, avsnitt 5.5.2.

522

SOU 2018:36

Bilaga 5

rättslig grund även uppfylla kraven i övriga bestämmelser i för- ordningen, t.ex. de allmänna dataskyddsprinciperna i artikel 5 och reglerna om skyddsåtgärder i artikel 89.1.

3.2.3Uppgift av allmänt intresse och viktigt allmänt intresse

Begreppet uppgift av allmänt intresse

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Begreppet allmänt intresse kommer från unions- rätten, men någon legaldefinition av begreppet finns varken i data- skyddsdirektivet eller i dataskyddsförordningen. Däremot finns det vägledande domar från EU-domstolen inom området.20 I tidigare betänkanden anges forskning, arkivering och framställning av statistik som exempel på vad som kan vara en arbetsuppgift av allmänt intresse.21 Enligt Dataskyddsutredningen borde det vara rimligt att utgå från den svenska förvaltningstraditionen och anta att alla upp- gifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse.22 Vi går närmare in på fastställandet av bibliotekens verksamhet som allmänt intresse i avsnitt 4.5.2.

Begreppet viktigt allmänt intresse

Huvudregeln att känsliga personuppgifter inte får behandlas återfinns i dataskyddsförordningen artikel 9.1. Undantag från förbudet av- seende viktigt allmänt intresse finns i artikel 9.2 g. Av det undantaget framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätt eller nationell rätt. Sådan rätt måste även innehålla lämpliga och särskilda skyddsåtgärder. Både begreppet allmänt intresse och viktigt allmänt intresse är unionsrättsligt och finns även i artiklarna 7 e och 8.4 i dataskyddsdirektivet. Det saknas en legal- definition av begreppet viktigt allmänt intresse i dataskyddsdirektivet

20EU-domstolens domar C-524/06, C-92/09 och C-73/16.

21Datalagskommitténs betänkande Integritet • Offentlighet • Informationsteknik (SOU 1997:39), s. 364.

22SOU 2017:39 s. 124.

523

Bilaga 5

SOU 2018:36

och dataskyddsförordningen. Några vägledande beslut från EU- domstolen gällande begreppet finns såvitt utredningen känner till inte.

Vi måste ta ställning till om biblioteksverksamheten vid forsk- ningsbiblioteken kan anses utgöra arbetsuppgift av allmänt intresse och då även om verksamheten i förlängningen kan utgöra ett viktigt allmänt intresse, alternativt ett arkivändamål av allmänt intresse.

3.3Grundlagsskyddet och bibliotekens verksamhet

3.3.1Det svenska grundlagsskyddet för tryckt skrift och databaser

Grundlagsskyddet för tryck- och yttrandefriheten är ett särskilt skydd i Sverige för vissa publiceringar och vissa medier, bl.a. för tidningar, böcker, radio- och tv-sändningar, vissa webbsidor med mera. För biblioteken är frågan om grundlagsskyddet för de tryckta skrifter och de databaser som återfinns inom verksamheten av central betydelse, eftersom personuppgiftsregleringen inte gäller i de fall där grundlagen styr hanteringen av uppgifterna. I dagsläget framgår detta av 7 § första stycket personuppgiftslagen. Dataskyddsutredningen har i sitt förslag till dataskyddslag behållit denna reglering.23 Grund- lagsskyddet regleras i de två s.k. mediegrundlagarna tryckfrihets- förordningen (TF), och yttrandefrihetsgrundlagen (YGL).

Grundlagsskyddet enligt TF gäller för tryckt skrift. Tryckt skrift ska vara framställd i tryckpress för att anses som sådan, vilket bl.a. omfattar tidningar och böcker. Även andra skrifter som framställts med hjälp av en skrivare eller kopiator eller för hand kan omfattas, förutsatt att mångfaldigandeuppgifter har satts ut. Det kan exempelvis gälla flygblad. Periodiska skrifter, vilket inkluderar tidskrifter, som innehar ett utgivningsbevis faller alltid inom tryckfrihetsförord- ningens tillämpningsområde. Ytterligare ett krav är att skriften är utgiven.

23SOU 2017:39 s. 40.

524

SOU 2018:36

Bilaga 5

Grundlagsskyddet enligt YGL är till stora delar identiskt med det i TF men omfattar i stället radio- och tv-sändningar, tekniska upp- tagningar, vissa databaser (webbplatser) m.m. En teknisk upptagning i YGL:s mening är bland annat CD-skivor, USB-minnen och liknande, förutsatt att de är utgivna och finns tillgängliga för allmän- heten i ett tillräckligt antal exemplar. Sådana tekniska upptagningar måste förses med ursprungsuppgifter, vilket är en straffsanktionerad skyldighet. Termen databas i YGL omfattar bland annat webbsidor, digital bio och vissa print-on-demand-tjänster. Alla webbplatser, även privatpersoners webbsidor, kan sedan 2003 omfattas av grund- lagsskydd, förutsatt en ansökan om utgivningsbevis. Detta kallas fri- villigt grundlagsskydd och följer av den s.k. databasregeln i 1 kap 9 § 2 stycket YGL. Ett automatiskt grundlagsskydd gäller däremot för massmedieföretags webbsidor, utan att någon ansökan om utgiv- ningsbevis behöver göras. Ibland krävs för grundlagsskydd att en ansvarig utgivare utses och att utgivningsbevis beviljas.

Regleringen som avgör om en databas faller in under grundlagens tillämpningsområde återfinns i 1 kap. 9 § YGL och avser överföringar till allmänheten som görs antingen a) direkt till användare efter begäran, b) indirekt genom att användare begär att avsändaren ska framställa och överföra ett yttrande eller c) genom att avsändaren på begäran överför viss bestämd information vid en viss bestämd tid- punkt.

3.3.2Etablerings- och spridningsfriheten

I 6 kap. 1 § TF återfinns regleringen om spridningsfriheten av tryckt skrift. Bestämmelsen utgör en del i etableringsfriheten på tryck- frihetens område och garanterar friheten att sprida skrifter. Den beskrivna rätten att ge ut skrifter syftar bl.a. på förbudet mot censur, som behandlas i 1 kap. 2 § TF. Det innebär att etableringsfrihet råder. Denna etableringsfrihet omfattar alla led i en skrifts utgivande: sprid- ning, tryckning, författande och redigerande samt uppgiftsinsam- lande. Skilda led i det som etableringsfriheten omfattar kan emellertid vara underkastade formkrav enligt TF, som t.ex. att skrifter ska åsättas ursprungsuppgifter (4 kap. 2 §), att pliktexemplar ska lämnas (4 kap. 4 §) och att utgivare ska utses (5 kap.). Utanför TF får inga sådana krav uppställas. Etableringsfriheten är inte minst en näringsfrihet.

525

Bilaga 5

SOU 2018:36

Den innebär att det inte får finnas regler som hindrar någon från att ägna sig åt något eller några led i utgivandet av tryckta skrifter. Detta innebär dock inte att det kan göras utan risk för straff och skadestånd. Den som åsidosätter formkrav av just omtalat slag kan ställas till ansvar för detta. Framför allt kan ansvar för innehållet i utgivna skrifter utkrävas (tryckfrihetsansvar), när förutsättningar för detta föreligger enligt TF 7 kap. 4 och 5 §§.

3.3.3Bibliotekens hantering av grundlagsskyddat material

Utredningens bedömning: Det särskilda grundlagsskyddet i TF och YGL påverkar inte forskningsbibliotekens skyldighet att följa dataskydds-regleringen.

När biblioteken tillgängliggör tryckt material som har TF-skydd om- fattas biblioteken av spridningsfriheten.24 Detta har ingen praktisk betydelse i relation till dataskyddet, eftersom varken den befintliga lagstiftningen eller dataskyddsförordningen är direkt tillämplig på sådant analogt material.

När biblioteken digitaliserar material som har TF-skydd väcks dock frågan om detta skydd på något vis följer med materialet i sin nya, digitala form. Vår bedömning är att ett sådant formatbyte gör att TF-skyddet – som gäller tryckt skrift – inte är tillämpligt på materialet i sin nya form. Det omvandlas inte heller till motsvarande YGL-skydd med mindre än att det digitala materialet införs i en databas som uppfyller kraven i 1 kap. 9 § YGL och för vilken det finns ett utgiv- ningsbevis. Även om det är möjligt för statliga och kommunala myndigheter att ansöka om och få beviljat sådant utgivningsbevis kan dock myndigheten inte åberopa detta för att undgå de förpliktelser som dataskyddsregleringen medför.25

Även för material som i ett visst skede faller in under YGL – som när det ligger i en databas som omfattas av grundlagsskydd, exempel- vis hos en utgivare – är vår bedömning att ett sådant skydd inte följer med materialet när det överförs från denna databas till ett bibliotek.26

24Se Lambertz, Yttrandefrihet och Bibliotek, i festskrift till Ulf Göransson (2012).

25Datainspektionens beslut den 29 januari 2010, dnr 987-2009.

26Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58), s. 299 f.

526

SOU 2018:36

Bilaga 5

Detta torde gälla oavsett vilket rättsligt stöd biblioteket har för denna överföring i övrigt.

3.3.4Journalistiska ändamål, akademiskt skapande, m.m.

Utredningens bedömning: Undantaget i dataskyddsförord- ningen och i den föreslagna dataskyddslagen för journalistiska ändamål är inte tillämpliga på forskningsbibliotekens verksamhet när de behandlar och tillgängliggör biblioteksmaterial. Detta gäller också när materialet i sig kan sägas vara ett uttryck för journa- listiska ändamål. På samma sätt är undantaget för akademiskt skapande inte tillämpligt på bibliotekens verksamhet när materialet i sig kan sägas vara ett uttryck för akademiskt skapande.

Enligt artikel 85 i dataskyddsförordningen ska medlemsstaterna i lag förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journa- listiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Dataskyddsutredningen har i sitt förslag till dataskyddslag infört ett undantag från bestämmelserna i dataskyddsförordningens kapitel II och III (artiklarna 5–23), artiklarna 24–30 och 35–43 och kapitel V (artiklarna 44–50) vid behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Journalistiska ändamål

Eftersom biblioteksmaterialet i tryckt form faller under grundlags- skyddet, och artikel 85 syftar till skydd av samma intressen, aktua- liseras frågan om bibliotekens hantering av personuppgifter i någon mån är behandling för ett journalistiskt ändamål. Dataskyddsförord- ningens reglering i denna del har föregåtts av en motsvarande artikel 9 i dataskyddsdirektivet. Denna artikel har genomförts i form av 7 § 2 stycket personuppgiftslagen som anger att många av lagens centrala bestämmelser inte ska tillämpas på sådan behandling av personuppgif- ter som görs uteslutande för bl.a. journalistiska ändamål. Rättsfallet NJA 2001 s. 409 rörde frågan om publicering av en webbsida med

527

Bilaga 5

SOU 2018:36

kränkande eller nedvärderande personuppgifter eller omdömen kunde föranleda ansvar enligt personuppgiftslagen, eller om undantaget för journalistiska ändamål var tillämpligt. Högsta domstolen fann att detta undantag skulle tolkas i ljuset av Europakonventionens artiklar om skydd för privatlivet (artikel 8) samt rätten till åsiktsfrihet (artikel 10) och att undantaget för journalistiska ändamål får antas vara avsett att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor. Domstolen ansåg att det inte var visat annat än att behandlingen av personuppgifter på den aktuella webbsidan utförts uteslutande för journalistiska ändamål.

I NJA 2001 s. 409 var det fråga om ansvaret för den som uttryckte uppgifterna eller omdömena. I Google Spain målet27 lyftes en annan central fråga, nämligen om en mellanhand i form av en sökmotor- leverantör kan falla in under undantaget för journalistiska ändamål i samband med indexering och publicering personuppgifter för att kunna presentera sökresultat. Domstolen fann (punkt 85) att även om utgivaren av en webbsida utför en behandling uteslutande för journa- listiska ändamål, är så inte fallet när det gäller den behandling som utförs av sökmotorleverantören.

Vi gör bedömningen att biblioteken i sin verksamhet intar en lik- nande roll som mellanhand, och därför inte för sin egen behandling av personuppgifter kan åberopa undantaget för journalistiska ändamål.

Akademiskt skapande

Forskningsbibliotekens digitalisering rör ofta vetenskapliga publi- kationer såsom avhandlingar. Därför väcks frågan om undantaget för akademiskt skapande kan vara tillämpligt på den personuppgifts- behandling som aktualiseras vid digitaliseringen.

Vår bedömning är att syftet med det utrymme som lämnas i artikel 85 och de undantag som anges i förslaget till dataskyddslag endast är att möjliggöra sådana undantag som är nödvändiga för att förena rätten till integritet med yttrande- och informations- friheten.28 Bibliotekens digitalisering och publicering av analogt material bidrar till kunskapsförmedling och fri åsiktsbildning, men

27EU-domstolens dom C-131/12.

28SOU 2017:39 s. 101.

528

SOU 2018:36

Bilaga 5

digitaliseringen är enligt vår bedömning inte nödvändig för yttrande- och informationsfriheten. Biblioteken måste därför tillämpa data- skyddsförordningen i sin helhet.

3.4Tidigare utredningar om Kungliga bibliotekets verksamhet

KB:s verksamhet har under de senaste decennierna varit föremål för flera olika statliga utredningar. Dessa har framför allt fokuserat på KB:s roll som mottagare av pliktleveranser i ett kulturlandskap i förändring.29

I oktober 1996 gavs en utredare i uppdrag att göra en översyn av lagen (1993:1392) om pliktexemplar av dokument (pliktexemplarslagen), och framför allt överväga om sådan elektronisk information som inte omfattas av de nuvarande bestämmelserna i pliktexemplarslagen skulle komma att vara föremål för leveransplikt i framtiden. 30 Tekniska frågor om hur leveranserna ska gå till skulle även utredas.

Utredarens slutsatser presenterades i betänkandet E-plikt – att säkra det elektroniska kulturarvet.31 Utredaren föreslog författnings- ändringar för att möjliggöra att bl.a. KB skulle kunna samla in och bevara allmänt tillgängligt online-material. Med allmänt tillgängligt avsågs sådant material som i princip vem som helst har möjlighet att få tillgång till, även om sådan tillgång kräver lösenord eller avgift. En majoritet av remissinstanserna var positivt inställda till ett så om- fattande bevarande som möjligt av vårt digitala kulturarv.32 Reger- ingen ansåg att det är viktigt att för eftervärlden och för forsknings- ändamål bevara och tillhandahålla yttringar av svenskt liv, svenskt samhälle och svensk kultur. E-pliktsutredningens förslag i fråga om elektroniskt material ledde emellertid inte till några författnings- ändringar, eftersom det ansågs nödvändigt att först ändra EG- direktivet om rättsligt skydd för datorprogram (91/250/EG) eftersom det material som skulle omfattas enligt förslaget skulle innehålla ett stort antal datorprogram.

29Jfr kommittédirektiv Översyn av pliktexemplarslagen (dir. 1996:92) som utgår från en ”bak- grund av de snabba informationstekniska förändringarna avseende offentliggörande av dokument”.

30Dir 1996:92.

31SOU 1998:111.

32Regeringens proposition Forskning och förnyelse (prop. 2000/01:3),,s. 201 f.

529

Bilaga 5

SOU 2018:36

I december 2002 beslutade regeringen att tillkalla en särskild utredare med uppgift att göra en översyn av KB, dess verksamhet och arbetsformer. 33 Utredningen presenterade sina slutsatser i betän- kandet KB – ett nav i kunskapssamhället34 där utredaren föreslog insatser inriktade på bl.a. informationsförsörjningen till forskning och utbildning. Insatserna som föreslogs var bl.a. att KB skulle fortsätta att vara ”framtidens minne” genom att samla in allt som trycks – och även det som publiceras digitalt.

Betänkandet behandlades i 2005 års forskningspolitiska pro- position Forskning för ett bättre liv,35 där regeringen instämde i att lagen (1993:1392) om pliktleverans av dokument bör ses över så att lagen omfattar även s.k. distansöverfört digitalt material. Definitionen av vilket material som ska omfattas, liksom upphovsrättsliga aspekter av materialets tillgängliggörande och eventuell inverkan på integritets- känsliga uppgifter, behövde dock enligt regeringen fortsatt beredning.

Parallellt gjordes även en översyn över Statens ljud- och bildarkivs (SLBA) verksamheter och arbetsformer. SLBA-utredningen presen- terade i maj 2004 betänkandet Bevara ljud och rörlig bild. Insamling, migrering – prioritering.36 SLBA:s verksamhet har som nämnts inord- nats i KB sedan den 1 januari 2009.

I 2005 års forskningsproposition uttalade regeringen sin avsikt att återkomma om ändringar i pliktlagen. År 2009 gjordes en departe- mentsutredning37 om en författningsreglerad skyldighet att leverera publicerat elektroniskt material som överförs via nätverk (e-plikt). Utredningen hade endast i uppdrag att bedöma definitioner rörande vad som bör ingå i en lagstadgad leveransskyldighet, inte att utreda förutsättningarna för ett eventuellt tillgängliggörande av det leve- rerade materialet. Utredningen föreslog att visst material, framför allt ”färdiga” elektroniska dokument som tillgängliggjorts med skydd av yttrandefrihetsgrundlagen eller som publicerats yrkesmässigt, skulle omfattas av en leveransplikt. KB föreslogs vara mottagare av plikt- leveranser, och även få föreskriftsrätt om hur leveranser skulle gå till

m.m.Förslagen mynnade ut i lagen (2012:492) om pliktexemplar av elektroniskt material med tillhörande förordning (2012:866).38

33Kommittédirektiv Översyn av Kungl. biblioteket, dess verksamhet och arbetsformer (Dir. 2002:156).

34SOU 2003:129.

35Proposition 2004/05:80 s. 108 f.

36SOU 2004:53.

37Leveransplikt för elektroniska dokument (Ds 2009:61).

38Regeringens proposition Leveransplikt för elektroniskt material (prop. 2011/12:21).

530

SOU 2018:36

Bilaga 5

Biblioteksväsendet i allmänhet utreddes år 2012 med syfte att anpassa bibliotekslagen till de omvärldsförändringar som har skett sedan den dåvarande bibliotekslagen (1996:1596). Utredningen resul- terade i att dagens bibliotekslag beslutades och trädde i kraft den 1 januari 2014. Utöver ett förtydligande att KB ingår i det allmänna biblioteksväsendet behandlade dock utredningen inte särskilt KB:s verksamhet.39

Sammanfattningsvis har endast delar av KB:s verksamhet, framför allt frågan om e-plikt, varit föremål för utredning under de senaste decennierna. Den s.k. KB-utredningen tog ett större grepp på myndighetens verksamhet, men dess förslag har inte resulterat i lag- stiftning. Framför allt har frågorna om personuppgiftsbehandling i bibliotekets verksamhet inte genomlysts.

3.5Kungliga bibliotekets internutredning om pliktverksamheten

I sitt regleringsbrev för 2017 fick KB uppdraget att genomföra en studie som övergripande skulle belysa dagens publicerings- och medielandskap med fokus på pliktbibliotekens möjligheter att samla in och tillgängliggöra relevanta publikationer. Studien ”Plikten under lupp!” lämnades över till regeringen den 26 september 2017.40 I studien förordas att regeringen återkommer i frågan om tillgänglig- görande av det e-pliktinsamlade materialet, att pliktlagstiftningen förses med kompletterande insamlingsmetoder, samt att interimis- tiska åtgärder vidtas för att säkra den insamling som KB redan i dag förväntas göra.

39Regeringens proposition Ny bibliotekslag (prop. 2012/13:147) s. 10.

40http://www.kb.se/aktuellt/nyheter/2017/Pliktlagstiftningen-har-stora-brister-och- behover-revideras/

531

Bilaga 5

SOU 2018:36

3.6Biblioteksverksamhet och arkivändamål av allmänt intresse

Utredningens bedömning: Dataskyddsförordningens särreglering för arkivändamål av allmänt intresse är tillämplig på de delar av forskningsbibliotekens verksamhet som har sådana ändamål.

Bibliotekens syfte med verksamheten är enligt 2 § bibliotekslagen (2013:801) att verka för det demokratiska samhällets utveckling genom att bidra till kunskapsförmedling och fri åsiktsbildning. Vidare ska biblioteken enligt samma bestämmelse främja litteraturens ställ- ning och intresset för bildning, upplysning, utbildning och forskning samt kulturell verksamhet i övrigt. Vad gäller KB särskilt anges i dess instruktion att myndigheten är nationalbibliotek och arkiv för ljud- och bilddokument och rörliga bilder.

Myndighetsarkivens syfte är enligt 3 § arkivlagen (1990:782) att tillgodose rätten att ta del av allmänna handlingar, behovet av infor- mation för rättskipningen och förvaltningen, samt forskningens behov. Myndigheternas arkiv är en del av det nationella kulturarvet. Ändamålen med biblioteksväsendet är åtminstone delvis över- lappande med arkivväsendets ändamål. Dataskyddsförordningen innehåller flera undantag för personuppgiftsbehandling för arkivända- mål av allmänt intresse, ett begrepp som bör betraktas som ett unions- rättsligt begrepp.41

Vi kan inledningsvis konstatera att sådana handlingar som utgör en del av en myndighets bibliotek inte utgör allmänna handlingar (2 kap. 11 § 2 punkten tryckfrihetsförordningen). Vidare omfattar arkiv- lagens tillämpningsområde endast allmänna handlingar samt sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnes- anteckningar, utkast och liknande som tagits om hand för arkivering). Om en viss handling är en del av biblioteket kan den alltså inte sam- tidigt vara en del av arkivet, eftersom den inte då kan falla under arkivlagens tillämpningsområde. Det kan dock förekomma hand- lingar som faller inom arkivlagens tillämpningsområde inom en biblioteksmyndighets verksamhet, exempelvis inkomna eller expedie- rade brev som inte är en del av själva biblioteksbeståndet.

41Jfr SOU 2017:39 s. 214.

532

SOU 2018:36

Bilaga 5

Begreppet ”arkivändamål av allmänt intresse”, som är ett unions- rättsligt begrepp, är emellertid bredare än arkivlagens tillämpnings- område. Särskilt bör noteras att KB enligt sin instruktion är arkiv för ljud- och bilddokument och rörliga bilder – en uppgift som övergick från Statens ljud- och bildarkiv (SLBA) till KB i samband med att den myndigheten uppgick i KB:s verksamhet år 2009. Dessa ljud- och bilddokument och rörliga bilder betraktas av KB som en del av biblio- tekets samlingar, och inte som allmänna handlingar i verksamheten. Den personuppgiftsbehandling som därmed förekommer kan enligt utredningens bedömning anses utföras för arkivändamål av allmänt intresse. Samma resonemang bör enligt vår bedömning kunna tillämpas för de delar av KB:s verksamhet som syftar till att bevara kulturarvet.

Relationen mellan de tre begreppen (biblioteksverksamhet, arkiv enligt arkivlagen, och arkivändamål av allmänt intresse) kan åskåd- liggöras enligt följande.

Figur 1: Gränsdragning mellan bibliotek och arkiv

Vår bedömning är alltså att dataskyddsförordningens särreglering för arkivändamål av allmänt intresse kan vara tillämplig på de delar av forskningsbibliotekens verksamhet som kan sägas ha just arkivända- mål. Vid denna bedömning bör särskilt skäl 158 i förordningen beaktas. Enligt skäl 158 bör offentliga myndigheter som innehar upp- gifter av allmänt intresse vara tillhandahållare som i enlighet med unionsrätten eller medlemsstaternas nationella rätt har en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kom- municera, främja, sprida och ge tillgång till uppgifter av bestående

533

Bilaga 5

SOU 2018:36

värde för allmänintresset. En sådan rättslig skyldighet finns för fram- för allt KB med stöd av pliktlagstiftningen, vars verksamhet i denna del därför bör kunna betraktas som arkivändamål av allmänt intresse. Även högskolebiblioteken har en uppgift att tillhandahålla uppgifter av bestående värde för allmänintresset (jfr 2 § bibliotekslagen samt den i avsnitt 4.4 föreslagna fastställda uppgiften). Vad gäller privata forskningsbibliotek har Dataskyddsutredningen föreslagit att Riks- arkivet ska få meddela föreskrifter samt i enskilda fall besluta angående huruvida enskilda organ ska få behandla personuppgifter för arkivändamål av allmänt intresse.42

3.7Metodbeskrivning

I de följande kapitlen ska vi gå igenom de delar av forsknings- bibliotekens verksamhet som innefattar personuppgiftsbehandling och redovisa vår bedömning av om dessa behandlingar är förenliga med dataskyddsförordningen. Vi har också i uppdrag att bedöma om det behövs några förändringar av nationell rätt för att göra behand- lingarna lagliga, inom ramen för de möjligheter till kompletterande nationell rätt som förordningen ger. I det närmast följande beskriver vi den metod som vi använder i vår bedömning.

3.7.1Beskrivning av verksamheten och den aktuella personuppgiftsbehandlingen

För varje personuppgiftsbehandling hos forskningsbiblioteken (kap. 4 och 5) vi har att bedöma kommer vi att inleda med att beskriva verksamheten. Därefter gör vi en bedömning av behov och laglighet av den personuppgiftsbehandling som förekommer inom verksam- heten.

42SOU 2017:39 s. 217 f.

534

SOU 2018:36

Bilaga 5

3.7.2Att bedöma den rättsliga grunden

I nästa steg måste vi bedöma vilken rättslig grund enligt artikel 6 i dataskyddsförordningen som kan vara tillämplig på den aktuella behandlingen. Den personuppgiftsbehandling som är aktuell i biblio- tekens verksamhet handlar i de allra flesta fall om personuppgifter som förekommer i biblioteksmaterial (böcker, tidningar, artiklar m.m.).

Enligt artikel 6.3 ska den rättsliga grunden för behandlingen enligt artikel 6.1 e fastställas i enlighet med unionsrätt eller nationell rätt. Ramarna för en sådan nationell kompletterande rätt ges i artikel 6.2. Personuppgiftsbehandlingen måste dessutom vara nödvändig för att kunna utföra den fastställda arbetsuppgiften. Den nationella regle- ringen ska uppfylla ett mål av allmänt intresse, och vara proportioner- lig mot det legitima mål som eftersträvas. Utöver detta följer av skäl 41 att en sådan rättslig grund eller lagstiftningsåtgärd bör vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den.

När vi på detta vis har identifierat vilken personuppgiftsbehand- ling, rättslig grund och fastställd arbetsuppgift som det kan vara aktuellt att ta ställning till, måste vi bedöma om kraven i artikel 6 är uppfyllda. Vi måste bedöma om uppgiften av allmänt intresse är till- räckligt tydligt fastställd och om regleringen är förutsägbar för den registrerade (den vars uppgifter förekommer i biblioteksmaterialet).

3.7.3Känsliga personuppgifter

När vi på detta sätt kommit fram till vilken rättslig grund som är möjlig för behandlingen, samt eventuella behov av kompletterande nationell rätt, finns ytterligare frågor att ta ställning till. Vi behöver t.ex. bedöma om den aktuella behandlingen omfattar känsliga person- uppgifter enligt artikel 9.1 i dataskyddsförordningen. Om så är fallet, måste vi ta ställning till om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt enligt artikel 9.2.

I de allra flesta typer av biblioteksmaterial kan det förekomma känsliga personuppgifter. I regel kommer det därför bli nödvändigt att kunna hänvisa till ett tillämpligt undantag för att behandlingen ska vara tillåten. De undantag som enligt vår bedömning kan komma i fråga, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g), eller av hänsyn till ett arkivändamål av

535

Bilaga 5

SOU 2018:36

allmänt intresse (artikel 9.2 j). Det är därför nödvändigt att bedöma om kraven i artikel 9.2 g eller 9.2 j är uppfyllda. Kraven innefattar förutom de beskrivna ändamålen att det finns stöd för undantagen i unionsrätten eller nationell rätt. Denna reglering ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Slutsatsen av denna bedömning kan vara att den nationella regleringen saknas eller inte uppfyller samtliga krav, främst kravet på lämpliga och särskilda skyddsåtgärder, och därför föranleder behov av kompletterande nationella regler.

I de fall vi bedömer att behandlingen är nödvändig av hänsyn till ett arkivändamål av allmänt intresse aktualiseras för den person- uppgiftsansvarige även artikel 89.1, som ålägger den personuppgifts- ansvarige att se till att behandlingen omfattas av lämpliga skydds- åtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Den personuppgifts- ansvarige ges alltså i dessa fall ansvaret för att i det enskilda fallet se till att lämpliga skyddsåtgärder tillämpas.

3.7.4Grundläggande principer för behandling

När artikel 6 och 9 är hanterade har vi i vår framställning kommit fram till att det kan vara tillåtet att behandla personuppgifterna. All person- uppgiftsbehandling måste dock uppfylla de grundläggande princi- perna som framgår av artikel 5. I den mån behandlingen i en viss del av verksamheten riskerar att strida mot dessa dataskyddsprinciper behöver därför de enskilda principerna tillämpas på behandlingen för att på så sätt ställa relevanta krav på hur denna ska gå till. Som utgångs- punkt anser vi att bibliotekens personuppgiftsbehandling, sett till ändamålet att utföra uppgifter av allmänt intresse, inte riskerar att strida mot dessa principer. I de fall där det ändå finns anledning att analysera en eller flera av de grundläggande principerna går vi in på det efter bedömningen om känsliga personuppgifter och uppgifter om lagöverträdelser m.m. behöver särregleras eller inte.

536

Bilaga 5

SOU 2018:36

4Personuppgiftsbehandling i forskningsbibliotekens verksamhet

4.1Inledning

4.1.1Utgångspunkter

Vårt uppdrag i denna del är att analysera och föreslå vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. I detta arbete ska vi beakta de förslag till dataskyddslag och tillhörande lagstiftning som lämnats av Data- skyddsutredningen.43 Definitionen av forskningsbibliotek beskrivs närmare i avsnitt 4.2.

En utgångspunkt är att forskningsbiblioteken, precis som alla andra personuppgiftsansvariga, måste ordna sin verksamhet så att den är förenlig med dataskyddsförordningen och den av Dataskydds- utredningen föreslagna dataskyddslagen. Det kan dock finnas sådana undantagssituationer där en del av forskningsbibliotekens verksamhet inte lagligen kan utföras inom de rättsliga förutsättningar som data- skyddsförordningen och den föreslagna dataskyddslagen ger. Endast i dessa fall, och bara i den utsträckning som dataskyddsförordningen medger, kan det vara aktuellt med sektorsspecifik nationell lagstift- ning för att möjliggöra behandlingen.

43SOU 2017:39.

538

Bilaga 5

SOU 2018:36

Vi måste även göra en avgränsning av vilka typer av bibliotek som omfattas av utredningens uppdrag.44 I följande avsnitt gör vi därför en genomgång av olika definitioner av forskningsbibliotek för att komma fram till en lämplig avgränsning.

4.2Definitionen av forskningsbibliotek och redogörelse för verksamheten vid forskningsbiblioteken

4.2.1Bibliotekslagen

Begreppet forskningsbibliotek återfinns inte i bibliotekslagen. I den lagen används i stället det snävare begreppet högskolebibliotek. Deras uppgift är enligt 12 § bibliotekslagen att svara för biblioteksverksam- het inom de områden som anknyter till utbildning och forskning vid universitet eller högskolor, och tillgång till dessa bibliotek ska finnas vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434).

De forskningsbibliotek som är offentligt finansierade högskole- bibliotek regleras således i lag och ingår enligt 2 § bibliotekslagen i det allmänna biblioteksväsendet. Sådana högskolebiblioteks verksamhet regleras även delvis i högskoleförordningen (1993:100), där det av 2 kap. 16 § framgår att ett högskolebibliotek avgiftsfritt ska ställa litteratur ur de egna samlingarna till andra högskolebiblioteks för- fogande.

Bestämmelsen om högskolebibliotek infördes i den tidigare bibliotekslagen (1996:1596). Innan detta fanns bestämmelser om högskolebibliotek enbart i högskoleförordningen. Bestämmelsen fördes in i den tidigare bibliotekslagen för systematikens skull och ändrades endast redaktionellt. I samband med införandet av dagens bibliotekslag ändrades lydelsen på så sätt att det tydliggörs vem som omfattas av kravet på att ge tillgång till ett högskolebibliotek, vilka alltså endast är de universitet och högskolor som omfattas av hög- skolelagen.45

Bibliotekslagen är avsedd att tillämpas på biblioteksverksamhet som har en offentlig huvudman och som till övervägande del finan- sieras med anslag från det allmänna. Biblioteksverksamhet med en

44En uttömmande uppräkning av vilka bibliotek som finns i det allmänna biblioteksväsendet finns i 1 § bibliotekslagen.

45Prop. 2012/13:147 s. 36.

540

SOU 2018:36

Bilaga 5

privat huvudman som endast får en begränsad del av sin finansiering genom bidrag från det allmänna faller därmed utanför lagens tillämp- ningsområde.

Exempel på de bibliotekstyper som ryms inom ”övriga offentligt finansierade bibliotek” är bland annat KB, myndighetsbibliotek, sjukhusbibliotek, depåbibliotek, folkhögskolebibliotek och olika specialbibliotek. Såväl högskolebibliotek som specialbibliotek, vilka närmare beskrivs i följande avsnitt, omfattas således av biblioteks- lagen. Lagen reglerar dock inte verksamheten närmare och således heller inte den personuppgiftsbehandling som biblioteken utför.46

4.2.2Kungliga biblioteket

Kungliga biblioteket (KB) ska enligt 2 § sin instruktion (2008:1421) svara för frågor om samverkan mellan forskningsbibliotek när det gäller digitalisering och digitalt tillgängliggörande, och analysera utvecklingen inom forskningsbiblioteken i landet. Vidare framgår av 1 § 3 punkten i instruktionen att KB ska vara en resurs för forskning i rollen som humanistisk och samhällsvetenskapligt forsknings- bibliotek samt främja forskningens kvalitet genom att tillhandahålla en effektiv forskningsinfrastruktur.

Av KB:s hemsida framgår att med forskningsbibliotek avses universi- tets- och högskolebiblioteken samt specialbiblioteken. Följande infor- mation avseende specialbibliotek finns på KB:s hemsida:

Specialbiblioteken är en del av landets forskningsbibliotek och de har uppgifter av vitt skilda slag. Många gånger har de ett uppdrag att till- handahålla och bevara alla medier inom sitt specialområde. Special- biblioteken är ofta knutna till myndigheter, arkiv eller museer. Det finns ett 50-tal specialbibliotek i Sverige. De specialbibliotek som är offentligt finansierade, har minst 20 timmars bemanning per vecka och är tillgäng- liga för allmänheten ingår i Sveriges officiella biblioteksstatistik. KB vill öka kunskapen om specialbiblioteken och belysa aktuella frågor med anknytning till specialbiblioteken. Uppdraget är en del i KB:s uppgift att analysera forskningsbibliotekens utveckling i landet.47

Högskolebiblioteken har ofta staten som huvudman men att det förekommer också att de drivs av stiftelser. I landet finns, enligt KB, 39 universitets- och högskolebibliotek och ett 50-tal specialbibliotek.

46A.a. s. 9 f.

47Se http://www.kb.se/bibliotek/Bibliotek/Specialbibliotek/

541

Bilaga 5

SOU 2018:36

KB utgör också ett humanistiskt och samhällsvetenskapligt forsk- ningsbibliotek enligt 1 § 3 punkten sin instruktion (2008:1421).

4.2.3Verksamheten vid forskningsbiblioteken

I utredningens direktiv anges som exempel på verksamhet som kan innefatta personuppgiftsbehandling vid forskningsbiblioteken bland annat hantering av uppgifter om låntagare, digitalisering av analoga samlingar och publicering av dessa på internet, tillhandahållande av möjligheter att söka efter information i databaser, utgivning av publikationer, sköta lärosätenas lokala publikationsdatabaser, hantera identifikatorer för publikationer och forskare samt s.k. text- och data- utvinning. 48 Flera av dessa verksamheter är sannolikt aktuella vid de flesta forskningsbibliotek, medan andra troligen främst förekommer vid högskolebiblioteken eftersom de har en anknytning till lärosätets verksamhet.

Enligt dataskyddsförordningen behöver den rättsliga grunden allmänt intresse vara fastställd i nationell rätt. För behandling av t.ex. känsliga personuppgifter krävs särskilt författningsstöd. Att det ska finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen stadgas i bibliotekslagen, liksom ända- målet med verksamheten och ansvaret för den. Enligt utredningens bedömning kan personuppgiftsbehandlingen i verksamheten generellt anses vara av allmänt intresse, se avsnitt 4.5.2.

Övriga offentliga forskningsbibliotek omfattas av bibliotekslagen, men det finns inget krav på att sådana bibliotek ska finnas. Dessa har enligt bibliotekslagen samma ändamål med sin verksamhet.

Med privat högskolebibliotek avses ett bibliotek som är knutet till ett privat universitet eller en privat högskola, som svarar för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan.

Privata forskningsbibliotek är inte särskilt författningsreglerade. Det saknas därmed i dag ett tydligt och uttryckligt rättsligt stöd för att verksamheten utgör ett allmänt intresse.

48Dir. 2017:87.

542

Bilaga 5

SOU 2018:36

angående stöd för behandlingarna i gällande rätt samt i dataskydds- förordningen torde också vara relevanta för dessa bibliotek.

4.3Nationell reglering av personuppgiftsbehandling i forskningsbibliotekens verksamhet

4.3.1Normgivningsnivå

Utredningens bedömning: De personuppgifter som forsknings- biblioteken hanterar i löpande text och i de låntagarregister som förs, utgör inte en behandling av personuppgifter som innebär ett betydande intrång i den enskildes integritet. Regleringen av personuppgiftsbehandlingen kan därför göras i förordningsform.

I detta avsnitt behandlar vi frågan om forskningsbibliotekens person- uppgiftsbehandlingar ska regleras i lag eller förordning. Vi måste därför göra en bedömning om de förslag som vi lämnar gällande forskningsbibliotekens personuppgiftsbehandling innebär något betydande integritetsintrång för den enskilde.

Av 2 kap. 6 § andra stycket regeringsformen (RF) framgår att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga för- hållanden. Sådana åtgärder får endast begränsas genom lag i den ut- sträckning det är tillåtet enligt de allmänna förutsättningarna för begränsning av fri- och rättigheter som anges i 2 kap. 21 § RF. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har.

Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas.49 Med andra ord innebär detta att åtgärder som är av sådant slag som anges i 2 kap. 6 § andra stycket RF bara får vidtas om det finns lagstöd för detta (jfr 2 kap. 20–22 §§ RF).

49Regeringens proposition En reformerad grundlag (prop. 2009/10:80) s. 171 ff.

544

SOU 2018:36

Bilaga 5

Den bedömning som här måste göras är om den personuppgifts- behandling som utförs inom forskningsbiblioteken är av sådan karak- tär att den kan anses utgöra sådant intrång i den personliga integri- teten som avses i enligt 2 kap. 6 § RF.

De personuppgifter som forskningsbiblioteken behandlar åter- finns i olika typer av informationssamlingar. Ibland kan person- uppgiftsbehandlingarna i dessa informationssamlingar omfatta integritetskänsliga personuppgifter om enskilda, beroende på hur en sammanställning ser ut när den är färdig. De personuppgifter som forskningsbiblioteken behandlar förkommer dock oftast i löpande text och inte i något myndighetsregister, med undantag för de låne- register som biblioteken för. De personuppgifter som kan förekomma om individer i löpande text är oftast allmänt kända sedan tidigare. Resultaten av sökningar i bibliotekens uppgiftssamlingar är inte heller av den beskaffenheten att de kan samköras med andra uppgifts- samlingar, exempelvis andra myndigheters register.

I tidigare lagstiftningsärenden har det bedömts att när det handlar om myndighetsregister med särskilt känsligt innehåll och ett stort antal registrerade, ska registret regleras i lag. Vidare har det i för- arbeten bedömts att en reglering i en s.k. registerförfattning50 inte är nödvändig i de fall där personuppgifter behandlas för strikt av- gränsande ändamål i ett register.51 Av utredningens kartläggning framkommer det att forskningsbiblioteken inte för några myndig- hetsregister vari det registreras känsliga personuppgifter om enskilda. De personuppgiftsbehandlingar som förekommer, utförs antingen för arkivändamål eller för forskningsändamål, och består huvudsakligen av lagring och tillgängliggörande av uppgifter som förekommer i löpande text i utgivet material. Utredningen gör bedömningen att det i bibliotekens verksamhet inte förekommer några sådana betydande intrång i den personliga integriteten, vilka innebär kartläggning eller övervakning, som avses i 2 kap. 6 § RF. Detta gäller även när behand- lingen rör mer strukturerade uppgifter, som låntagaruppgifter (avsnitt 4.4) eller vid text- och datautvinning (avsnitt 4.10), sett utifrån vilken effekt denna behandling får för den enskilde.52

50Registerförfattningar är kompletterande lagstiftning till personuppgiftslagen.

51Se t.ex. Regeringens propositioner Personuppgiftslag (prop. 1997/98:44) s. 41, Registrering av fastighetsrättsliga förhållanden, m.m. (prop. 1999/2000:39) s.78 samt om offentlighet, integritet och ADB (prop. 1990/91:60) s. 57 f.

52Prop. 2009/10:80 s. 250.

545

Bilaga 5

SOU 2018:36

Mot bakgrund av ovanstående finner vi därför att regleringar som innebär ändringar i redan befintliga förordningar görs på en godtagbar normgivningsnivå. Vi föreslår också att bestämmelser om person- uppgiftsbehandling i forskningsbibliotekens verksamhet kan och ska regleras i en ny förordning.

I dataskyddsutredningens förslag till dataskyddslag (SOU 2017:39) finns förslag om bemyndiganden för regeringen att meddela före- skrifter. Regeringen ska enligt förslaget få meddela föreskrifter dels om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse (3 kap. 6 § förslaget till dataskyddslag) dels om ytter- ligare undantag från förbudet att behandla känsliga personuppgifter, ifall det behövs med hänsyn till ett viktigt allmänt intresse (8 § samma kapitel). Vår bedömning är att även dessa förslag på bemyndiganden talar för att regleringen kan göras i förordningsform.

4.3.2En ny förordning

Utredningens förslag: En ny förordning som reglerar person- uppgifts-behandling i forskningsbibliotekens verksamhet ska in- föras.

Förordningens tillämpningsområde ska omfatta Kungliga biblioteket, sådana högskolebibliotek som omfattas av 12 § biblio- tekslagen, och privat finansierade högskolebibliotek. Förord- ningen ska komplettera dataskyddsförordningen. Om det i data- skyddslagen finns bestämmelser som avviker från den föreslagna förordningen, ska förordningens bestämmelser gälla.

I följande avsnitt konstaterar vi att det finns viss personuppgifts- behandling inom forskningsbibliotekens verksamhet som i dagsläget inte är fullt förenlig med dataskyddsförordningen. Det finns i vissa fall bestämmelser i nationell rätt som kan utgöra en rättslig grund för behandlingen, men vi gör i de följande avsnitten bedömningen att den befintliga nationella regleringen inte fullt ut motsvarar förordningens krav.

Det finns därför behov av kompletterande författning. I föregående avsnitt har vi gjort bedömningen att denna kan göras i förordningsform. Det är dock inte självklart i vilken förordning som regleringen ska införas.

546

SOU 2018:36

Bilaga 5

I avsnitt 4.2.4 har vi bedömt hur ”forskningsbibliotek” i utred- ningens uppdrag bör avgränsas. Tillämpningsområdet för den tänkta regleringen omfattar alltså KB (i sin roll som forskningsbibliotek), sådana högskolebibliotek som avses i 12 § bibliotekslagen och privat finansierade högskolebibliotek. Med privat högskolebibliotek avses ett bibliotek som är knutet till ett privat universitet eller en privat högskola, som svarar för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller hög- skolan. Eftersom det inte finns någon befintlig författning med ett sådant specialiserat tillämpningsområde anser vi det vara ändamåls- enligt att införa en ny författning.

Vi föreslår för tydlighets skull att det av denna nya förordning ska framgå att den kompletterar dataskyddsförordningen. Däremot ska den gälla i stället för den föreslagna dataskyddslagen i den mån den avviker från den nya förordningen. I den mån det finns specialreglering i form av lag eller förordning som rör en mer specifik personuppgifts- behandling hos ett eller fler bibliotek inom förordningens tillämp- ningsområde följer av principen om lex specialis att en sådan författ- ning har företräde framför den nya förordningen.

Syftet med förordningen är inte att fullständigt reglera biblioteken inom dess tillämpningsområde, utan bara innehålla kompletterande reglering som ska göra personuppgiftsbehandlingen möjlig hos forsk- ningsbiblioteken. Vi föreslår att detta begränsade syfte med förord- ningen framgår av dess titel: förordning om personuppgiftsbehand- ling i forskningsbibliotekens verksamhet.

4.3.3Rättslig grund för de privatfinansierade högskolebiblioteken

Utredningens bedömning: Såväl offentliga som privata högskole- bibliotek utför uppgifter av allmänt intresse.

Det är inte givet att privata högskolebibliotek kan författningsregleras av lagstiftaren. I stället kan det vara tillåtet för de privata högskole- biblioteken att behandla personuppgifter efter en intresseavvägning enligt artikel 6 f. Det krävs då att behandlingen är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Det är dock inte tillåtet att

547

Bilaga 5

SOU 2018:36

behandla känsliga personuppgifter med stöd av en intresseavvägning. Något av undantagen i artikel 9.2 måste vara tillämpligt för att en sådan behandling ska vara tillåten. Undantagen i artikel 9.2 är inte tillämpliga för de privata högskolebibliotekens verksamhet, om de inte kan anses utföra en uppgift av allmänt intresse. Konsekvensen av att tillämpa intresseavvägning som en rättslig grund för behandlingen blir i så fall att de privata högskolebiblioteken inte kan utföra laglig behandling av känsliga personuppgifter.

De privata högskolebiblioteken, som t.ex. Chalmers tekniska hög- skola och Stiftelsen Högskolan i Jönköping utför uppgifter i sin verksamhet som i allt väsentligt liknar den verksamhet som utförs vid de offentligt finansierade högskolebiblioteken. De privata hög- skolorna har liksom de offentliga tillstånd att utfärda examina. Detta framgår av lagen (1993:792) om tillstånd att utfärda vissa examina. Av den lagen framgår det att deras utbildning ska bedrivas så att den uppfyller kraven som ställs i högskolelagens första kapitel. I övrigt gäller inte högskolelagen för dessa aktörer. För varje examen som tillståndet gäller ska utbildningen dessutom uppfylla de särskilda krav som gäller enligt examensordningen som är en bilaga till hög- skoleförordningen. Övriga delar av högskoleförordningen gäller dock inte för privata utbildningsanordnare. Av första kapitlet i högskole- lagen framgår det att högskolorna ska verka för att utbildning och forskning håller god kvalitet samt att man ska verka för att de forsk- ningsresultat som är tillkomna vid högskolan kommer till nytta. Vidare gäller offentlighetsprincipen även för Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping samt, i begränsad om- fattning, Handelshögskolan i Stockholm.53 För de studenter och forskare som är verksamma vid en högskola är det i praktiken ingen formell skillnad mellan att vara verksam vid en offentlig eller privat finansierad högskola. Det är heller ingen skillnad mellan de uppdrag som forskningsbiblioteken har på dessa högskolor. Vår bedömning är därför att såväl offentliga som privata högskolebibliotek utför upp- gifter av allmänt intresse.

53Bilagan till offentlighets- och sekretesslagen (2009:400), proposition 1996/96:142 s. 15 ff Handlingsoffentlighet vid vissa stiftelser.

548

SOU 2018:36

Bilaga 5

4.4Personuppgifter om låntagare och biblioteksanvändning

4.4.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

Den mest traditionella biblioteksverksamheten, även hos forsknings- bibliotek, kan antas vara utlåning av böcker och annat textmaterial i fysisk form. För att kunna erbjuda lån behöver bibliotek i allmänhet kontaktuppgifter till låntagaren, normalt namn, adress och i vissa fall personnummer. Dessa uppgifter inhämtas vanligen i samband med utfärdande av lånekort eller liknande.

Utöver dessa direkta personuppgifter kräver bibliotekens verk- samhet även att de behandlar indirekta personuppgifter i form av uppgifter om vilka böcker eller annat material som en viss låntagare har lånat, beställt eller reserverat.

För att få lånekort hos KB krävs att den enskilde ingår ett lån- tagaravtal med biblioteket. I avtalet anges särskilt att KB behandlar namn, adressuppgifter och personnummer. För att låna material från Stockholms universitetsbibliotek samtycker i stället den enskilde låntagaren till personuppgiftsbehandlingen. Oavsett den exakta for- men för personuppgiftsbehandlingens precisering ligger det inom bibliotekens ansvar och möjligheter att anordna verksamheten så att behandlingen blir tillåten.

Sådana enskilda uppgifter om en låntagares lån eller beställningar har tidigare i normalfallet inte betraktats som särskilt integritets- känsliga. I och med övergången till datoriserade utlåningssystem följde dock större möjligheter till kartläggning av enskildas läsvanor, vilket kan utgöra ett hot mot den personliga integriteten.54 Detta resulterade i att sekretess gäller i biblioteksverksamhet för uppgift i register om en enskilds lån, reservation eller annan form av beställ- ning, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men (nuvarande 40 kap 3 § offentlighets- och sekretesslagen [2009:400]). Uppgifterna är däremot inte känsliga i dataskyddsförordningens mening.

Uppgifterna får enligt de grundläggande principerna inte behand- las under längre tid än som behövs för ändamålet. och kan därför

54Konstitutionsutskottets betänkande Sekretesskydd för uppgifter i bibliotekens låntagarregister (bet. 1988/89:KU38), s. 6 och 11.

549

Bilaga 5

SOU 2018:36

raderas eller anonymiseras när de inte längre behövs för bibliotekets verksamhet, dvs. när det lånade materialet är tillbakalämnat.

Regeringen har lagt en proposition55 om att utöka sekretessen till att även omfatta uppgifter om enskilds användning av informations- teknik såsom besökares användning av databaser, surfvanor m.m. I propositionen finns bakgrund kring den föreslagna nya sekretess- regeln och de intressen som ligger bakom denna. Lagändringen föreslås träda i kraft den 1 januari 2018.

Loggning och annan behandling av uppgifter om användning

Bibliotekens digitala miljöer används bl.a. för att tillhandahålla tjänster över nätverk till bibliotekets användare, både sådana tjänster som biblioteket själv ansvarar för (som egna katalogtjänster och publika- tionsdatabaser) och externa tjänster som man förmedlar tillgång till (som databaser och elektroniska tidskrifter). I båda dessa fall finns ett behov att logga information om användning av tjänsterna för att bl.a. kunna stävja missbruk. Denna typ av loggning kan ses som en del av sådana säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta enligt artikel 32 i dataskyddsförordningen. I den mån logg- ning även innebär personuppgiftsbehandling måste dock även denna behandling vara tillåten.

Sekundära ändamål

Det förekommer att biblioteken har behov av att använda sig av ut- låningsuppgifter och andra uppgifter om användning av bibliotekets tjänster för att bl.a. ta fram statistik och underlag för verksamhets- utveckling.

Det finns vid sådan behandling normalt inte anledning att även bevara och i övrigt behandla uppgifter om enskilda biblioteksanvändares identitet.

55Regeringens proposition Några frågor om offentlighet och sekretess (prop. 2016/17:208), s. 78 ff.

550

SOU 2018:36

Bilaga 5

4.4.2Rättslig grund för behandlingen

Tillämplig rättslig grund

Utredningens bedömning: Behandling av låntagaruppgifter kan utföras med stöd av samtycke i artikel 6.1 a eller avtal i artikel 6.1 b.

Av 9 § bibliotekslagen framgår att allmänheten på folkbiblioteken ska avgiftsfritt få låna eller på annat sätt få tillgång till litteratur. Denna fastställda uppgift utgör rättslig grund för folkbiblioteken att utföra nödvändig personuppgiftsbehandling för att utföra denna uppgift, exempelvis att föra ett register över låntagare och dess lån.56 Någon motsvarande uppgift framgår inte för högskolebiblioteken eller KB. För högskolebiblioteken finns endast den generella uppgiften att enligt 12 § bibliotekslagen svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan. Någon sådan reglering för de privata högskole- biblioteken finns inte heller. Vi gör bedömningen att denna uppgift inte med tillräcklig tydlighet gör det nödvändigt att behandla person- uppgifter om låntagare och deras lån. Det kan därför inte vara fråga om nödvändig behandling för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e. Personuppgiftsbehandlingen kan i stället göras med stöd av antingen samtycke enligt artikel 6.1 a eller med stöd av avtal med den registrerade enligt artikel 6.1 b. Vi bedömer att ett sådant samtycke kan ges frivilligt eftersom den enskilde, även i de fall denne är student vid lärosätet, kan välja att inte nyttja bibliotekets låneverksamhet. Det föreligger därför inte en betydande ojämlikhet mellan den enskilde och biblioteket (jfr skäl 43 i dataskyddsförord- ningen)

56SOU 2017:39 s. 127.

551

Bilaga 5

SOU 2018:36

4.5Digitalisering av analoga samlingar och publicering av dessa på internet

4.5.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

I forskningsbibliotekens samlingar förekommer material som man av olika anledningar strävar efter att digitalisera, i första hand för att kunna tillgängliggöra detta på internet. Det kan vara fråga om äldre historiskt material som annars bara kan läsas på plats eftersom det är för känsligt för fjärrlån (i vissa fall, särskilt i KB:s samlingar, är visst material inte tillgängligt för visning överhuvudtaget).57 Bibliotek har även en generell upphovsrättslig möjlighet att med stöd av 16 § 1 p. upphovsrättslagen (1960:729) framställa ytterligare exemplar (även i digital form) för bevarandeändamål, kompletteringsändamål eller forskningsändamål, s.k. bevarandedigitalisering. Detta gäller framför allt tidningar, men även äldre TV- och radioprogram digitaliseras. Det kan också vara fråga om digitalisering av material som man från bibliotekens sida önskar sprida i större utsträckning än vad som är möjligt med traditionellt tillhandahållande från bibliotekets lokaler. Detta kan exempelvis vara fallet med KB:s digitalisering av kartor och bilder.

Att digitalisera analogt material väcker som redan framkommit såväl upphovsrättsliga som dataskyddsrättsliga frågor. Eftersom vårt uppdrag inte omfattar upphovsrättsfrågor kommer vi inte att behand- las dessa.58

I historiskt material saknas ofta personuppgifter om nu levande personer. Arbetet med att digitalisera sådant material är därför oproblematiskt ur ett dataskyddsperspektiv eftersom förordningen inte gäller behandling av personuppgifter rörande avlidna personer (skäl 27). I nyare material förekommer dock personuppgifter om levande personer. Det kan handla om uppgifter om verkens författare, redaktörer eller andra sammanställare och om uppgifter om personer

57Exempelvis den s.k. Djävulsbibeln (Codex Gigas), som är tillgänglig i högupplöst format på http://www.kb.se/codex-gigas/

58För ett exempel på dessa frågeställningar, se Stockholms universitetsbiblioteks projekt med att digitalisera samtliga doktorsavhandlingar från Stockholms högskola (1906-1960), samt avhandlingar publicerade i ACTA-serier från Stockholms universitet, http://www.su.se/forskning/avhandlingar- publikationer/digitaliseringsprojektet-vid-stockholms-universitetsbibliotek-1.155906 samt JK:s beslut i ärende 7402-13-40.

552

SOU 2018:36

Bilaga 5

i verkens innehåll. I innehållet kan förekomma känsliga personuppgif- ter samt uppgifter om lagöverträdelser m.m.

I en digitaliseringsverksamhet kan det vara svårt att avgöra var en personuppgiftsbehandling slutar och nästa börjar. I de flesta fall torde det dock gå att särskilja åtminstone fyra separata former av person- uppgiftsbehandlingar.

1.När de analoga exemplaren överförs till digital form (skannas). Resultatet av denna process är en uppsättning digitala filer som avbildar utseendet på de enskilda sidorna i de analoga materialen.

2.När de avbildade sidorna behandlas med ett textigenkännings- program (OCR) för att göra texten på sidorna maskinläsbar. Denna process kan ofta generera fel i materialet i form av bokstäver och ord som inte känns igen korrekt. Illustrationer och andra bilder behandlas vanligen inte i denna process.

3.När metadata om verken i sin digitala form tillförs. Dessa metadata kan ofta utgå från befintliga bibliotekskatalog- uppgifter, men överförs till verket i sin digitala form genom att bl.a. filerna namnges på ett konsekvent sätt utifrån verkets titel eller andra egenskaper, att maskinläsbar metadata bäddas in i filerna, m.m.

4.När verken i sin digitala form tillgängliggörs för bibliotekets besökare i terminaler på plats på biblioteket eller över internet via olika publikationsdatabaser.

Särskilt om Kungliga bibliotekets digitaliseringsarbete

KB ska enligt sin instruktion svara för frågor om samverkan mellan forskningsbibliotek när det gäller digitalisering och digitalt tillgänglig- görande samt verka för utveckling och samordning av digitala tjänster och system inom biblioteksväsendet. Inom området digitalisering samverkar KB med andra bibliotek via expertgruppen för digita- lisering. Myndigheten är representerad i styrgruppen för Samord- ningssekretariatet för digitalisering, digitalt bevarande och digital förmedling (Digisam) vid Riksantikvarieämbetet och ska där särskilt svara för samordningen inom bibliotekssektorn. KB deltar även på

553

Bilaga 5

SOU 2018:36

olika sätt i det europeiska arbetet med digitalisering, bland annat inom Europeana och The European Library.59

Särskilt om digitalisering i form av offentlig-privat samverkan

Viss digitalisering av de analoga samlingarna görs inom ramen för en offentlig-privat samverkan. Exempelvis har KB samarbetat kring digitalisering av tidningar. Inom ramen för EU:s digitala agenda har sådan offentlig-privat samverkan kring digitalisering av kulturarv särskilt lyfts fram som något som bör uppmuntras.60

Frågan om offentlig-privat samverkan förändrar dock inte biblio- tekens personuppgiftsansvar i samband med frågor om digitalisering av analoga samlingar. Sådan digitalisering får fortfarande bedömas precis som annan digitalisering enligt nedanstående resonemang om tillämplig rättslig grund för den personuppgiftsbehandling som blir följden, undantag för behandling av känsliga personuppgifter, m.m.

4.5.2Rättslig grund

Tillämplig rättslig grund

Forskningsbibliotekens analoga samlingar faller utanför dataskydds- förordningens tillämpningsområde. Den behandling av personuppgif- ter som en digitalisering av sådant materialet innefattar leder dock till att verksamheten hamnar inom dataskyddsförordningens regelverk. I den mån det digitaliserade materialet innehåller uppgifter som kan hänföras till en fysisk person som är i livet blir därmed den första frågan vilken rättslig grund som är möjlig att tillämpa för att behandlingen ska vara tillåten.

Eftersom behandlingen generellt rör fysiska personer som inte har någon närmare kontakt med biblioteken i fråga, kan enligt vår bedöm- ning samtycke enligt artikel 6.1 a knappast vara praktiskt möjligt för biblioteken att tillämpa som rättslig grund. De personuppgifter som återfinns i biblioteksmaterialet ger inte biblioteken möjligheten att unikt identifiera varje person eller dennes kontaktuppgifter,

59Se http://www.kb.se/om/verksamhet/digitalisering/

60Se skäl 7 i kommissionens rekommendation av den 27 oktober 2011 om digitalisering av och tillgång via internet till kulturellt material och digitalt bevarande (2011/711/EU).

554

SOU 2018:36

Bilaga 5

Behandlingen kan vara tillåten om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e). Utredningen gör bedömningen att denna grund är möjlig att tillämpa för person- uppgiftsbehandling i samband med digitalisering av forskningsbiblio- tekens samlingar och publicering av dessa på internet, utifrån biblio- tekens övergripande uppdrag att bidra till kunskapsförmedling och fri åsiktsbildning.61

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att den är rättsligt grundad, innebär inte att behandling kan utföras när det gäller vilka personuppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. Det är vid varje tillfälle den personuppgifts- ansvariges ansvar att se till att behandlingen är laglig. Forsknings- biblioteken måste alltid göra en sådan bedömning av de behandlingar av personuppgifter som förekommer i verksamheten.

Fastställd uppgift av allmänt intresse

Utredningens bedömning: KB:s uppgifter att bl.a. förvara och tillhandahålla den svenska tryckproduktionen framgår av förord- ningen med instruktion för Kungl. biblioteket. Härigenom är uppgiften fastställd i nationell rätt och KB kan tillämpa den rätts- liga grunden uppgift av allmänt intresse vid digitalisering av analoga samlingar och publicering på internet.

Högskolebibliotekens grundläggande uppgift att tillgänglig- göra material för bl.a. utbildning och forskning är inte tydligt reglerad i nationell rätt. Uppgiften är därmed inte fastställd i nationell rätt och högskolebiblioteken kommer inte att kunna använda den rättsliga grunden uppgift av allmänt intresse om inte uppgiften regleras tydligare.

Utredningens förslag: Högskolebibliotekens uppgifter att till- gängliggöra kunskap i syfte att stödja forskning och utbildning ska regleras i en ny paragraf i högskoleförordningen. När det gäller de privata högskolebiblioteken ska det regleras i vårt förslag till

61Se avsnitt 3.2.3. gällande begreppen uppgift av allmänt intresse och viktigt allmänt intresse.

555

Bilaga 5

SOU 2018:36

förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.

För KB:s del framgår det av dess instruktion att myndigheten har till uppgift att bl.a. förvara och tillhandahålla den svenska tryck- produktionen. Uppgiften är med andra ord fastställd i nationell rätt och KB kan tillämpa den rättsliga grunden att biblioteket utför upp- gifter av allmänt intresse vid digitalisering av analoga samlingar och publicering på internet.

Vad gäller högskolebiblioteken är det inte lika lätt att beskriva vilka uppgifter de har. Verksamheten är, med få undantag, inte reglerad. Det övergripande ändamålet med bibliotekens verksamhet framgår dock av 2 § bibliotekslagen och omfattar bl.a. att verka för det demo- kratiska samhällets utveckling genom att bidra till kunskapsförmed- ling och fri åsiktsbildning, samt att främja litteraturens ställning och intresset för bildning, upplysning, utbildning och forskning samt kulturell verksamhet i övrigt. Det framgår dock inte att högskole- biblioteken har i uppdrag att ge allmänheten tillgång till något visst material, vilket det exempelvis gör för folkbiblioteken (9 § biblioteks- lagen).

Att digitalisera analoga samlingar är, enligt vår bedömning, ett sätt att med hjälp av modern informations- och kommunikationsteknik uppfylla bibliotekens uppdrag.62 Digitaliseringen i sig behöver därför inte fastställas som en självständig rättslig grund. Det är forsknings- bibliotekens grundläggande uppgift att tillgängliggöra kunskap som måste vara tydligt och uttryckligt reglerad. Vi föreslår därför en sådan bestämmelse i förslaget till högskoleförordningen samt i förord- ningen om personuppgiftsbehandling i forskningsbibliotekens verk- samhet. Vi bedömer att den föreslagna uppgiften är proportionerlig, sett till den stora samhällsnyttan med en effektiv forskningsbiblio- teksverksamhet ställt i relation till den lilla påverkan på den enskildes integritet som behandling och spridning av redan utgivet material medför. Uppgiften är precist formulerad på så sätt att det är tydligt vilka handlingar som ingår respektive inte ingår i uppgiften, utan att de enskilda tillåtna behandlingarna behöver särskilt nämnas. Tillämp- ningen är vidare förutsägbar för den enskilde utifrån förutsättningen

62Jfr för KB:s del SOU 2003:129 ex. s. 62 ff samt s. 226 ff.

556

SOU 2018:36

Bilaga 5

att forskningsbibliotek kan använda modern informationsteknik för att utföra sitt uppdrag.

4.5.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens förslag: Forskningsbiblioteken ska få behandla känsliga personuppgifter i löpande text enligt artikel 9.2 j om detta är nödvändigt för att biblioteken ska kunna fullgöra sina uppgifter. Detta ska dock endast vara tillåtet när de känsliga uppgifterna före- kommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.

Privata forskningsbibliotek ska få behandla uppgifter om lag- överträdelser m.m. i löpande text. Detta ska dock endast vara tillåtet när uppgifterna förekommer i utgivet material som det in- går i bibliotekens uppdrag att tillhandahålla.

Bestämmelser om detta ska införas i nationell rätt genom utred- ningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.

Huvudregeln i artikel 9.1 i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. I den mån känsliga person- uppgifter förekommer i det material som digitaliseras måste behand- lingen kunna stödja sig på något av undantagen från förbudet som framgår av artikel 9.2. De undantag som enligt utredningens bedöm- ning kommer ifråga är sådan behandling som är nödvändig för arkivändamål av allmänt intresse enligt artikel 9.2 j.

Enligt artikel 9.2 j krävs att behandlingen ska göras med stöd av en författning som står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och inne- håller bestämmelser om lämpliga och särskilda åtgärder för att säker- ställa den registrerades grundläggande rättigheter och intressen. Sådan uttrycklig reglering saknas i svensk rätt.

För att digitalisering av material som kan innehålla känsliga personuppgifter samt efterföljande publicering på internet ska vara tillåten enligt dataskyddsförordningen, krävs alltså att nationell reglering införs som uppfyller kraven i artikel 9.2 j. Vi föreslår därför

557

Bilaga 5

SOU 2018:36

en kompletterande bestämmelse i nationell rätt som tillåter biblio- teken att behandla känsliga personuppgifter i löpande text när detta är nödvändigt för att biblioteken ska kunna utföra sina uppgifter. Enligt artikel 9.2 j ska nationell rätt innehålla lämpliga skyddsåtgärder. En sådan skyddsåtgärd gällande behandling av känsliga personuppgifter är att det endast ska vara tillåtet när de känsliga uppgifterna före- kommer i tidigare utgivet material som det ingår i bibliotekens upp- drag att tillhandahålla. Eftersom behandlingen enligt tidigare bedöm- ning är nödvändig för ett arkivändamål av allmänt intresse medför artikel 89.1 att den personuppgiftsansvarige i det enskilda fallet ska tillämpa lämpliga skyddsåtgärder. Vid publicering på internet är det särskilt viktigt att dessa skyddsåtgärder väljs på ett sätt som möjliggör bibliotekets uppgift att tillgängliggöra kunskap samtidigt som den registrerades friheter och rättigheter skyddas.

Enligt artikel 10 i dataskyddsförordningen får endast myndigheter behandla personuppgifter som rör fällande domar i brottmål och överträdelser. Med överträdelser avses här överträdelser som inne- fattar brott, dvs. lagöverträdelser.63 Samma artikel anger vidare att det är tillåtet för andra aktörer än myndigheter, dvs. privata aktörer, att behandla personuppgifter om lagöverträdelser om det finns stöd för det i nationell rätt.

I förordningens skäl 8 framgår det att medlemsstaterna får inför- liva delar av förordningen i nationell rätt om det krävs för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Skäl 8 har behandlats av Dataskyddsutredningen som menar att ett sådant införlivande fyller en viktig funktion när det gäller myndig- heters behandling av uppgifter om lagöverträdelser, för att på så vis tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att behandla den typen av uppgifter. Av den anledningen föreslår Dataskyddsutredningen att artikel 10 införlivas i svensk rätt i utredningens förslag till dataskyddslag.64 Vi bedömer därför att de forskningsbibliotek som utgör myndigheter därigenom har lagstöd för sin behandling av personuppgifter om lagöverträdelser. Däremot saknas lagstöd för behandling av personuppgifter om lagöverträdelser för de forskningsbibliotek som är privata aktörer. Vi föreslår därför en kompletterande bestämmelse i nationell rätt som

63SOU 2017:39 s. 191 ff.

64SOU 2017:39 s. 192 ff.

558

SOU 2018:36

Bilaga 5

tillåter forskningsbiblioteken att behandla uppgifter om lagöver- trädelser i löpande text när detta är nödvändigt för att biblioteken ska kunna utföra sitt uppdrag.

När biblioteken bevarar analoga samlingar och bedömer att det finns ett intresse av att digitalisera och tillgängliggöra dessa, talar det enligt vår bedömning för att det föreligger ett arkivändamål av allmänt intresse.65 Själva digitaliseringen utgör en form av bevarande. Till- gängliggörandet av materialet över internet görs utifrån en bedömning av att materialet kan komma att vara intressant för allmänheten. Vi gör därför bedömningen att den personuppgiftsbehandling som före- kommer inom bibliotekens verksamhet med att digitalisera analoga samlingar är nödvändig för arkivändamål av allmänt intresse.

Det gemensamma för de olika verksamheterna hos biblioteken är att de uppgifter som behandlas förekommer i löpande text, och den behandlingen som utförs är sådan som är nödvändig för att lagra och tillgängliggöra texten som sådan. Vi bedömer därför att det är möjligt med en generell bestämmelse som tillåter sådan behandling hos forskningsbiblioteken av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som är nödvändig för att förvalta och till- gängliggöra materialet.

4.6Digitala fjärrlån

4.6.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

Det finns en uttalad efterfrågan hos forskare och studenter på access till både käll- och undervisningsmaterial. Sådant material finns i såväl KB:s som högskolebibliotekens samlingar. Det finns därför en möjlighet att fjärrlåna material från ett forskningsbibliotek till ett annat (se även det lagstadgade kravet på högskolebibliotek att avgifts- fritt ställa litteratur ur de egna samlingarna till andra högskole- biblioteks förfogande enligt 2 kap. 16 § högskoleförordningen).

Vid fjärrlån digitaliseras dokumentet och filen överförs till det fjärrlånande biblioteket. Det fjärrlånande biblioteket skriver sedan ut dokumentet till låntagaren, som alltså inte får tillgång till verket i digital form.

65Se avsnitt 3.6.

559

Bilaga 5

SOU 2018:36

4.6.2Rättslig grund

Tillämplig rättslig grund

Den behandling av personuppgifter som en digitalisering av sådant materialet innefattar leder till att fjärrlåneverksamheten hamnar inom dataskyddsförordningens tillämpningsområde. I den mån det digita- liserade materialet innehåller personuppgifter blir därmed den första frågan på vilken rättslig grund som behandlingen kan vara tillåten.

Fastställd uppgift av allmänt intresse

Utredningens bedömning: Enligt 1 § förordningen med instruktion för Kungl. biblioteket har KB en fastställd uppgift att bl.a. till- handahålla den svenska tryckproduktionen samt andra typer pliktexemplar. KB kan därför med samma stöd behandla person- uppgifter i utlånade verk i samband med digitala fjärrlån.

Enligt 2 kap 16 § högskoleförordningen har högskolebiblio- teken en fastställd uppgift att avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande. Hög- skolebiblioteken kan därför tillämpa artikel 6.1 e för att behandla personuppgifter i utlånade verk i samband med digitala fjärrlån eftersom detta är en nödvändig behandling för att uppfylla denna arbetsuppgift.

För forskningsbiblioteken finns en i avsnitt 4.5.2 i förordning föreslagen fastställd uppgift att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Även de privata högskolebiblio- teken kan därför tillämpa artikel 6.1 e som stöd för att behandla personuppgifter i utlånade verk i samband med digitala fjärrlån eftersom detta är en nödvändig behandling för att uppfylla denna arbetsuppgift.

Generellt handlar personuppgiftsbehandlingen i samband med digita- lisering såväl om behandling av strukturerade personuppgifter rörande upphovsmän och liknande som om personuppgifter i löpande text.

560

SOU 2018:36

Bilaga 5

Med strukturerade personuppgifter avses här sådana uppgifter som ingår i ett register enligt definitionen i artikel 4.6 i dataskydds- förordningen. De strukturerade uppgifterna innefattar, likt andra katalogiserade biblioteksbestånd, i normalfallet inte känsliga person- uppgifter. Personuppgifter som kan förekomma i de digitaliserade verkens löptext kan däremot bestå av såväl känsliga personuppgifter samt uppgifter om lagöverträdelser.

Det är i allmänhet inte möjligt att inhämta samtycke från de regist- rerade i dessa fall. Syftet med behandlingen ryms däremot under bibliotekens uppdrag att främja bl.a. forskning. Behandlingen görs enligt vår bedömning alltså med stöd av den rättsliga grunden att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vad gäller hanteringen av strukturerade personuppgifter som inte är känsliga i detta sammanhang bör enligt vår bedömning behandlingen som grundregel kunna utföras med stöd av artikel 6.1 e.

4.6.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens förslag: Forskningsbiblioteken ska få behandla känsliga personuppgifter enligt artikel 9.2 j i löpande text när detta är nödvändigt för arkivändamål av allmänt intresse. Detta ska dock endast gälla när de känsliga uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.

Bestämmelser om detta ska införas i nationell rätt genom utred- ningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.

I den mån känsliga personuppgifter och uppgifter om lagöverträdelser

m.m.förekommer i den ostrukturerade fulltexten behöver forsk- ningsbiblioteken kunna hänvisa till nationellt reglerat undantag för att behandlingen av sådana uppgifter ska vara tillåten. Analysen och motiveringen till vårt förslag i detta avsnitt är densamma som vi

561

Bilaga 5

SOU 2018:36

redovisat i avsnitt 4.5.3. Vi hänvisar därför till vårt resonemang i det avsnittet.

4.7Digitalisering på användares begäran (on-demand-digitalisering)

4.7.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

För äldre material i forskningsbibliotekens samlingar, som inte längre omfattas av upphovsrätt, finns möjligheten för en utomstående användare att begära att biblioteket digitaliserar materialet och till- gängliggör det i digital form (on-demand-digitalisering). Den första personen som begär verket får betala en kostnad motsvarande bibliotekets arbetskostnad, men det digitaliserade verket görs sedan tillgängligt i systemet Ebooks on demand (EOD). EOD är en platt- form som ger global access till material i 87 forsknings- och national- bibliotek.66

För annat material i bibliotekens samlingar finns det möjlighet för besökare eller andra enskilda att kopiera materialet med kopiator, skanner eller digitalkamera. I vissa fall har biblioteken reproduktions- avdelningar som kan utföra kopieringen åt den enskilde. Detta kan omfatta sådan kopiering som medför en digitalisering, dvs. med hjälp av skanner eller digitalkamera. När biblioteken utför sådana repro- duktionstjänster åt enskilda tar biblioteket vanligen betalt enligt en fastställd prislista.67

4.7.2Rättslig grund

Tillämplig rättslig grund

Av samma anledning som för digitala fjärrlån (se avsnitt 4.6) anser vi att den tillämpliga rättsliga grunden för behandling av personuppgifter vid on-demand-digitalisering är att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e).

66Se vidare om EOD: IFLA Journal (1) 2009 s 35, https://www.ifla.org/files/assets/hq/publications/ifla-journal/ifla-journal-35-1_2009.pdf

67Se särskilt KB:s reproverksamhet, http://www.kb.se/besoka/kopiering/

562

SOU 2018:36

Bilaga 5

Fastställd uppgift av allmänt intresse

Utredningens bedömning: Det är en fastställd uppgift av allmänt intresse för forskningsbiblioteken att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Behandling av person- uppgifter vid on-demand-digitalisering är en nödvändig del för att tillgängliggöra kunskap i enlighet denna uppgift. KB:s uppgifter att bl.a. förvara och tillhandahålla den svenska tryckproduktionen framgår därtill av KB:s instruktion,

Som nämnts ovan under avsnitt 4.5 handlar personuppgiftsbehand- lingen när biblioteken digitaliserar analogt material om behandling av både strukturerade personuppgifter rörande upphovsmän och lik- nande och av personuppgifter i löpande text. Med strukturerade personuppgifter avses sådana uppgifter som ingår i ett register enligt definitionen i artikel 4.6 i dataskyddsförordningen. Även här före- kommer i normalt inte känsliga personuppgifter men däremot kan löptext bestå av såväl känsliga personuppgifter samt uppgifter om lagöverträdelser.

Det är i allmänhet inte möjligt att inhämta samtycke från de registrerade i dessa fall. Syftet med behandlingen ryms däremot under bibliotekens uppdrag att främja bl.a. forskning. Behandlingen görs enligt vår bedömning alltså med stöd av den rättsliga grunden att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vad gäller behandlingen i detta sammanhang av strukturerade person- uppgifter som inte är känsliga bör enligt vår bedömning denna som grundregel kunna utföras med stöd av artikel 6.1 e.

563

Bilaga 5

SOU 2018:36

4.7.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Privata forskningsbibliotek ska få behandla uppgifter om lagöverträdelser m.m. i löpande text. Detta ska dock endast vara tillåtet när uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.

Bestämmelser om detta ska införas i nationell rätt genom utred- ningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.

I den mån känsliga personuppgifter och uppgifter om lagöverträdelser

m.m.förekommer i den ostrukturerade fulltexten hänvisar vi vad gäller analys och motivering till vårt resonemang i avsnitt 4.5.3.

4.8Publikationsdatabaser

4.8.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

En allt viktigare uppgift för forskningsbiblioteken har kommit att bli att sköta lärosätenas lokala publikationsdatabaser och att se till att forskare får rätt erkännande för sina resultat genom att hantera globalt gångbara identifikatorer. Sådana identifikatorer är exempelvis Open Researcher and Contributor ID (ORCID)68 och Digital Object Identifier (DOI). Hanteringen av sådana identifikatorer kan medföra behandling av personuppgifter.

Man kan betrakta hanteringen av publikationsdatabaser och identi- fikatorer som två helt skilda former av personuppgiftsbehandlingar. Det finns dock ett stort värde i att i publikationsdatabaser även lagra

68Se rapport från KB/Chalmers, ”Erfarenheter av medlemskap och implementering av ORCID på

Chalmers” http://www.kb.se/dokument/Om/projekt/open_access/2014/51-KB%20867- 2013%20Erfarenheter%20av%20medlemskap%20i%20ORCID%20-%20slutrapport.pdf

564

SOU 2018:36

Bilaga 5

identifikatorer för verk och författare. Inom det KB-ledda projektet openaccess.se har bl.a. rekommenderats att ORCID ska vara den standard som används för hantering av författaridentifikatorer i publiceringsdatabaser.69

Det är en vanlig uppgift för högskolebibliotek att bistå sitt lärosäte med att elektroniskt publicera avhandlingar och andra vetenskapliga resultat genom egna publikationsdatabaser eller i samarbetsdatabasen DiVA. Det kan vara fråga om att tillgängliggöra publikationerna i fulltext, eller bara metadata om dem. I det följande beskrivs kortfattat några olika exempel på publikationsdatabaser som drivs av högskole- bibliotek.

Digitala vetenskapliga arkivet (DiVA) är ett publiceringssystem för forskningspublikationer och studentuppsatser samt ett digitalt arkiv för långsiktig bevaring av publikationer. DiVA började utvecklas år 2000 av Enheten för digital publicering (Electronic Publishing Centre, EPC) vid Uppsala universitetsbibliotek. DiVA drivs i konsortieform och finansieras av deltagarna i projektet. I dag sker den tekniska utveck- lingen av EPC i samråd med övriga medlemmar. DiVA-samarbetet är öppet för alla universitet samt offentligt finansierade forsknings- institutioner och myndigheter både i Sverige och utomlands. Forsk- ningspublikationer och studentuppsatser från 44 lärosäten och forskningsinstitutioner är sökbara i tjänsten. De lärosäten som inte anslutit sig till DiVA använder sig av andra liknande publikations- databaser. Publikationer som registreras i DiVA överförs automatiskt till den nationella databasen SwePub, som innehåller vetenskaplig publicering vid svenska lärosäten. SwePub utvecklas i samarbete mellan Vetenskapsrådet och KB för att ligga till grund för nationell information om och analys av forskning. SwePub är också kopplad till ansökningssystemet Prismas publikationsmodul.

Exakt vilken personuppgiftsbehandling som blir aktuell beror på den exakta omfattningen av publikationsdatabasen. En skiljelinje kan dras mellan sådana databaser som enbart lagrar referenser till publika- tioner och metadata om dem, såsom uppgifter om författare, titel, utgivningstidpunkt, ämnesklassificering m.m., och sådana databaser som utöver detta även lagrar själva publikationernas innehåll i fulltext.

69”Författaridentifikatorer och publiceringsdatabaser – scenarier och utvecklingsmöjligheter. Slutrapport” Gustavsson et al (2013).

565

Bilaga 5

SOU 2018:36

4.8.2Rättslig grund

Tillämplig rättslig grund

Av samma anledning som för tillgängliggörande av analoga samlingar på internet (se avsnitt 4.5.2) anser vi att en tillämplig rättslig grund för behandling av personuppgifter i samband med publikationsdatabaser är att sådan behandling är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e).

Fastställd uppgift av allmänt intresse

Utredningens bedömning: Att förvalta ett register över sådana publikationer som ingår i ett biblioteks samlingar ingår i den för samtliga forskningsbibliotek fastställda arbetsuppgiften att bidra till kunskapsförmedling. Personuppgiftsbehandling i form av sådan registerförvaltning är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Personuppgiftsbehandling som är nödvändig för att lagra och till- gängliggöra publikationer i fulltext har även den en rättslig grund i artikel 6.1 e dataskyddsförordningen, i den utsträckning det inte före- kommer känsliga personuppgifter. Den person som metadata och referenser vanligen hänvisar till är i normalfallet publikationens för- fattare. Inom forskningen torde det höra till undantag att metadata om ett verk i en publikationsdatabas utgör personuppgifter om andra identifierbara personer än författaren själv.70 I vissa fall kan då bibliotekets personuppgiftsbehandling utföras med stöd av samtycke, dvs. när författaren själv varit delaktig i införandet i publikations- databasen.

Det kan dock förekomma situationer när den eller de personer som registrerats i metadata i praktiken inte ger sitt samtycke. Det kan vara fråga om publikationer med många författare, vissa vid andra läro- säten, eller författare som trots att de är verksamma vid högskole- bibliotekets lärosäte inte prioriterar att hålla publikationsdatabasen

70Inom vissa discipliner kan dock finnas undantag, exempelvis i rättsvetenskaplig forskning där en vanlig typ av publikation är rättsfallskommentarer, dvs. texter som utgår från ett enskilt rättsfall. I den mån rättsfallet och måltypen kan identifieras från titeln kan redan denna utgöra en indirekt känslig personuppgift, exempelvis i mål om tvångsvård.

566

SOU 2018:36

Bilaga 5

uppdaterad. Biblioteket har även i dessa fall ett berättigat intresse av att publikationsdatabaserna ska vara fullständiga.

Det saknas skäl att göra en skillnad mellan en publikationsdatabas som biblioteket förvaltar och den generella bibliotekskatalog som är en förutsättning för bibliotekets verksamhet. Det är knappast möjligt att förmedla den kunskap biblioteken har i sina samlingar om de inte kan föra ett register, med bl.a. författaruppgifter, över samlingarnas innehåll. Vår bedömning är därför att personuppgiftsbehandling i sådan katalogverksamhet är nödvändig för att uppfylla det allmänna syftet att forskningsbibliotek ska bidra till kunskapsförmedling (2 § 1 st. bibliotekslagen). Med andra ord, även om enskilda registrerade författare skulle samtycka till den resulterande personuppgifts- behandlingen, är en tillämplig rättslig grund för behandlingen att den är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras (artikel 6.1 e).

I de fall där publikationsdatabasen även innehåller publikationerna i fulltext kan dessa innehålla direkta eller indirekta personuppgifter om andra än verkets författare. Denna behandling görs vanligen i syfte att tillgängliggöra forskningsresultat. Denna behandling är nödvändig för uppgift att tillgängliggöra kunskap i syfte att stödja forskning och utbildning som vi föreslår i avsnitt 4.5.2.

4.8.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens bedömning: Behandling av känsliga personuppgifter i metadata tillhörande en publikationsdatabas är tillåten med stöd av artikel 9.2 j, eftersom detta kan anses vara nödvändigt för ett arkivändamål av allmänt intresse på grundval av nationell rätt.

Privata forskningsbibliotek ska få behandla uppgifter om lag- överträdelser m.m. i löpande text. Detta ska dock endast vara

567

Bilaga 5

SOU 2018:36

tillåtet när uppgifterna förekommer i utgivet material som det ingår i bibliotekens uppdrag att tillhandahålla.

Bestämmelser om detta ska införas i nationell rätt genom utred- ningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.

Metadata

I de sällsynta fall när katalogen innehåller känsliga uppgifter är huvud- regeln enligt dataskyddsförordningen att behandlingen är förbjuden enligt artikel 9.1. Sådan behandling av känsliga personuppgifter behöver ett rättsligt stöd som uppfyller kraven i artikel 9.2.

Intresset av att biblioteken även i detta avseende kan hantera ett korrekt register av publikationer torde vara viktigt såväl ur biblioteks- lagens som ur högskolelagens perspektiv. Av bibliotekens fastställda uppgift att bidra till kunskapsförmedling följer, som vi bedömt ovan i avsnitt 4.8.2, att behandling av personuppgifter, även känsliga sådana, i en publikationsdatabas metadata är nödvändig. Behandlingen är också proportionerlig sett till detta syfte, och även förenlig med det väsentliga innehållet i dataskyddet (särskilt vad gäller forskningens intressen). Detta uppfyller de grundläggande kriterierna för nöd- vändig behandling för arkivändamål av allmänt intresse som framgår av artikel 9.2 j. Det saknas dock i nationell rätt bestämmelser om lämpliga och särskilda skyddsåtgärder. Med undantag för skydds- åtgärder finns det således stöd i befintlig nationell rätt för den behandling av metadata om publikationerna som förekommer i biblio- tekens publikationsdatabaser. De skyddsåtgärder som vi föreslår i avsnitt 4.5.3 är dock tillämpliga även på denna behandling.

Fulltext

I den mån känsliga personuppgifter och uppgifter om lagöverträdelser

m.m.förekommer i den ostrukturerade fulltexten i en publikations- databas hänvisar vi vad gäller analys och motivering till vårt resone- mang i avsnitt 4.5.3.

568

SOU 2018:36

Bilaga 5

4.9Bibliotekens hantering av DOI, ORCID och andra identifikatorsystem

4.9.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

Med identifikatorsystem avser vi ett system för att tilldela unika, otvetydiga identifierare för personer, dokument och andra typer av resurser. En vanlig identifierare för böcker är exempelvis ISBN- nummer. Inom forskning och forskningspublicering är särskilt syste- men DOI och ORCID av stor praktisk betydelse.

Digital Object Identifier

Digital Object Identifier (DOI) är en standard för att identifiera digitala dokument (objekt). Utgivaren av ett dokument kan registrera detta genom en ”Registration Agency” och då få en identifierare för objektet. Identifierare är på formen doi:10.1000/182, där de olika delarna av identifierarna anger att det är fråga om just en DOI-identi- fierare, vilken part som har begärt att få DOI:n, samt ett löpnummer som identifierar ett visst objekt hos den parten.

Själva identifieraren innehåller alltså inga direkta personuppgifter. Metadatamodellen som används när DOI:s registreras innehåller dock möjlighet att ange författare eller annan person som har en roll för objektet, och därigenom innefattar registreringen av DOI:s hantering av direkta personuppgifter. DOI:n utgör därför en indirekt person- uppgift då den kan hänvisa till objektets författare.

Open Researcher and Contributor ID

Open Researcher and Contributor ID (ORCID) är ett system för att skapa otvetydiga, maskinläsbara identifierare för forskare och andra som är involverade i forskningssystemet. Identifieraren är knuten till forskaren själv och förändras inte när forskaren byter arbetsgivare, namn eller andra uppgifter. Forskaren registrerar själv sitt eget ORCID samt använder en central tjänst för att tillhandahålla grund- läggande uppgifter om sig själv i sin forskarroll. Identifieraren kan sedan användas av olika aktörer inom forskningssystemet, förutom

569

Bilaga 5

SOU 2018:36

bibliotek även lärosäten, finansiärer, akademiska tidskrifter, konfe- renser m.m. Alla som hanterar ett ORCID behandlar en uppgift om den forskaren, men den är i sig varken mer eller mindre speciell än ett (otvetydigt) personnamn. Forskaren kan utöva viss kontroll över vem som får tillgång till de grundläggande uppgifterna, men själva identi- fieraren är alltid publik. ORCID kan användas av bibliotek för att exempelvis katalogisera publikationer av en viss forskare. Till skill- nad från ett personnamn är det alltid otvetydigt vem som avses med ett visst ORCID. Även andra aktörer inom forskningssystemet kan vilja använda ORCID för att exempelvis utvärdera en forskares produktivitet och renommé.

Andra identifikatorer

I bibliotekens verksamhet förekommer många andra typer av identi- fikatorer för både verk och personer. Det finns dock inget som talar för att bibliotekens hantering av dessa identifikatorer medför någon annan typ av personuppgiftsbehandling än de ovanstående, varför vi koncentrerar framställningen på de ovan nämnda.

4.9.2Rättslig grund

Tillämplig rättslig grund

Utredningens bedömning: Registrering av identifikatorer för publikationer och personer kan utföras med stöd av den registre- rades samtycke, under förutsättning att sådant samtycke verkligen kan ges frivilligt.

Användning av identifikationer i publikationsdatabaser och andra kataloger är nödvändig för att utföra ett forskningsbiblioteks grundläggande uppgift, vilken utgör en fastställd uppgift av all- mänt intresse.

I den mån biblioteken registrerar DOI- och ORCID-identifikatorer så görs det i dag i många fall med den registrerades samtycke. Med tanke på den roll som exempelvis ORCID börjar få kan det möjligtvis

570

SOU 2018:36

Bilaga 5

ifrågasättas om ett sådant samtycke är frivilligt. Det vanliga för- farandesättet är dock i dag att den enskilde forskaren registrerar sin egen ORCID-identifikator.

Vad gäller bibliotekens hantering av redan registrerade DOI:s i publikations- eller andra databaser skiljer sig inte den frågan från annan personuppgiftsbehandling i samband med hantering av biblio- tekskataloger. Den rättsliga grunden för sådan behandling är alltså att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Sådan hantering kan i sig inte anses vara hantering av känsliga person- uppgifter.

I den utsträckning bibliotek använder ORCID eller andra identi- fierande uppgifter för att bedöma vissa personliga egenskaper hos en forskare kan detta utgöra profilering enligt artikel 4.4. Det torde dock inte vara aktuellt att forskaren blir föremål för ett automatiserat beslut eller en automatisk bedömning från just biblioteken, och att ett sådant beslut eller sådan bedömning har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, något som annars är särskilt reglerat i artikel 22.

Användning av identifikationer i publikationsdatabaser och andra kataloger är nödvändig för att förvalta innehållet i dessa kataloger, vilket utgör en arbetsuppgift av allmänt intresse. Behandlingen kan därför göras med stöd av artikel 6.1 e.

Fastställd uppgift av allmänt intresse

Utredningens bedömning: Hantering av identifikatorer i publika- tionsdatabaser och andra kataloger eller register är en nödvändig behandling för den för forskningsbiblioteken fastställda arbets- uppgiften att bidra till kunskapsförmedling. Personuppgifts- behandling i form av sådan registerförvaltning är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i data- skyddsförordningen.

Att hantera identifikatorer i publikationsdatabaser eller andra kata- loger eller register skiljer sig i dataskyddshänseende inte från hante- ring av övriga personuppgifter i samma verksamhet. Utredningens

571

Bilaga 5

SOU 2018:36

resonemang om uppgiften att förvalta register över biblioteks sam- lingar i avsnitt 4.8.2 är därför tillämpligt även på hanteringen av identifikatorer.

4.10Text- och datautvinning

4.10.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

Text- och datautvinning (Text and Data Mining, TDM) är ett samlingsnamn för sådan automatisk analysteknik som används för att analysera text och data i digital form för att generera information såsom mönster, trender och korrelationer. Text- och datautvinning kan alltså göras på såväl material i textform som bild, ljud och video. Bland möjliga tillämpningar kan nämnas system för fulltextsökning, kategorisering av texter, ansiktsigenkänning med mera.71

Text- och datautvinning handlar på ett grundläggande plan om att utvinna strukturerad information från ostrukturerad data i form av text, bild, ljud, video eller andra källor.

4.10.2Rättslig grund för behandlingen

Utredningens bedömning: Att använda befintliga digitala sam- lingar för att utvinna kunskap ryms inom den i avsnitt 4.5.2 före- slagna arbets-uppgiften att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Personuppgiftsbehandling i form av sådan utvinning är därför nödvändig för att utföra en fastställd arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskydds- förordningen.

Tillämplig rättslig grund

I den mån personuppgiftsbehandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse i form av forskning, kan det finnas en rättslig grund för behandling i artikel 6.1 e. ”Nödvändig” ska här inte tolkas som att det är omöjligt att utföra uppgiften utan att sådan

71Se generellt Lianne Colonna, ”Legal Implications of Data Mining” (2016).

572

SOU 2018:36

Bilaga 5

behandling görs. I stället räcker det med att en automatiserad behand- ling av personuppgifter innebär en påtaglig förenkling.72 Att utvinna ny kunskap ur befintliga samlingar bör enligt vår bedömning ses som en arbetsuppgift av allmänt intresse. Personuppgiftsbehandling i form av sådan utvinning är därför nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Fastställd uppgift av allmänt intresse

Att utföra text- och datautvinning är för forskningsbiblioteken en framväxande uppgift som är tätt förknippad med datadriven forsk- ning, ett område som särskilt lyfts fram i 2016 års forsknings- proposition.73 Det är biblioteken – särskilt KB – som har tillgång till de stora informationsmängder i digital form som krävs för olika former av text- och datautvinning. Det kan vidare förutsättas att biblioteken inom ramen för sin uppgift att tillgängliggöra kunskap använder teknikens möjligheter för att utnyttja innehållet i de befint- liga samlingarna på bästa sätt. Att utvinna kunskap ur befintliga samlingar ryms därför enligt vår bedömning inom den fastställda uppgift att tillgängliggöra kunskap i syfte att stödja forskning och utbildning som vi föreslagit avsnitt 4.5.2.

4.10.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens förslag: Känsliga personuppgifter ska kunna behandlas genom text- och datautvinning med stöd av artikel 9.2 g när de ingår i informationsunderlag i form av löpande text.

Som skyddsåtgärd ska dock gälla att text- och datautvinning inte får utföras om syftet med behandlingen är att utvinna känsliga personuppgifter eller om behandlingen i något skede processar sådana uppgifter. Sådana skyddsåtgärder ska dock inte tillämpas om det är nödvändigt att utvinning eller annan behandling av sådana uppgifter görs för att kunna tillhandhålla kunskap till ett etikgodkänt forskningsprojekt med stöd av artikel 9.2 j.

72Se SOU 2017:50 s. 125 f och där hänvisade rättsfall samt förarbeten.

73Prop. 2016/17:50 s. 95.

573

Bilaga 5

SOU 2018:36

Privata forskningsbibliotek ska få behandla uppgifter om lag- överträdelser m.m. för text- och datautvinning med motsvarande skyddsåtgärder.

Bestämmelser om detta ska införas i nationell rätt genom utredningens förslag till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet.

När känsliga personuppgifter förekommer i underlaget

Text- och databehandling utgår från stora mängder information i digital form, t.ex. text, ljud, bild eller annan data. Sådant informations- underlag inom en text- eller datautvinningsprocess kan innehålla känsliga personuppgifter eller uppgifter om lagöverträdelser. Exem- pelvis kan innehållet i en rättsfallssamling innehålla många direkta eller indirekta uppgifter om hälsa eller lagöverträdelser.

Om informationsunderlaget innehåller känsliga personuppgifter eller uppgifter om lagöverträdelser innebär text- och databehandling av materialet alltid en behandling av dessa personuppgifter, även om slutresultatet inte innehåller sådana uppgifter. Det krävs därför stöd i något av undantagen från förbudet som framgår av artikel 9.2 för att behandlingen ska vara tillåten. Det undantag som enligt utredningens bedömning bör kunna komma ifråga är sådan behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse, enligt artikel 9.2 g. Det viktiga allmänna intresset skulle alltså i detta fall vara att kunna utvinna kunskap ur bibliotekens befintliga digitala samlingar av utgivet och allmänt tillgängligt material. Vi bedömer att ett sådant undantag är proportionerligt och förenligt med det väsentliga inne- hållet i rätten till dataskydd, med beaktande av den mycket begränsade inverkan sådan behandling har på den enskildes personliga integritet. Regleringen måste dock även innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder.

Vi föreslår därför som skyddsåtgärder att text- och datautvinning inte får utvinna känsliga uppgifter eller uppgifter om lagöverträdel- ser m.m., eller på annat sätt processa dessa uppgifter under något skede av behandlingen. Med detta avses att textmaterial som inne- håller t.ex. känsliga personuppgifter exempelvis får indexeras för fulltextsökning när orden som avslöjar de känsliga uppgifterna

574

SOU 2018:36

Bilaga 5

enbart behandlas som vilka ord som helst, men att indexerings- processen inte får särskilt identifiera och behandla känsliga personuppgifter som just sådana personuppgifter. Begränsningen omfattar alltså inte enbart slutresultatet av text- och data- utvinningen, utan även de enskilda stegen i behandlingen. Med begreppet processa menar vi sådana delar av en personuppgifts- behandling som identifierar eller på annat sätt hanterar känsliga personuppgifter som just sådana uppgifter. I begreppet processa inräknar vi inte sådana handlingar (manuella eller automatiska) som inte försöker tolka den semantiska innebörden i det underlag där de känsliga uppgifterna förekommer. Vi föreslår denna utformning av begränsningen eftersom det särskilda integritetsintrånget i att behandla någons känsliga personuppgifter uppstår redan när sådana uppgifter förekommer i en automatisk process, även om ingen människa tar del av uppgifterna. Denna begränsning i vad som tillåts utgör en lämplig och för ändamålet särskild skyddsåtgärd.

För vissa typer av text- och datautvinning, särskilt sådana som använder sig av tekniker för maskininlärning, är en viktig del av denna inlärningsprocess att träna upp modeller för exempelvis klassificering av data. Beroende på parametrarna och det informationsunderlag som modellen tränas på kan det vara svårt även för systemets konstruk- törer att avgöra om modellen identifierar eller på annat sätt särskilt hanterar känsliga personuppgifter som en del av sin klassificering. Att det kan vara svårt att veta om känsliga uppgifter förekommer i modellen påverkar dock inte vår föreslagna begränsning, eftersom det särskilda integritetsintrånget enligt ovan uppstår redan när upp- gifterna förekommer i modellen. Om det med en viss text- och data- utvinningsteknik inte framgår hur ett system utför sin klassificering, ens för systemets ansvariga, är detta i sig en omständighet som påkallar extra försiktighet.

När känsliga personuppgifter utvinns eller på annat sätt behandlas särskilt

Den ovan nämnda begränsningen av vilken text- och datautvinning som är tillåten kan tänkas omöjliggöra viss forskning där känsliga uppgifter om enskilda individer utgör relevant forskningsunderlag, och där text- och datautvinning kan vara det enda sättet att utvinna dessa uppgifter. Vi föreslår därför, som ett undantag från ovanstående

575

Bilaga 5

SOU 2018:36

begränsning, att biblioteken ska få utvinna eller i övrigt processa känsliga personuppgifter om det görs inom ramen för ett etikgodkänt forskningsprojekt. Det rör alltså situationer där ett forskningsprojekt vänder sig till biblioteket med en förfrågan om att få en viss text- eller datautvinning utförd på digitalt material i bibliotekets samlingar.

Biblioteken kommer i dessa fall att ha ett självständigt person- uppgiftsansvar för sin del av behandlingen. Vår föreslagna reglering gör det möjligt för biblioteken att med hänsyn till att behandlingen är nödvändig för forskningsändamål i enlighet med artikel 9.2 j utvinna sådana uppgifter och även lämna ut dem till forskningsprojektet.

4.10.4Grundläggande krav

En utmaning för all text- och datautvinning är att förena det grund- läggande kravet att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål med att uppgifterna inte senare behandlas på ett sätt som är oförenligt med dessa ursprungliga ändamål enligt principen om ändamålsbegränsning, artikel 5.1 b. Dock gäller att ytterligare behandling för bl.a. forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen.

Vad gäller ändamålsbegränsningen för biblioteken är det dock sällan så att personuppgifterna samlats in för just text- och data- utvinning. I stället är det fråga om bibliotekens vanliga samlingar som samlats in för biblioteks-verksamhet.

Om syftet med text- och datautvinningen är forskning ryms behandlingen inom ändamålsbegränsningens ramar. Om syftet är ett annat, exempelvis att beskriva bibliotekens samlingar eller upptäcka nya kopplingar mellan verk, får först bedömas om detta är oförenligt med det ändamål för vilken uppgifterna samlades in. Generellt i biblio- teksverksamhet, särskilt sett mot det i bibliotekslagen angivna syftet att bl.a. bidra till kunskapsförmedling och intresset för forskning (2 § bibliotekslagen), kan det presumeras att text- och datautvinning är förenligt med det ursprungliga syftet såvida inte text- och data- utvinningen i det specifika fallet syftar till något som ligger långt utanför detta syfte. Det är dock den personuppgiftsansvarige som ansvarar för att de grundläggande principerna, inklusive principen om ändamålsbegränsning, följs i varje enskilt fall av text- och data- utvinning.

576

SOU 2018:36

Bilaga 5

4.10.5Registrerades rättigheter

Utredningens bedömning: Det saknas möjlighet att inskränka den registrerades rättigheter när personuppgifter behandlas inom ramen för text- och datautvinning.

I avsnitt 4.11.3 behandlas frågan om hur registrerades rättigheter enligt dataskyddsförordningen påverkar bibliotekens möjligheter att i praktiken utföra sina uppgifter. Våra förslag i dessa delar syftar till att se till att bibliotekens samlingar i digital form inte ska kunna förändras genom invändningar eller liknande från de vars uppgifter förekommer i materialet. Detta på grund av att samlingarna och dess bevarande generellt utgör ett arkivändamål av allmänt intresse.

Samlingarna utgör även informationsunderlag för text- och data- behandling. Materialet samlas således inte in för detta ändamål, vilket gör att det i allmänhet kommer att vara praktiskt svårgenomförbart att exempelvis rätta en uppgift om en enskild inom ramen för person- uppgiftsbehandling i form av text- och databehandling, eftersom personuppgifterna inte lagras för denna verksamhet utan för ett annat syfte (för vilket vi föreslagit begränsningar i rätten till rättelse).

Däremot skulle ett sätt att resonera ta sin utgångspunkt i att den registrerade kan utnyttja sin rätt till invändning, under förutsättning att denne kan tillhandahålla viss information om sig själv. Om den registrerade tillhandahåller ytterligare information för att biblioteket med säkerhet skulle kunna identifiera textavsnitt eller liknande där denne förekommer kan biblioteket i praktiken utesluta detta material från text- och datautvinningsprocessen, i enlighet med artikel 11.2 i dataskyddsförordningen.

Problemet är att det inte är möjligt att radera i eller markera sådana invändningar i källmaterialet, eftersom det lagras för andra syften. En tillämpning av rätten till invändning skulle därför vara tvungen att göras vid själva inläsningstillfället, och i så fall utgå från ett för detta ändamål särskilt konstruerat register ur vilket det framgår vem och vilka textavsnitt som inte ska tas med i analysen. Att hantera ett sådant register är i sig personuppgiftsbehandling, som i och för sig kan vara nödvändig för den fastslagna uppgiften.

Samtidigt går det endast i vissa fall att hävda att text- och data- utvinningen görs för forskningsändamål eller för arkivändamål av allmänt intresse (vi har ovan bedömt att det i huvudsak utförs för ett

577

Bilaga 5

SOU 2018:36

viktigt allmänt intresse med stöd av artikel 9.2 g). Utrymmet för inskränkningar i de registrerades rättigheter med stöd av artikel 89.2 eller 89.3 är därför litet. Vi föreslår därför inte några inskränkningar i de registrerades rättigheter när personuppgifter behandlas för text- och datautvinning.

4.11Övrigt

4.11.1Möjligheter att söka efter information i databaser

På biblioteken finns olika databaser som innehåller information att söka fram. Databaserna är ofta kopplade till olika söktjänster som har utgivningsbevis74 vilket i sin tur innebär att de omfattas av grundlags- skyddet i yttrandefrihetsgrundlagen75 och inte av regelverket i person- uppgiftslagen. Dataskyddsutredningen föreslår att grundlagsskyddet ska gälla även framför dataskyddsförordningen.76 Det är med andra ord tillåtet för den leverantör som tillhandahåller tjänsten att publicera personuppgifter som t.ex. namn och adress utan att behöva ta hänsyn till dataskyddsregleringen. Ett utgivningsbevis ger dock inte leveran- tören rätt att publicera vad som helst. Strider mot grundlagen gör till exempel förtal, olaga hot eller hets mot folkgrupp vilket kan polis- anmälas. Däremot finns det inga hinder att behandla information som inbegriper känsliga personuppgifter och lagöverträdelser m.m. Att skaffa utgivningsbevis är frivilligt. Vad gäller myndigheter kan de visserligen skaffa utgivningsbevis, men de kan inte åberopa grund- lagens bestämmelser – som enligt 1 kap. 1 § yttrandefrihetsgrund- lagen utgör ett skydd för den enskildes yttrandefrihet gentemot staten

–för att undgå förpliktelser enligt lag.77

Med tanke på att det här handlar om tjänster som biblioteken inte kan påverka när det gäller innehåll och utformning, innebär det att biblioteken inte kan anses ha något personuppgiftsansvar. Av den anledningen ska någon bedömning av rättslig grund enligt data- skyddsförordningen inte utföras. Någon reglering i denna del blir därför inte aktuell.

74Ett utgivningsbevis är en typ av intyg som behövs i vissa fall för att erhålla grundlagsskydd enligt tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).

751 kap. 9 § yttrandefrihetsgrundlagen.

76SOU 2017:39 s. 98 ff.

77Datainspektionens beslut den 29 januari 2010, dnr 987-2009.

578

SOU 2018:36

Bilaga 5

4.11.2Allmänt om bibliotekens roll som förlag

Det förekommer att forskningsbiblioteken ägnar sig åt viss förlags- verksamhet och utgivning av publikationer. Det rör sig vanligen inte om en central verksamhet för biblioteken och handlar ofta om sådana publikationer som har en tydlig anknytning till verksamheten vid biblioteket och dess lärosäte. I de fall där biblioteken själva kan anses bedriva förlagsverksamhet omfattas den delen av verksamheten av grundlagsskyddet i TF. Enligt dataskyddsutredningens förslag ska dataskyddsförordningen då inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF och YGL (1 kap 4 § förslaget till dataskyddslag).

4.11.3Registrerades rättigheter

Utredningens förslag: Den registrerades rätt till tillgång enligt artikel 15, rätt till rättelse enligt artikel 16 och rätt till invändning enligt artikel 21 ska inte gälla vid sådan personuppgiftsbehandling som är nödvändig för ett arkivändamål av allmänt intresse. Ett undantag avseende dessa rättigheter ska därför införas med stöd av artikel 89.3. Detta undantag ska endast gälla för material som är utgivet.

Bestämmelse om detta ska införas i nationell rätt genom utred- ningens förslag till förordning med bestämmelser om person- uppgiftshantering i forskningsbibliotekens verksamhet.

De personuppgiftsbehandlingar som beskrivs i avsnitt 4.5–4.9 har alla det gemensamt att det rör sådan behandling av uppgifter i löpande text som förekommer i det material biblioteken har i uppgift att tillhanda- hålla. De registrerades rättigheter kan vara svåra eller omöjliga att tillämpa inom biblioteksverksamhet i dessa sammanhang. Vi behand- lar därför frågan om undantag från de registrerades rättigheter i dessa sammanhang i det nedanstående avsnittet. Vad gäller vissa andra personuppgiftsbehandlingar behandlar vi frågor om undantag från registrerades rättigheter i anslutning till övriga förslag (exempelvis för text- och datautvinning i avsnitt 4.10.5 samt för KB:s kulturarw³- verksamhet i avsnitt 5.7.5).

579

Bilaga 5

SOU 2018:36

Undantag från vissa rättigheter

Rätt till tillgång

Rätten till tillgång framgår av artikel 15 och omfattar vad som tidigare benämndes registerutdrag. Regeln har till skillnad från bestämmelsen om information som den personuppgiftsansvarige ska tillhandahålla till den registrerade enligt artikel 14 inget inbyggt undantag. Denna rättighet ger en enskild person möjlighet att framför allt begära information om huruvida ett bibliotek behandlar uppgifter om honom eller henne genom att uppgifter förekommer lagrade i det digitaliserade materialet.

Om det förekommer direkta personuppgifter, framför allt om personen är namngiven, kan det vara möjligt för biblioteket att tillgodo- se denna rättighet genom att fulltextsöka igenom sitt digitaliserade material. Detta ställer dock höga krav på bibliotekets informations- hantering i sin verksamhet med bl.a. tillförlitlig textigenkänning (OCR) av det digitaliserade materialet samt bra söksystem. Tvetydig namngivning kan också försvåra för biblioteket att tillgodose denna rättighet. Om t.ex. en person med ett vanligt namn och inga andra identifierande uppgifter begär tillgång enligt artikel 15 kan biblioteket få svårt att skilja uppgifter om just denna person från alla andra personer med samma namn. Rent praktiskt riskerar denna rätt att bli omöjlig eller mycket svår för biblioteken att efterleva. Vår bedömning är att om denna rättighet skulle tillgodoses skulle det göra det mycket svårare att uppfylla de särskilda ändamålen med bibliotekens digitala hantering av biblioteksmaterial i enlighet med avsnitt 4.5, 4.6, 4.7 och

4.8.Vi har i dessa avsnitt bedömt att den personuppgiftsbehandling som förekommer i dessa verksamheter är nödvändig för ett arkiv- ändamål av allmänt intresse. Det finns därför ett utrymme att med stöd av artikel 89.3 föreskriva ett undantag från rätten till tillgång vid sådana personuppgiftsbehandlingar. Vi föreslår att ett sådant undan- tag tas in i den föreslagna nya förordningen.

Rätt till rättelse

Rätt till rättelse följer av artikel 16. Det är för ett bibliotek otänkbart att faktiskt gå in och ändra uppgifter i en författares verk, även när dessa skulle visa sig felaktiga. I den mån en rätt till rättelse skulle

580

SOU 2018:36

Bilaga 5

omfatta ändringar av verk i digital form måste därför denna rättighet för den enskilde begränsas. En sådan begränsning är tillåten eftersom verksamheten enligt utredningens bedömning behandlar person- uppgifterna för ett arkivändamål av allmänt intresse, och ett tillgodo- seende av denna rättighet skulle göra det omöjligt eller mycket svårare att uppfylla detta ändamål. Det finns därför ett utrymme för att med stöd av artikel 89.3 föreskriva ett undantag från rätten till rättelse vid denna typ av personuppgiftsbehandlingar. Vi föreslår att ett sådant undantag tas in i den föreslagna nya förordningen.

Rätt att göra invändningar

Den registrerade ska, enligt artikel 21, ha rätt att göra invändningar mot behandling av sina personuppgifter av skäl som hänför sig till hans eller hennes specifika situation när denna behandling utförs och den är nödvändig på grund av en arbetsuppgift av allmänt intresse. Den personuppgiftsansvarige får inte längre behandla personupp- gifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättig- heter och friheter. För den aktuella behandlingen torde biblioteken regelmässigt kunna påvisa sådana tvingande berättigade skäl utifrån sitt uppdrag. Det är lika otänkbart att gå in och stryka uppgifter ur ett verk som det är att ändra uppgifter (jfr rätten till rättelse ovan). Vi har i tidigare avsnitt bedömt att de ovannämnda personuppgiftsbehand- lingarna är nödvändiga för arkivändamål av allmänt intresse. Det finns därför ett utrymme att med stöd av artikel 89.3 föreskriva ett undan- tag från rätten att göra invändningar vid sådana personuppgifts- behandlingar. Vi föreslår att ett sådant undantag tas in i den nya förordningen.

Övriga rättigheter

Information till den registrerade

Enligt artikel 14 i dataskyddsförordningen ska den personuppgifts- ansvarige förse den registrerade med viss information när person- uppgifterna inte har erhållits från denne. Enligt artikel 14.5 ska dock

581

Bilaga 5

SOU 2018:36

denna skyldighet inte tillämpas om tillhandahållandet av sådan infor- mation visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för bl.a. behandling för arkivändamål av allmänt intresse. Detta torde enligt utredningens bedömning vara fallet för sådana uppgifter som förekommer i löpande text i biblioteks- materialet. Det är dock upp till den personuppgiftsansvarige att bedöma detta från fall till fall.

Rätt till radering

Rätt till radering enligt artikel 17 föreligger endast i vissa uppräknade fall, varav egentligen endast artikel 17.1 c (när den registrerade in- vänder mot behandlingen i enlighet med artikel 21.1 eller 21.2) kan vara tillämplig i de aktuella verksamheterna. Det saknas utrymme för att med stöd av artikel 89.3 begränsa denna rättighet, Eftersom vi föreslår ett undantag i rätten till invändning kommer rätten till radering i praktiken inte kunna användas av enskild för att få biblio- teken att radera uppgifter om denne i sådant biblioteksmaterial som är nödvändigt att behandla för arkivändamål av allmänt intresse. Se ovan angående undantag från artikel 21.

Rätt till begränsning av behandling

Även rätten till begränsning av behandling enligt artikel 18 föreligger endast i vissa uppräknade fall, varav egentligen endast artikel 18.1 d (den registrerade har invänt mot behandling i enlighet med artikel 21.1) kan vara tillämplig i de aktuella verksamheterna. Inte heller denna rättighet kommer i praktiken kunna användas av enskild när det är fråga om nödvändig behandling för arkivändamål av allmänt intresse. Se ovan angående undantag från artikel 21.

Anmälningsskyldighet avseende rättelse eller radering

Anmälningsskyldigheten för den personuppgiftsansvarige enligt artikel 19 föreligger endast om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning, och blir bara aktuellt om rättelse eller radering skulle vara för handen, vilket inte lär bli fallet

582

Bilaga 5

SOU 2018:36

5Personuppgiftsbehandling särskilt i Kungliga bibliotekets verksamhet

5.1Inledning och relevanta författningar

I föregående kapitel avhandlades forskningsbibliotekens verksamhet. Mot bakgrund av att KB enligt sin instruktion, förordning (2008:1421) med instruktion för Kungl. biblioteket, utgör ett forskningsbibliotek är föregående kapitel även tillämpligt på KB. I detta avsnitt upp- märksammas sådana delar av KB:s verksamhet som är unika för nationalbiblioteket, utifrån denna myndighets särskilda ställning och uppdrag.

Det finns ett antal lagar och förordningar som särskilt reglerar dessa uppdrag. Det rör sig om lagen (1993:1392) om pliktexemplar av dokument samt förordningen (2008:1420) om pliktexemplar av dokument (nedan kallad pliktlagstiftningen), lagen (2012:492) om pliktexemplar av elektroniskt material samt förordningen (2012:866) om pliktexemplar av elektroniskt material (nedan kallad e-pliktlagstift- ningen) samt förordningen (2002:287) om behandling av person- uppgifter i Kungl. bibliotekets digitala kulturarvsprojekt, nedan kallad kulturarw³-förordningen. Vi kommer i detta kapitel att analysera denna speciallagstiftning utifrån kraven i dataskyddsförordningen78.

78Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

584

Bilaga 5

SOU 2018:36

och främst då uppgifter om verkens författare eller redaktörer, till- sammans med titlar och andra uppgifter om verken. Sådana uppgifter utgör endast undantagsvis känsliga personuppgifter. Innehållet i verken kan däremot förväntas innehålla känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. i större utsträckning, men behandling av dessa faller enligt vår bedömning utanför såväl person- uppgiftslagen (1998:204) som dataskyddsförordningens tillämp- ningsområde, eftersom det inte är fråga om behandling som helt eller delvis företas på automatisk väg. Detta innebär att tillhandahållande av verken till allmänheten – vilket får sägas en av de mest centrala upp- gifterna för ett nationalbibliotek – inte utgör personuppgifts- behandling, utöver den registrering av den enskilde besökaren i låntagarregister, besöksloggar och liknande som kan förekomma (och som har avhandlats i avsnitt 4.3).

Vad gäller de digitala samlingarna är rättsläget ett annat. Det är fråga om ungefär samma typer av känsliga personuppgifter samt upp- gifter om lagöverträdelser m.m. i dessa verk, men eftersom behandling av innehållet i de digitaliserade verken (såväl text som audiovisuella verk) företas helt eller delvis på automatiserad väg faller den under personuppgiftslagens respektive dataskyddsförordningens tillämp- ningsområde. Detta innebär att allt biblioteket företar sig med innehållet i den digitala samlingen (införskaffande, lagrande, tillgäng- liggörande, m.m.) måste ha en rättslig grund i enlighet med data- skyddsförordningen, och i övrigt följa denna reglerings krav på behandlingen.

På vissa områden inom de analoga samlingarna har KB inlett digitaliseringsprojekt, främst rörande äldre källmaterial såsom kartor, bilder och handskrifter, men även vissa dagstidningar. I den ut- sträckning detta material innehåller uppgifter om nu levande personer utgör även digitaliseringen, såväl som efterföljande lagring och till- gängliggörande, personuppgiftsbehandling.

586

SOU 2018:36

Bilaga 5

5.3Analoga samlingarna

5.3.1Beskrivning av verksamheten

Svenska samlingen

Den centrala delen av KB:s samlingar går under beteckningen Svenska samlingen, och innehåller såväl analogt som digitalt material. Denna samling omfattar sådant material som är inlämnat till KB med stöd av pliktlagstiftningen i pliktlagen, vilket gällande analogt tryckmaterial till övervägande del är sådana skrifter som omfattas av 1 kap 5 § tryck- frihetsförordningen (jfr 5–9 §§ pliktlagen).

Suecana

Av KB:s instruktion 2 § 2 p framgår att biblioteket ska samla, förvara, beskriva och tillhandahålla utomlands utgivna publikationer med svensk anknytning. Denna samling, som alltså underhålls utan stöd i pliktlagstiftning, innehåller utländsk litteratur om Sverige och svenska förhållanden och svensk litteratur i översättning till främmande språk. Samlingen kallas för Suecana.

Utländska samlingen

Av KB:s instruktion 2 § 3 p framgår vidare att biblioteket ska samla, förvara, beskriva och tillhandahålla en representativ samling utländsk litteratur, särskilt inom samhällsvetenskap och humaniora. Denna uppgift anknyter närmare till KB:s roll som forskningsbibliotek, snarare än nationalbibliotek.

Donationer

KB får enligt 3 § instruktionen ta emot donationer eller på annat sätt förvärva material av vissa typer. Detta har i praktiken medfört två delsamlingar; dels personarkiven, dels filmarkivet i Grängesberg. Gemensamt för dessa är att det i allmänhet är fråga om sådant material som inte tillgängliggjorts för allmänheten enligt regleringen i tryck- frihetsförordningen och yttrandefrihetsgrundlagen. Materialet kan

587

Bilaga 5

SOU 2018:36

innehålla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. i löpande text samt i bild.

Övriga analoga samlingar

Bland de övriga samlingarna räknas även KB:s samlingar av äldre handskrifter, kartor, bilder samt samlingarna i Roggebiblioteket i Strängnäs.79 Dessa torde, på grund av materialets ålder, endast i undantagsfall innehålla uppgifter om nu levande personer.

5.3.2Dataskyddsförordningens tillämpning på behandlingen

Utredningens bedömning: Analogt material faller normalt inte in under dataskyddsförordningens tillämpningsområde. Tillgänglig- görandet av fysiska exemplar i enlighet med pliktlagen omfattas inte heller av regleringen i dataskyddsförordningen. Det analoga materialet omfattas av grundlagsskyddet i TF.

Behandling av personuppgifter i analogt material omfattas normalt inte av dataskyddsförordningens bestämmelser. Dataskyddsförord- ningen kan i vissa fall bli tillämplig även på manuell behandling av personuppgifter nämligen om personuppgifterna ingår i eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier.80 Det analoga materialet på KB omfattas dock av grund- lagsskyddet för tryckt skrift i TF och då främst skrifter som både trycks och utges inom Sverige. Det finns emellertid undantag för utländskt tryckt skrift.81 Nyckelorden i detta sammanhang är tryckt skrift. Härmed avses det fysiska exemplaret som därmed omfattas av grundlagsskyddet i TF. Enligt utredningens bedömning bör de analoga samlingarna till största delen omfattas av grundlagsskyddet i TF.

79Roggebiblioteket är ursprungligen ett stift- och läroverksbibliotek med anor från 1626 som numera är en del av KB. Innehållet i biblioteket beskrivs på http://www.kb.se/samlingarna/oversikt/Roggebiblioteket/

80Artikel 2.1 och 4.2 samt skäl 15.

81Se avsnitt 3.3 i denna promemoria.

588

SOU 2018:36

Bilaga 5

5.4Svenska samlingens digitala del (e-plikt)

5.4.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

Insamling

Enligt e-pliktlagen är varje utgivare skyldig att skicka elektroniskt material som omfattas av regleringen på en fysisk databärare (exem- pelvis CD-ROM) till KB. Eftersom de som publicerar leveranspliktigt material gör detta i en heldigital miljö med tillgång till snabba internet- förbindelser är förstås en sådan form för överlämnande opraktisk. I praktiken kan därför publicister leverera materialet över nätet. Detta görs på frivillig basis. I dag sker det genom automatiska nätverks- leveranser82 där antingen leverantören överför materialet till en FTP- server83 hos KB, eller där KB automatiskt hämtar det material som leverantören publicerat i ett RSS-flöde,84 eller genom manuell upp- laddning av materialet i ett webbgränssnitt som KB tillhandahåller.

Tillgängliggörande

Varken e-pliktlagstiftningen eller KB:s instruktion reglerar särskilt allmänhetens tillgång till det insamlade materialet. Från våra tilläggs- direktiv (dir. 2017:29) framgår inte att utredningens uppdrag omfattar frågan om tillgängliggörande av det insamlade materialet.

Regeringen har uttalat sin avsikt att utreda frågan i särskild ordning. E-plikt-frågan i allmänhet är omfattande och samtidigt väl- utredd. Tre separata utredningar har föreslagit e-plikt (SOU 1998:111, SOU 2003:129 och Ds. 2009:61), varav endast det sista förslaget har lett till lagstiftning. I den utredningen hade man explicit inte i uppdrag att utreda integritetsskyddsaspekter på tillgänglig- görandet av det insamlade materialet.

82Automatiska nätverksleveranser beskrivs på http://www.kb.se/plikt/eplikt/leveransmetoder/leverans-over-natverk/

83File Transfer Protocol, en standard för filöverföringar över Internet.

84Rich Site Summary, en standard för att tillgängliggöra publicering av innehåll på en webb- plats så att nytillkommet material kan hämtas med automatik.

589

Bilaga 5

SOU 2018:36

Regeringen uttalade i senare proposition ”Leveransplikt för elek- troniskt material” att man avsåg att återkomma när det gäller till- handahållandet av det material som samlas in med leveransplikt. 85 Liknande uttalande gjordes i propositionen ”Forskning för ett bättre liv” efter den andra utredningen.86

Tillgängliggörande av e-pliktmaterial måste förenas med skydds- åtgärder, eftersom känsliga uppgifter kan förekomma i materialet. Många olika skyddsåtgärder är tänkbara för ett sådant tillgänglig- görande, exempelvis åtkomst via särskilda terminaler i KB:s lokaler, att materialet endast är tillgängligt för forskare, att distansåtkomst är möjlig från andra forskningsbibliotek, att sökbegränsningar gäller för materialet, m.m. Valet av skyddsåtgärd(er) får avsevärd effekt på värdet av e-pliktsystemet i sin helhet.

Vårt uppdrag är att utreda KB:s hantering av personuppgifter i verksamheten. Generellt tillhandahållande av e-pliktmaterial är i dags- läget inte en verksamhet för KB. Det finns enligt uppgift från KB inget system som ger access till materialet. Att generellt tillhandahållande av e-pliktmaterial inte är en del av verksamheten framgår motsatsvis av KB:s instruktion. 1 § 1 p säger att man ska ”ta emot, förvara, beskriva och tillhandahålla den svenska tryckproduktionen”, medan 2 § 1 p endast säger att man ska ”fullgöra de uppgifter som följer av … förordningen (2012:866) om pliktexemplar av elektroniskt material”, och den förordningen ålägger i sin tur KB endast att ”för framtiden bevara det som lämnats enligt lagen om pliktexemplar av elektroniskt material”.

Sammantaget är vår bedömning att frågan om tillhandahållande av e-pliktmaterialet måste utredas i särskild ordning med stöd av ett tydligt uppdrag. Vi delar KB:s bedömning att förutsättningarna för tillhandahållande av materialet måste utredas.87

5.4.2Rättslig grund för behandlingen

Utredningens bedömning: KB:s arbetsuppgift att samla in och bevara e-pliktmaterial är fastställd i nationell rätt genom en tydlig, precis och förutsägbar reglering. KB kan därför tillämpa den

85prop. 2011/12:121 s. 12

86prop. 2004/05:80 s. 110 f

87KB:s studie ”Pliktenunder lupp!” (2017), avsnitt 16.1.3 och 16.2.4.

590

SOU 2018:36

Bilaga 5

rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e när nöd- vändig behandling av personuppgifter utförs för att fullgöra upp- giften. Insamlande och bevarande av e-pliktmaterialet är följakt- ligen en arbetsuppgift av allmänt intresse. Det saknas däremot rättslig grund för den personuppgiftsbehandling som följer av att materialet tillgängliggörs.

Tillämplig rättslig grund

Insamling och bevarande av material i elektronisk form medför behandling av en stor mängd av personuppgifter, såväl i strukturerade metadata som de personuppgifter som förekommer i löpande text i materialet. Uppgiften att samla in och bevara materialet är fastställd i e-pliktlagstiftningen. Den rättsliga grunden för behandlingen är därför i första hand att den är nödvändig för att utföra en uppgift av allmänt intresse.

Tillgängliggörande av det insamlade materialet regleras inte i e-plikt- lagen eller någon annan lagstiftning och kan på grund av detta inte anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Det saknas därför enligt vår bedömning rättslig grund för den behandling av personuppgifter som hör samman med att materialet tillgänglig- görs.88

Fastställd uppgift av allmänt intresse

Personuppgiftsbehandlingen är nödvändig för KB:s arbetsuppgift att insamla och bevara materialet som har fastställts i e-pliktlagstift- ningen. Enligt utredningens bedömning måste denna uppgift anses vara av allmänt intresse.

88SOU 1998:111, E-plikt – att säkra det elektroniska kulturarvet s. 159

591

Bilaga 5

SOU 2018:36

5.4.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens förslag: KB ska få behandla känsliga person- uppgifter samt uppgifter om lagöverträdelser m.m. i löpande text med stöd av artikel 9.2 j när detta är nödvändigt att utföra de arbetsuppgifter som framgår av e-pliktlagstiftningen.

Utredningens bedömning: Befintliga bestämmelser om vilket material som omfattas av e-plikten och därför får behandlas av KB utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j.

E-pliktmaterialet kan innehålla känsliga personuppgifter samt upp- gifter om lagöverträdelser m.m. För att behandling av sådant material ska vara tillåten (jfr. avsnitt 4.4.4) krävs att någon av möjligheterna till undantag i artikel 9.2 är tillämpliga. De undantag som ligger närmast till hands är behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g, eller behandling som är nödvändig för arkivändamål av allmänt intresse enligt artikel 9.2 j. I e-plikt- lagstiftningens förarbeten framgår det att syftet med lagstiftningen är att tillgodose forskningens behov och att bevara det svenska kultur- arvet.89 Detta talar för att det är fråga om ett arkivändamål av allmänt intresse. Vi bedömer därför personuppgiftsbehandlingen utifrån detta ändamål.

E-pliktlagstiftningen utgör enligt utredningens bedömning en sådan precis och förutsägbar reglering som krävs för att uppfylla kraven i artikel 9.2 j, men saknar dock uttryckligt reglerade lämpliga och särskilda åtgärder för att skydda den registrerades fri- och rättigheter. Det är dock svårt att förena skyddsåtgärder i form av exempelvis begränsad tillgång till, samt begränsad sökbarhet i, materialet med lagstiftningens uttalade syfte att tillgodose forsk- ningens behov och att bevara det svenska kulturarvet. Tillhanda- hållande av materialet är inte reglerat, vilket rent praktiskt utgör ett skydd för den enskildes integritet. De begränsningar av vilket material som kan omfattas av e-pliktlagstiftningen (3 § e-pliktlagen) utgör också ett skydd för den registrerade, även om de inte är uttryckligen är utformade som skyddsåtgärder. Vår sammantagna bedömning är

89Prop. 2011/12:121 s. 17.

592

SOU 2018:36

Bilaga 5

därför att nuvarande reglering utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j. Om frågan om tillhandahållande av materialet utreds, får i det sammanhanget närmare analyseras vilka bestämmelser om särskilda och lämpliga skyddsåtgärder som ska ingå i den regleringen.

5.4.4Registrerades rättigheter

Utredningens förslag: Den registrerades rätt till tillgång enligt artikel 15, rätt till rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nöd- vändig behandling för att utföra uppgifterna som framgår av e- pliktlagstiftningen. En sådan bestämmelse ska tas in i e-plikt- förordningen med stöd av artikel 89.3.

De svårigheter som finns för forskningsbiblioteken att tillämpa vissa av de registrerades rättigheter när uppgifter förekommer i biblioteks- material, som har behandlats i avsnitt 4.11.3, gäller i samma utsträck- ning för e-pliktmaterialet i KB:s verksamhet. Det är lika otänkbart att i denna verksamhet rätta felaktiga personuppgifter i e-pliktmaterialet eller att låta den enskilde invända mot behandlingen. Med hänvisning till resonemanget i avsnitt 4.11.3 föreslår vi därför att motsvarande undantag tas in i e-pliktförordningen.

5.5Post- och Inrikes tidningar

5.5.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

Redan innan den generella e-plikten infördes 2012 fanns en begränsad form av elektronisk pliktleverans. I 4 § förordningen (2006:1226) om Post- och Inrikes Tidningar (PoIT-förordningen) stadgas att Bolags- verket, som ansvarig för PoIT, ska göra utskrifter av nya uppgifter och sända dessa till bl.a. KB. Av andra stycket framgår att KB har rätt att begära uppgifterna i elektronisk form, vilket också i dagsläget görs. Denna form av elektronisk pliktleverans har förekommit innan de generella e-pliktleveranserna inleddes.

593

Bilaga 5

SOU 2018:36

5.5.2Rättslig grund för behandlingen

Utredningens bedömning: KB:s insamlande och bevarande av upp- gifter från Post- och Inrikes Tidningar är en arbetsuppgift av allmänt intresse. Uppgiften är fastställd i nationell rätt genom 4 § PoIT- förordningen, vilken utgör en tydlig, precis och förutsägbar reglering. KB kan därför tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter utförs för att fullgöra arbetsuppgiften.

Tillämplig rättslig grund

De personuppgifter som förekommer i PoIT är av skilda slag och rör framför allt näringslivet. Detta hindrar inte att vissa uppgifter hänför sig till enskilda fysiska personer. Bolagsverket har fått i uppgift att framställa publikationen och tillgängliggöra den i elektronisk form på myndighetens webbplats. Denna reglering talar för att behandlingen hos Bolagsverket görs med stöd av artikel 6.1 e på grund av att den är nödvändig för att utföra en uppgift av allmänt intresse. Samma rätts- liga grund torde gälla för KB:s behandling av samma uppgifter.

Fastställd uppgift av allmänt intresse

Enligt 4 § andra stycket framgår som sagt att KB har rätt att begära uppgifterna i elektronisk form. Denna bestämmelse kompletterar uppgiften i första stycket, som anger en plikt för Bolagsverket att skicka utskrivna exemplar av uppgifterna till bl.a. KB. Att hantera samma uppgifter i elektronisk form, får därför anses vara en del av KB:s uppgift att ta emot och bevara uppgifterna.

Under dessa förutsättningar finns det en fastställd arbetsuppgift för KB för vilken det är nödvändigt med den aktuella personuppgifts- behandlingen.

594

SOU 2018:36

Bilaga 5

5.5.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens förslag: KB ska få ta emot och bevara känsliga personuppgifter som förekommer i PoIT med stöd av artikel 9.2 j. En sådan bestämmelse ska tas in PoIT-förordningen.

Enligt 7 § PoIT-förordningen kan känsliga personuppgifter samt uppgifter om lagöverträdelser förekomma i PoIT om det är nöd- vändigt för att kungöra sådana uppgifter som enligt lag eller förord- ning ska kungöras i PoIT. När KB tar emot uppgifter från PoIT elek- troniskt innebär detta att myndigheten behandlar känsliga person- uppgifter samt uppgifter om lagöverträdelser m.m.

Eftersom överföringen kan ses som en form av elektronisk plikt- leverans, gör vi bedömningen att myndighetens fastställda arbets- uppgift medför behandling av personuppgifter som är nödvändig för ett arkivändamål av allmänt intresse. Behandling av de känsliga personuppgifterna kan därför utföras med stöd av artikel 9.2 j, på samma sätt som när det gäller e-pliktmaterial (se avsnitt 0)

5.5.4Registrerades rättigheter

Utredningens förslag: Den registrerades rätt till tillgång enligt artikel 15, rätt till rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nöd- vändig behandling för att utföra KB:s arbetsuppgifter som framgår av PoIT-förordningen. En sådan bestämmelse ska tas in i PoIT- förordningen med stöd av artikel 89.3.

Samma argument som har anförts i avsnitt 5.4.4 till varför registre- rades rätt till rättelse och till invändning ska inskränkas är tillämpbara även för PoIT-materialet.

595

Bilaga 5

SOU 2018:36

5.6De audiovisuella samlingarna

5.6.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

KB:s samlingar av ljud och bild innehåller bland annat tv, radio, video, biovisad film, skivor, ljudböcker och datorspel. Materialet har samlats in med stöd av 12, 14, 17 och 18 §§ pliktlagen. Äldre innehåll har levererats på analoga eller digitala databärare som film, kassettband, CD-skivor och liknande. Nytt material, särskilt utsänd radio och tv, samlas i praktiken in genom internetöverföringar till KB. Verksam- heten var tidigare en del av Statens Ljud- och Bildarkiv, som 2008 överfördes till en ny avdelning inom KB.

Innehållet i verksamhetens samlingar är sökbart för allmänheten via Svensk mediedatabas, SMDB.90 Själva det audiovisuella materialet är tillgängligt hos KB i Humlegården, Stockholm samt som fjärrlån till utvalda bibliotek.

Innehållet i de audiovisuella samlingarna räknas som del av biblio- tekets bestånd, och utgör därför inte allmänna handlingar. Det är där- med inte en del av myndighetens arkiv i arkivlagens mening, även om verksamheten tidigare bedrevs under namnet Statens Ljud- och bildarkiv och att det i KB:s instruktion framgår att myndigheten bl.a. är arkiv för ljud- och bilddokument och rörliga bilder.

5.6.2Rättslig grund för behandlingen

Utredningens bedömning: Insamlande, bevarande och tillgäng- liggörande av materialet i de audiovisuella samlingarna är en fast- ställd arbetsuppgift genom pliktlagstiftningen och KB:s instruk- tion. Författningarna utgör tydliga, precisa och förutsägbara regleringar. KB kan därför tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter utförs för att fullgöra arbetsuppgiften.

Utredningens förslag: Regeringen eller den myndighet, som regeringen bestämmer i enskilda fall, ska i pliktlagen bemyndigas

90https://smdb.kb.se/

596

SOU 2018:36

Bilaga 5

att besluta om att skyldigheten att lämna pliktexemplar ska få full- göras på annat sätt, vad gäller audiovisuellt material. I förordningen om pliktexemplar av dokument ska KB få bemyndigande att besluta om på vilket sätt skyldigheten att lämna pliktexemplar ska fullgöras.

Tillämplig rättslig grund

Materialet i de audiovisuella samlingarna härstammar från Statens Ljud- och bildarkiv (SLBA). Enligt vår bedömning bör materialet betraktas som en del av bibliotekens samlingar och utgör därmed inte allmänna handlingar (se avsnitt 3.6). Uppgiften att samla in, bevara och tillgängliggöra materialet är reglerat i myndighetens instruktion och pliktlagstiftningen. Den rättsliga grunden för behandlingen är därför i första hand att den är nödvändig för att utföra en arbets- uppgift av allmänt intresse.

Rättsläget för de audiovisuella samlingarna skiljer sig inte på ett avgörande vis från e-pliktmaterialet, med undantag för att stödet återfinns i den vanliga pliktlagen. Det finns dock en teknikberoende aspekt i dagens pliktlag som förutsätter att materialet ska plikt- levereras på en fysisk bärare (såsom band eller CD-skiva). Enligt definitionerna i pliktlagen definieras pliktexemplar som exemplar av dokument (1 §). Dokument definieras i sin tur som ett föremål som lagrar information för läsning, avlyssning eller visning (2 §).

I praktiken levereras materialet dock över nätverk, utan att vara fäst vid något fysiskt föremål. I den mån insamlande i praktiken gör avsteg från vad som är reglerat kan därför rättslig grund för behandlingen saknas.

Fastställd uppgift av allmänt intresse

Av 2 § KB:s instruktion framgår att myndigheten ska fullgöra de uppgifter som följer av bl.a. pliktlagen. Detta utgör en tydlig, precis och förutsägbar reglering av en arbetsuppgift av allmänt intresse. Eftersom materialet i praktiken levereras över nätverk faller dock sådan personuppgiftsbehandling utanför den reglerade arbets- uppgiften. För att myndigheten på ett ändamålsenligt sätt ska kunna

597

Bilaga 5

SOU 2018:36

behandla personuppgifter behöver därför regleringen av den fast- ställda arbetsuppgiften ändras för att KB ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e.

Vi föreslår därför bemyndigande i pliktlagen och anknytande förordning som ger KB rätt att i enskilda fall få besluta om att skyldig- heten att lämna pliktexemplar ska få fullgöras på annat sätt.

Denna form av reglering motsvarar hur e-plikten är utformad i 10 § andra stycket e-pliktlagen och ger KB möjlighet att själv besluta om i vilken form det audiovisuella materialet ska levereras.

5.6.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens förslag: KB ska få behandla känsliga person- uppgifter samt uppgifter om lagöverträdelser m.m. i audiovisuellt material med stöd av artikel 9.2 j när detta är nödvändigt att utföra de arbetsuppgifter som framgår av pliktlagstiftningen.

Utredningens bedömning: Befintliga bestämmelser om vilket audiovisuellt material som omfattas av plikten och därför kommer att behandlas av KB utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j.

Precis som övrigt material i KBs samlingar kan det i de audiovisuella samlingarna förekomma känsliga personuppgifter samt uppgifter om lagöverträdelser m.m. Materialets audiovisuella karaktär innebär att det är svårare att söka och sammanställa uppgifter om en enskild person jämfört med i textmaterial, vilket utgör ett visst skydd mot särskilt integritetskränkande handlingar. Precis som vid all behandling av känsliga personuppgifter krävs särskilt författningsstöd. Vår bedömning är att behandling av personuppgifter är nödvändig för ett arkivändamål av allmänt intresse. Vi gör denna bedömning av samma anledningar som för e-pliktmaterialet (se avsnitt 0). Vi föreslår således en bestämmelse som möjliggör sådan behandling som är nödvändig för att utföra denna arbetsuppgift. De existerande bestämmelserna om vilket material som omfattas av plikten utgör sådana skyddsåtgärder som krävs enligt artikel 9.2 j.

598

SOU 2018:36

Bilaga 5

5.6.4Registrerades rättigheter

Utredningens förslag: Den registrerades rätt till tillgång enligt artikel 15, rätt till rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nöd- vändig behandling för att utföra uppgifterna som framgår av pliktlagstiftningen vad gäller audiovisuellt material. En sådan bestämmelse ska tas in i pliktförordningen med stöd av artikel 89.3.

Samma argument som har anförts i avsnitt 5.4.4 till varför registre- rades rätt till rättelse och till invändning ska inskränkas är tillämpbara även för det audiovisuella materialet.

5.7Kulturarw³

5.7.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar

År 1996 påbörjade KB arbetet med Kulturarw³, som syftar till att med hjälp av automatiserad robotteknik samla in och bevara svenska dokument på internet för kommande generationer.

Utgångspunkten för arbetet är att alla svenska webbsidor ska sparas. Det främsta skälet för en i det närmaste total insamling i stället för ett noggrant urval är enligt KB att man inte kan veta vilket material som i framtiden kommer att anses som värdefullt och efterfrågat.91 Insamlingen kan ses som ett komplement till den insamling som görs med stöd av plikt- och e-pliktlagstiftningen.

5.7.2Rättslig grund för behandlingen

Utredningens bedömning: Personuppgiftsbehandling inom Kulturarw³ är nödvändig för att utföra den arbetsuppgift av all- mänt intresse som framgår av Kulturarw³-förordningen. Det finns därmed en rättslig grund för behandlingen.

91Ds 2009:61 Leveransplikt för elektroniska dokument s. 41.

599

Bilaga 5

SOU 2018:36

Utredningens förslag: KB:s uppdrag att utföra uppgiften ska framgå av myndighetens instruktion. Hänvisningar till person- uppgiftslagen ska ersättas med motsvarande hänvisningar till dataskyddsförordningen. Verksamheten ska betecknas ”Kungliga bibliotekets digitala kulturarvsverksamhet”.

Tillämplig rättslig grund

Uppgiften att samla in och bevara svenska dokument på internet är fastställd i Kulturarw³-förordningen. Den rättsliga grunden för behandlingen är därför i första hand att den är nödvändig för att utföra en uppgift av allmänt intresse.

Fastställd uppgift av allmänt intresse

Själva uppdraget med robotinsamling av svenska internet framgår inte av myndighetens instruktion. Rättsligt stöd för personuppgifts- behandlingen som detta arbete medför finns dock i Kulturarw³- förordningen.92 Denna utgör en sådan nationell lagstiftning som specificerar tillämpningen av dataskyddsförordningen och fastställer närmare villkor för personuppgiftsbehandlingen enligt artikel 6.2 och

6.3i dataskyddsförordningen. Av Kulturarw³-förordningen framgår dock inte uttryckligen att KB har i uppdrag att utföra denna robot- insamling. Vi föreslår därför att detta ska framgå av myndighetens instruktion.

På flera ställen i Kulturarw³-förordningen förekommer dock hän- visningar till enskilda bestämmelser i personuppgiftslagen. Dessa hänvisningar måste ändras till motsvarande bestämmelser i data- skyddsförordningen. I rubriker bör ”personuppgiftslagen” kunna ersättas av ”annan dataskyddsreglering”, vilket är samma uttryck som vi använt i delbetänkandets förslag om ändring i andra registerförfatt- ningar.

Förordningen hänvisar även till ”Kungl. bibliotekets digitala kulturarvsprojekt” vilket numera är missvisande eftersom kulturarvs- arbetet är en del av den löpande verksamheten, om än inte föreskriven i instruktion eller regleringsbrev. Eftersom verksamheten av denna

92Förordning (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt.

600

SOU 2018:36

Bilaga 5

anledning saknar ”officiell” beteckning, föreslår vi att uttrycket i författningen, inklusive i dess titel, ersätts av ”Kungliga bibliotekets digitala kulturarvsverksamhet”

5.7.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens bedömning: Personuppgiftsbehandling inom Kulturarw³ är nödvändig av hänsyn till ett arkivändamål av allmänt intresse som framgår av Kulturarw³-förordningen. Förordningen uppfyller även i övrigt de krav som framgår av artikel 9.2 j.

Eftersom verksamheten omfattar behandling av känsliga person- uppgifter krävs att denna behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller av hänsyn till ett arkivändamål av allmänt intresse. Sett utifrån syftet att komplettera en pliktlagstiftning som i sig kan betraktas som motiverad av arkivändamål av allmänt intresse finns fog för att betrakta även verksamheten inom Kulturarw³ som ett arkivändamål av allmänt intresse. Lagstiftningen är proportionerlig utifrån detta syfte, och även förenlig med det väsentliga innehållet i rätten till dataskydd. Den befintliga regleringen innehåller ett undan- tag från förbudet att behandla känsliga personuppgifter (6 § med föreslagna ändringar om hänvisning till dataskyddsförordningen

istället för personuppgiftslagen). Regleringen innehåller vidare skydds- åtgärder genom att tillgängligheten är begränsad (10 §) samt att vissa typer av uppgifter inte får användas som sökbegrepp (13 §), vilket enligt vår bedömning uppfyller kraven på lämpliga och särskilda åtgär- der. Sammantaget uppfyller förordningen de krav som framgår av artikel 9.2 j.

5.7.4Grundläggande principer för behandlingen

Utredningens förslag: Ändamålet med den insamling, det beva- rande och tillgängliggörande av personuppgifter som förekommer inom Kulturarw³ är att tillgodose behovet av forskning och information om det nationella digitala kulturarvet. Detta ska uttryckligen anges i kulturarw³-förordningen.

601

Bilaga 5

SOU 2018:36

Enligt principen om ändamålsbegränsning (artikel 5.1 b) måste de ändamål för vilka uppgifter samlas in vara särskilda, uttryckligt angivna och berättigade.

Ändamålet för kulturarw³-uppdraget är inte definierat i dess förordning, men angavs vid arbetets påbörjande att samla in och bevara svenska dokument på internet för kommande generationer.93 Den kan även ses som en komplettering till pliktlagstiftningen för sådant material som inte trycks eller ges ut på ett sådant sätt att e- pliktlagstiftningen är tillämplig. Ändamålet med verksamheten är med andra ord att tillgodose behovet av forskning och information om det nationella digitala kulturarvet.

Ändamålet är dock inte uttryckligt angivet, och bör lämpligen framgå av den nationella rätten, eftersom det är denna som utgör den fastställda grunden för behandlingen. För att ändamålet ska vara korrekt beskrivet bör verksamheten vidare inte beskrivas som projekt utan som en permanent uppgift för nationalbiblioteket.

5.7.5Registrerades rättigheter

Utredningens förslag: Bestämmelsen om att en enskild registre- rad inte kan motsätta sig behandlingen kan behållas, men ska förenas med skyddsåtgärd. Som skyddsåtgärd ska gälla att om en enskild registrerad invänder mot att vissa specificerade uppgifter behandlas ska KB spärra dessa uppgifter från att visas genom direktåtkomst, såvida inte KB kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Enligt 3 § andra stycket Kulturarw³-förordningen har en registrerad person inte rätt att motsätta sig sådan behandling som är tillåten enligt förordningen.

Enligt artikel 21.1 i dataskyddsförordningen ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på bl.a. artikel 6.1 e. Den

93Ds 2009:61 s. 41.

602

SOU 2018:36

Bilaga 5

personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behand- lingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Den registrerade har vidare enligt artikel 17.1 c rätt att få sina personuppgifter raderade om denne invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behand- lingen som väger tyngre.

Kulturarw³-förordningens bestämmelse om att en registrerad person inte har rätt att motsätta sig behandling av personuppgifter är inte förenlig med rätten till att göra invändningar enligt artikel 21.1 eller rätten till radering enligt artikel 17.1 c i dataskyddsförordningen. Det finns dock möjlighet att inom ramen för artikel 89.3 1 införa nationella inskränkningar av dessa rättigheter.

Den enskildes rätt att göra invändningar kan inskränkas i nationell rätt om uppgifter behandlas för arkivändamål av allmänt intresse enligt artikel 89.3. Vår bedömning är att Kulturarw³, utifrån det ända- mål som anges i dess förordning, behandlar personuppgifter för arkiv- ändamål av allmänt intresse. Den nuvarande bestämmelsen i 3 § andra stycket Kulturarw³-förordningen är därför en sådan inskränkning av den registrerades rättigheter som är tillåten enligt nationell rätt med stöd av artikel 89.3.

Ändamålet med KB:s digitala kulturverksamhet är att tillgodose behovet av forskning och information om det nationella digitala kulturarvet. Detta ändamål är sannolikt mycket svårare att uppfylla om enskilda har rätten att ta bort sina uppgifter ur det insamlade materialet. Det finns därför ett utrymme för den befintliga bestäm- melsen om att en enskild registrerad inte kan motsätta sig, eller med förordningens terminologi, invända mot, behandlingen.

Detta undantag från den registrerades rättigheter måste dock förenas med lämpliga skyddsåtgärder. Den integritetsmässiga risken, och den som kan förväntas föranleda en enskild att invända, torde vara att personuppgifterna blir tillgängliga för alla och envar genom den möjlighet till direktåtkomst som ges i 10 § i förordningen. Vi föreslår därför att om en registrerad invänder mot att vissa speci- ficerade uppgifter behandlas, ska dessa uppgifter blockeras från att visas genom direktåtkomst, såvida inte KB kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registre- rades intressen, rättigheter och friheter. Avvägningen mellan det

603

Bilaga 5

SOU 2018:36

allmänna arkivintresset och den enskildes intresse ska göras på samma sätt som avvägningen skulle ha gjorts enligt artikel 21.1, om den hade varit tillämplig.

Det ankommer på den enskilde att specificera vilka uppgifter det är fråga om genom att exempelvis ange internetadress (URL) till materialet, och om nödvändigt även visa att uppgifterna i fråga avser denne. En enskild namngiven person måste exempelvis kunna visa att uppgifter om en viss person som nämns på en viss adress faktiskt avser just honom eller henne och inte någon annan person med samma namn.

Den enskildes rätt att motsätta sig direktåtkomst ska inte påverka KB:s möjlighet att med stöd av 9 § förordningen lämna ut uppgifter på medium för automatiserad behandling för att användas i forskning.

5.8Personuppgiftsbehandling utanför de egentliga samlingarna

5.8.1Beskrivning av verksamheten och aktuella personuppgiftsbehandlingar i LIBRIS och SwePub

LIBRIS är ett samlingsnamn för ett antal olika tjänster som till- sammans utgör en nationell biblioteksinfrastruktur. Den mest namn- kunniga av dessa, och som ofta likställs med LIBRIS i sin helhet, 94 är samkatalogen över svenska biblioteks innehav, tillsammans med ett sökgränssnitt.95 Det framgår av KB:s instruktion (5 § 2 p) att myndig- heten särskilt ska ansvara för de nationella bibliotekssystemen LIBRIS, men däremot inte vad som utgör dessa system.

Personuppgiftsbehandlingen i dessa system är begränsad till biblio- grafiska uppgifter. Sådana uppgifter inkluderar inte känsliga person- uppgifter eller uppgifter om lagöverträdelser annat än i undantagsfall.

94Exempelvis så nämns under rubriken ”Om Libris” på http://librishelp.libris.kb.se/help/about_libris_swe.jsp att ”LIBRIS är en nationell söktjänst med information om titlar på svenska bibliotek”, vilket alltså inte är allt som omfattas av namnet ”Libris”.

95Gränssnittet finns på http://libris.kb.se/

604

SOU 2018:36

Bilaga 5

LIBRIS samkatalog och webbgränssnitt

LIBRIS är en nationell samkatalog som bygger på samverkan mellan i första hand svenska högskole- och specialbibliotek, men är öppen även för andra typer av bibliotek som vill delta i samarbetet. Innehållet i kata- logen byggs upp gemensamt tillsammans med de cirka 500 biblioteks- organisationer som registrerar sitt material. LIBRIS innehåller också den svenska nationalbibliografin.

KB är systemägare för LIBRIS samt svarar för drift och utveckling, men ansvarar inte för kostnader som faller på deltagande bibliotek i form av personal, material, drift och liknande. Deltagande bibliotek är systemanvändare av LIBRIS och förbinder sig bl.a. att hålla material som har registrerats i LIBRIS tillgängligt för utlån eller läsning (eller motsvarande), följa aktuella anvisningar för katalogisering och aukto- ritetskontroll m.m. och fortlöpande underhålla och uppdatera biblio- grafiska metadata för sitt eget material, så att det är aktuellt och håller tillräckligt god kvalitet. Innehållet i LIBRIS görs tillgängligt av KB via ett gemensamt webbgränssnitt.96

LIBRIS Uppsök

Uppsök är en söktjänst för svenska examensarbeten och student- uppsatser i fulltext som skrivs på svenska universitet och högskolor. De studentuppsatser och examensarbeten som ingår i databasen är elektroniskt publicerade i fulltext vid respektive lärosäte. Varje post har en länk till uppsatsen i fulltext. Tjänsten innehåller person- uppgifter främst i form av författares namn. Uppsök innehåller där- emot inte uppsatserna i fulltext utan enbart länkar till dessa.

LIBRIS fjärrlån

De böcker och artiklar som inte finns på ett lokalt forskningsbibliotek kan i många fall beställas in från annat bibliotek i Sverige eller utom- lands genom bibliotekets fjärrlåneavdelning. Enligt gällande biblio- tekslag ska bibliotek och bibliotekshuvudmän inom det allmänna biblioteksväsendet samverka, vilket bl.a. innebär möjligheter till ett gemensamt utnyttjande av samlingar och medieresurser. KB har en

96http://libris.kb.se/

605

Bilaga 5

SOU 2018:36

central roll i att stödja, samordna och bevaka utvecklingen av fjärr- låneverksamheten samt att formulera övergripande rekommenda- tioner för denna.

Sondera

Sondera är en samsökningstjänst för LIBRIS, SMDB – Svensk medie- databas, KB och NAD – Nationell ArkivDatabas.97 En sökning i Sondera ger dels en överblick över innehållet i de tre databaserna, dels en ingång till att studera materialet direkt i respektive databas. Sondera är ett samarbetsprojekt mellan Riksarkivet och KB. Tjänsten utför angiven sökning mot de tre databaserna parallellt och presenterar resultaten sida vid sida utan någon mer sofistikerad behandling av sökresultaten. Personuppgiftsbehandlingen i Sondera ger möjlighet att fältsöka på personnamn.

SwePub

Som en följd av ett regeringsuppdrag samverkar KB med Vetenskaps- rådet och med lärosätena genom Sveriges universitets- och högskole- förbund i utvecklingen av SwePub. Syftet är att möjliggöra och kvalitetssäkra bibliometriska analyser. SwePub innehåller referenser till de forskningspublikationer som finns registrerade i för närvarande ett fyrtiotal svenska lärosätens och andra myndigheters publicerings- databaser. Urval och omfattning varierar bland deltagande lärosäten och myndigheter. SwePub är alltså en samlad ingång till vetenskaplig publicering vid svenska lärosäten.

5.8.2Rättslig grund för behandlingen

Utredningens bedömning: KB:s behandling av personuppgifter i LIBRIS är nödvändig för att utföra den arbetsuppgift att ansvara för systemet som framgår av KB:s instruktion. Den behandling som förekommer i SwePub är nödvändig för att utföra ett givet regeringsuppdrag. KB kan därför tillämpa den rättsliga grunden

97http://sondera.kb.se/

606

SOU 2018:36

Bilaga 5

uppgift av allmänt intresse i artikel 6.1 e när nödvändig behandling av personuppgifter sker för att fullgöra dessa uppgifter.

Tillämplig rättslig grund

Arbetsuppgiften att ansvara för LIBRIS framgår av myndighetens instruktion. SwePub är resultatet av ett regeringsuppdrag. Den rätts- liga grunden för personuppgiftsbehandlingen i denna del är därför i första hand att den är nödvändig för att utföra en uppgift av allmänt intresse.

Fastställd uppgift av allmänt intresse

Av KB:s instruktion (5 § 2 p) framgår som nämnts ovan att myndig- heten särskilt ska ansvara för de nationella bibliotekssystemen LIBRIS. Däremot framgår inte vad som utgör dessa system. Eftersom instruktionen är så allmänt hållen är det en rimlig tolkning att KB ansvarar för alla system som ingår i LIBRIS. KB har i nuvarande regel- verk författningsstöd för personuppgiftsbehandlingen i LIBRIS. KB är personuppgiftsansvarigt i och med sin roll som systemägare av LIBRIS och den som ansvarar för drift och utveckling. Denna roll har även deltagande bibliotek eftersom de, förutom att läsa och söka bland personuppgifterna i systemet, även kan ändra och komplettera dem. Av dataskyddsförordningens artikel 4.7 framgår att om två eller flera gemensamt bestämmer över en viss behandling är de personuppgifts- ansvariga tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i dataskyddsförord- ningen. Det är här alltså fråga om personuppgiftsansvar för båda parter.

SwePub är som sagt ett resultat av ett regeringsuppdrag. Regerings- uppdrag ges mot bakgrund av en myndighets instruktion. KB har med andra ord en fastställd uppgift att inneha systemet. Uppgifterna för KB är därför fastställda i nationell rätt på ett tydligt och precist sätt, och deras tillämpning är förutsägbar. Samma bedömning gäller för det rättsliga stödet för Sondera eftersom den tjänsten sammanställer sök- resultat från två utav KB:s system som redan har rättsligt stöd.

607

Bilaga 5

SOU 2018:36

5.8.3Känsliga personuppgifter samt uppgifter om lagöverträdelser m.m.

Utredningens bedömning: Behandling av känsliga personuppgifter om dessa förekommer i bibliografiska uppgifter är tillåtet med stöd av artikel 9.2 j eftersom detta kan anses vara nödvändigt för ett arkivändamål av allmänt intresse på grundval av nationell rätt.

Personuppgiftsbehandlingen i dessa system är begränsad till bibliogra- fiska uppgifter. Sådana uppgifter inkluderar inte känsliga personupp- gifter eller uppgifter om lagöverträdelser annat än i undantagsfall. När detta ändå förekommer torde samma resonemang som i avsnitt 4.8.3 vara tillämpligt. Det rör sig alltså om nödvändig behandling, i detta fall med stöd av KB:s fastställda uppgift att ansvara för LIBRIS respektive SwePub.

5.8.4Registrerades rättigheter

Utredningens bedömning: Den registrerades rätt till tillgång enligt artikel 15, rättelse enligt artikel 16 samt rätt till invändning enligt artikel 21 dataskyddsförordningen ska inte gälla vid nöd- vändig behandling för att utföra fastställda arbetsuppgifter för KB vad gäller LIBRIS och SwePub. Ett sådant undantag följer av det undantag som föreslås i avsnitt 4.11.3. Samma argument som har anförts i avsnitt 5.4.4 till varför registrerades rätt till rättelse och till invändning ska inskränkas är tillämpbara även för behandling i LIBRIS och SwePub. Det undantag som föreslagits i avsnitt 4.11.3 omfattar även KB:s personuppgiftsbehandling i dessa samman- hang.

608

SOU 2018:36

Bilaga 5

6 Analys av utredningens förslag

En utredning ska enligt 14–15 a §§ kommittéförordningen (1998:1474) redovisa vilka konsekvenser förslagen i ett betänkande kan få i olika avseenden. Av 6 § förordningen (2007:1244) om konsekvensutred- ning vid regelgivning följer vidare att en konsekvensutredning ska innehålla vissa beskrivningar, uppgifter och bedömningar. Även om förslagen i dessa deluppdrag redovisas i form av en promemoria i stället för i ett betänkande förefaller det ändå lämpligt att redovisa konsekvenserna i samma avseenden. Dessa redovisas i avsnitt 6.1.

Enligt vårt tilläggsdirektiv 2017:87 ska utredningen även redovisa förslagens konsekvenser för aktörer i forskningssystemet. Dessa redovisas i avsnitt 6.2. Slutligen analyseras förlagens konsekvenser för den personliga integriteten i avsnitt 6.2.

Det är inledningsvis viktigt att understryka att utredningens upp- drag i denna del är att analysera vilken reglering som är möjlig och kan behövas för att personuppgifter ska kunna behandlas på ett ändamåls- enligt sätt i KB:s och forskningsbibliotekens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas. Vi ska i det samman- hanget beakta det förslag till lag med kompletterande bestämmelser till dataskyddsförordningen som lämnats av Dataskyddsutredningen (SOU 2017:39). De konsekvenser som direkt följer av förordningen eller Dataskyddsutredningens förslag analyseras därför inte nedan.

6.1Konsekvensutredning

Utredningen föreslår i kapitel 4 att uppgiften att tillgängliggöra kun- skap i syfte att stödja forskning och utbildning inom högskolans verksamhetsområde ska fastställas i nationell rätt för forsknings- biblioteken. En sådan uppgift torde redan vara underförstådd i

609

Bilaga 5

SOU 2018:36

forskningsbibliotekens uppgift att svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid universitetet eller högskolan (12 § bibliotekslagen [2013:801]). Anledningen till att vi föreslår en uttryckligt fastställd uppgift är inte att vi eftersträvar någon förändring av bibliotekens uppgifter. Vi har dock bedömt att det behövs för att uppfylla dataskyddsförordningens krav på att en uppgift av allmänt intresse ska vara fastställd i nationell rätt samt kraven på tydlighet och förutsägbarhet.

De förslag till kompletterande bestämmelser som utredningen lämnar utgör de nödvändiga kompletterande nationella bestämmel- serna för att den samlade regleringen, enligt utredningens bedömning, ska möjliggöra en ändamålsenlig behandling samtidigt som den skyddar den enskildes fri och rättigheter.

En allmän utgångspunkt för utredningen har varit att bibehålla bibliotekens möjligheter att utöva sin verksamhet inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. I vart fall ska inte möjligheterna till sådan verksamhet försämras jämfört med dagens situation. Bibliotekens verksamhet är i många avseenden inte detaljerat reglerad. Dataskyddsförord- ningens krav har därför föranlett att vi i viss utsträckning har fått fastställa bibliotekens uppgifter.

Utöver de föreslagna skyddsåtgärderna föreslår utredningen gene- rellt vissa begränsningar av de registrerades rättigheter som anges i artikel 16 (rättelse) och artikel 21 (invändning). Förslaget medför i denna del vissa konsekvenser för de registrerades personliga integritet i syfte att biblioteken ska kunna fortsätta bedriva sin verksamhet på ett ändamålsenligt sätt vad gäller digitalt tillgängliggörande av kunskap.

I det följande kommer utredningen sammanfattningsvis att analy- sera konsekvenserna av förslaget att likställa olika biblioteksaktörer med avseende på deras ställning i förhållande till allmänt intresse som rättslig grund för personuppgiftsbehandling, förslaget att tillåta viss behandling av känsliga personuppgifter med vidhängande skydds- åtgärder samt förslaget att i vissa sammanhang införa begränsningar av registrerades rättigheter.

610

SOU 2018:36

Bilaga 5

6.1.1Problem- och målbeskrivning

I april 2016 beslutade EU en förordning som utgör ny generell reglering för personuppgiftsbehandling inom unionen. I och med att denna börjar tillämpas den 25 maj 2018 upphävs nuvarande person- uppgiftslag (1998:204) med tillhörande personuppgiftsförordning (1998:1191). Övriga författningar som reglerar personuppgifts- behandling inom sektorsvisa områden måste anpassas. Dataskydds- utredningen har föreslagit anpassningar och kompletterande för- fattningsbestämmelser på generell svensk nivå.

I dag är den personuppgiftsbehandling som förekommer inom forskningsbiblioteken och KB i stor utsträckning oreglerad och stödjer sig i viss utsträckning på undantag i personuppgiftslagen, som kommer att upphävas i och med att dataskyddsförordningen börjar tillämpas.

Personuppgiftsbehandling i forskningsbibliotekens och KB:s verksamhet kommer i flera fall att behöva kompletterande reglering i nationell lagstiftning för att sådan behandling ska vara tillåten. Vi har därför fått i uppdrag att föreslå en kompletterande reglering för forsk- ningsbiblioteken och KB utöver den reglering som Dataskyddsutred- ningen redan föreslagit.

6.1.2Alternativa lösningar

Dataskyddsförordningen lämnar vissa möjligheter till nationella kom- pletterande och specificerande bestämmelser. Om inte dessa möjlig- heter att införa nationella anpassningar utnyttjas kommer forsknings- bibliotekens och KB:s personuppgiftsbehandlingar i flera fall sakna rättslig grund. Eftersom utredningens övergripande mål är att möjlig- göra en ändamålsenlig behandling av personuppgifter i bibliotekens verksamhet är det inte ett rimligt alternativ att låta bli att föreslå reglering.

611

Bilaga 5

SOU 2018:36

6.1.3Förslagens förenlighet med EU-rätten

Utredningens förslag är föranledda av den förändring av EU-rätten som dataskyddsförordningens ikraftträdande medför.

Utredningens förslag syftar till att utgöra en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål som är förenlig med dataskyddsförordningen, inom det utrymme som data- skyddsförordningen lämnar för nationell rätt. Vi bedömer därmed att förslaget är förenligt med EU-rätten.

6.1.4Tidpunkt och information inför ikraftträdande

Dataskyddsförordningen ska börja tillämpas från och med den 25 maj 2018 som direkt tillämplig lag i Sverige, vilket innebär att nationella kompletterande författningar måste träda i kraft samma datum.

6.1.5Ekonomiska konsekvenser

I 14 § kommittéförordningen anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, lands- ting, företag eller andra enskilda ska en beräkning av dessa konse- kvenser redovisas i betänkandet. Om förslagen innebär samhälls- ekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner och landsting ska kommittén föreslå en finansiering. Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kost- nadsmässiga och andra konsekvenser anges i betänkandet, enligt 15 a § kommittéförordningen.

Utredningen bedömer att förslagen inte medför några kostnads- förändringar för de aktörer som omnämns i kommittéförordningen. Den huvudsakliga konsekvensen av förslagen är att behandling i biblioteksverksamhet som i dag pågår ska kunna fortgå även efter att dataskyddsförordningen börjar tillämpas. Konsekvenserna kommer mer troligt vara att kostnaderna stannar på de nivåer som för när- varande gäller. Förslagen kan därför betraktas som kostnadsneutrala i förhållande till dagens situation. Konsekvensen av att avstå från regle-

612

SOU 2018:36

Bilaga 5

ringen skulle i stället kunna bli en kostnadsökning för de forsknings- aktörer som inte längre skulle kunnat utnyttja biblioteken som en resurs för informationsförsörjning.

Vad gäller de föreslagna begränsningarna av de registrerades rättig- heter medför de främst att biblioteken i vissa avgränsade situationer inte behöver beakta en del rättigheter som annars skulle tillkomma de registrerade. Begränsningarna bör därför inte medföra ökade ekono- miska kostnader för biblioteken.

6.1.6Andra konsekvenser enligt kommittéförordningen

Av 15 § kommittéförordningen framgår att om förslagen i ett betän- kande har betydelse för den kommunala självstyrelsen ska konse- kvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsföre- byggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrations- politiska målen.

Utredningen bedömer att de förslag som lämnas inte får några konsekvenser i dessa avseenden.

6.2Konsekvenser för aktörer inom forskningssystemet

Forskningsbibliotekens verksamhet är av central betydelse för forsk- ningen. Dataskyddsförordningen får genomgripande konsekvenser för forskningsaktörer, inklusive forskningsbiblioteken och KB i sin roll av nationalbibliotek, i stort. Den kompletterande reglering som vi föreslår riktar sig till samma aktörer. Indirekt berörs också de regist- rerade, även om deras rättsliga ställning i relation till den person- uppgiftsbehandling som bedrivs av biblioteken inte kommer att förändras.

Den huvudsakliga konsekvensen av förslagen är att person- uppgiftsbehandling i biblioteksverksamhet som i dag pågår ska kunna

613

Bilaga 5

SOU 2018:36

fortgå även efter att dataskyddsförordningen börjar tillämpas. För- slagen får alltså inte till huvudsaklig del några större praktiska konsekvenser för biblioteken eller dess besökare.

Vad gäller text- och datautvinning (avsnitt 4.10) är detta en verk- samhet hos biblioteken som i dagsläget är under utveckling. Särskilt KB har börjat anpassa system och tjänster för att kunna bedriva sådan verksamhet och även erbjuda text- och datautvinningstjänster externt, medan många forskningsbibliotek inte alls har börjat, eller bara i begränsad utsträckning. Sådan verksamhet har enligt gällande rätt kunnat bedrivas utan uttrycklig reglering med utnyttjande av vissa undantag i personuppgiftslagen. Vi föreslår i stället en uttryck- lig reglering som tillåter sådan behandling med detaljerade bestäm- melser vad gäller känsliga personuppgifter samt uppgifter om lag- överträdelser m.m. både inom och utanför ramen av etikprövade forskningsprojekt. Konsekvensen för forskningsbiblioteken och dess besökare, inklusive forskare, blir en större tydlighet i vad biblioteken får göra som personuppgiftsansvariga i samband med denna typ av behandling.

6.3Integritetsanalys

Dataskyddsförordningen lämnar ett visst utrymme för nationell lag- stiftning som begränsar eller inskränker de fri- och rättigheter som förordningen ger individen vad gäller den personliga integriteten. Det ställs dock vissa proportionalitetskrav på sådan lagstiftning.

Vi har i avsnitt 4.3.1 gjort bedömningen att bibliotekens nuvarande verksamhet inte medför sådan kartläggning eller övervakning som avses i 2 kap. 6 § regeringsformen. Eftersom våra förslag syftar till att denna verksamhet även fortsättningsvis ska kunna bedrivas anser vi att förslagen inte utgör sådan reglering som medför sådant betydande intrång i den personliga integriteten som avses i regeringsformen.

614

SOU 2018:36

Bilaga 5

6.3.1Kartläggning av den föreslagna personuppgiftsbehandlingen

Vi har, precis som i utredningens tidigare betänkande, tillämpat Data- inspektionens metod för att kartlägga den personuppgiftsbehandling som ett förslag kan medföra samt vilka konsekvenser den får för den personliga integriteten.98

Mot denna bakgrund har vi beaktat de centrala faktorer som enligt vägledningen behöver belysas i en sådan kartläggning.

Särskilda faktorer i personuppgiftsbehandlingen

De här diskuterade frågeställningarna är hämtade från Datainspek- tionens vägledning.

För vilka ändamål ska personuppgifter behandlas?

Utredningen förslag till reglering i en ny förordning om person- uppgiftsbehandling i forskningsbibliotekens verksamhet och till ändring i högskoleförordningen fastställer en generell uppgift för forskningsbibliotek att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Utöver detta finns redan särskilda uppgifter för KB rörande plikt och e-plikt samt den digitala kulturarvsverksam- heten.

Med vilket rättsligt stöd ska personuppgifterna behandlas?

När personuppgifter behandlas i bibliotekens verksamhet är det huvudsakligen fråga om nödvändig behandling för en uppgift av allmänt intresse, och har därmed stöd i dataskyddsförordningens artikel 6.1 e. Den rättsliga grunden ges i den föreslagna regleringen, med stöd av artikel 6.2 och 6.3. I de enskilda avsnitten i kapitel 4 och 5 har vi gått igenom befintliga uppgifter fastställda i enlighet med gällande lagstiftning, och i vissa fall föreslagit nya fastställda uppgifter.

98SOU 2017:50 s. 300.

615

Bilaga 5

SOU 2018:36

Vem ska utföra personuppgiftsbehandlingen och vem ansvarar för den?

Varje forskningsbibliotek, inklusive KB, är personuppgiftsansvarig enligt dataskyddsförordningen för den personuppgiftsbehandling som är nödvändig för att utföra bibliotekets uppgifter. Det kan vara biblioteket som utför själva behandlingen, eller en tredje part (exem- pelvis vid inskanningsarbete, där KB ibland lägger ut jobb på MKC), men detta förändrar inte personuppgiftsansvarets placering.

I den mån personuppgifter behandlas som följd av text- och data- utvinning inom ramen för ett etikprövat forskningsprojekt är biblio- teket och forskningsprojektet personuppgiftsansvariga för sin del av behandlingen.

Vilka personuppgifter kommer att behöva samlas in och i övrigt behandlas?

De personuppgifter som behandlas är huvudsakligen uppgifter som hänför sig till enskilda som förekommer i löpande text i biblioteks- materialet. Biblioteken samlar in dessa uppgifter, även i digital form, som en del av sin biblioteksverksamhet och med stöd av existerande och föreslagna fastställda uppdrag. Det förekommer även mer struk- turerade personuppgifter både i samband med bibliotekens låneverk- samhet (avsnitt 4.4) och i bibliotekens hantering av identifikatorer i samband med databaser och andra katalogsystem (avsnitt 4.9).

Hur många personer kommer att beröras av personuppgiftsbehandlingen och hur många uppgifter om varje person kommer att behöva samlas in?

Det är vanskligt att kvantifiera hur många personer som kommer att beröras av denna behandling samt hur många uppgifter om varje enskild person som kommer behöva samlas in. Den behandling som är nödvändig för bibliotekens uppgifter är en konsekvens av vilka personuppgifter som kan tänkas förekomma i sådant material som biblioteken har i uppdrag att tillgängliggöra.

616

SOU 2018:36

Bilaga 5

Vilka kommer att ha åtkomst till personuppgifterna och vilken spridning kan uppgifterna i övrigt komma att få?

Personuppgifterna kommer, med undantag för låntagaruppgifter, att vara tillgängliga för bibliotekets besökare, dvs. en bred allmänhet. Detta inkluderar även tillgänglighet på distans över internet.

Finns det behov av nya sekretessbestämmelser och sekretessbrytande bestämmelser?

Utredningen föreslår varken någon tillkommande sekretessreglering eller sekretessbrytande bestämmelser.

Vilka sök- och sammanställningsmöjligheter är nödvändiga för ändamålet och hur kan de begränsas?

Det är utifrån bibliotekens verksamhet inte lämpligt att ställa upp generella krav på sökbegränsningar. Det kan däremot i samband med text- och datautvinning möjligt att begränsa sådana behandlingar som utvinner eller på annat sätt specialbehandlat känsliga uppgifter.

Hur länge behöver personuppgifter bevaras?

Personuppgifterna behöver bevaras i samma utsträckning som biblio- tekens samlingar. Med undantag för KB:s pliktexemplarsverksamhet har biblioteken möjlighet att gallra biblioteksmaterial, även digitalt, när biblioteksverksamheten inte längre kräver att materialet bevaras.

Vilket inflytande kommer de registrerade att ha över personuppgiftsbehandlingen?

De registrerade kan till den allra största delen inte utöva eget inflytande över vilka uppgifter som förekommer i biblioteksmaterialet eller hur detta tillgängliggörs. Ett undantag föreslås för behandling av person- uppgifter i KB:s digitala kulturarvsverksamhet (se avsnitt 5.7.5).

617

Bilaga 5

SOU 2018:36

Vilken information om behandlingen av personuppgifter kommer de registrerade få?

Personuppgifterna hämtas, med undantag för uppgifter i låneverk- samheten, från annat håll än från den registrerade själv. Enligt artikel 14.5 i dataskyddsförordningen ska den personuppgifts- ansvariges skyldighet att tillhandahålla information till den registrerade inte tillämpas i vissa fall, som kan bli aktuella inom biblioteksverksam- heten (se avsnitt 4.11.3). Det är dock upp till den personuppgifts- ansvarige att bedöma detta från fall till fall.

Vilka regler kommer att gälla till skydd för de registrerades personliga integritet vid den föreslagna personuppgiftsbehandlingen?

För de flesta typer av behandlingar som avhandlas i kapitel 4 och 5 gör utredningen bedömningen att dessa är nödvändiga för ett arkiv- ändamål av allmänt intresse. Som generell skyddsåtgärd i dessa fall avgränsas det material som biblioteken får behandla till sådant material som har utgivits samt biblioteken har i uppgift att tillhanda- hålla i sin verksamhet. I och med att behandlingen bedöms nödvändig för ett arkivändamål av allmänt intresse gäller även enligt artikel 89.1 att behandlingen ska omfattas av lämpliga skyddsåtgärder. Det är den personuppgiftsansvarige som i det enskilda fallet ska tillse att sådana lämpliga skyddsåtgärder tillämpas.

Slutsats av integritetsanalysen

Det förhåller sig så att dataskyddsförordningen, även om den ger visst utrymme för nationell reglering, är direkt tillämplig. En nationell lagstiftning om skyddsåtgärder kan exempelvis aldrig upphäva kravet i artikel 89.1 i dataskyddsförordningen på att personuppgiftsbehand- ling för arkivändamål av allmänt intresse ska vara omgärdad av lämpliga skyddsåtgärder. Om de av utredningen föreskrivna skydds- åtgärderna är otillräckliga i det specifika fallet är det den person- uppgiftsansvariges ansvar att självständigt efterleva dataskyddsförord- ningens krav.

618

SOU 2018:36

Bilaga 5

Utredningens slutsats blir med hänvisning till ovanstående resone- mang att konsekvenserna för den personliga integriteten är förenliga med det väsentliga innehållet i rätten till dataskydd.

Proportionalitetsbedömning

I en proportionalitetsbedömning ska det ändamål för vilket person- uppgifterna behandlas, och som måste vara godtagbart enligt olika kriterier, ställas mot det integritetsintrång som behandlingen medför.

Vilket eller vilka ändamål motiverar behandlingen av personuppgifter?

Ändamålet med bibliotekens verksamhet är generellt legitimt och godtagbart i ett demokratiskt samhälle. Bibliotekens uppgifter, sär- skilt forskningsbibliotekens, är dock inte detaljerat reglerade i nationell lagstiftning. Detta medför vissa svårigheter att fastställa vilka konkreta uppgifter av allmänt intresse som ett forskningsbibliotek egentligen har, och som en konsekvens, vilken personuppgifts- behandling som är nödvändig för dessa uppgifter.

Finns det några mindre integritetsingripande alternativ för att uppnå det avsedda ändamålet än den föreslagna personuppgiftsbehandlingen?

Det som aktualiserar frågan om dataskydd i bibliotekens verksamhet är framför allt den pågående digitaliseringen. Biblioteken gör som ett led i detta arbete mer material och tjänster tillgängligt på digital väg. Detta medför att behandlingen hamnar inom dataskyddsförord- ningens tillämpningsområde. Att avstå från digitalisering och endast tillhandahålla kunskapen i pappersform skulle vara ett sätt att minska integritetsintrånget, åtminstone i den meningen att dataskydds- förordningen inte längre skulle vara tillämplig på verksamheten. En sådan tillbakagång skulle dock inte vara ändamålsenlig med hänsyn till ändamålen med bibliotekens verksamhet. Ett dylikt arbetssätt skulle inte heller vara förenligt med regeringens förväntningar på hur myndigheter ska arbeta, så som de uttrycks i regeringens digita- liseringsstrategi.99

99För ett hållbart digitaliserat Sverige - en digitaliseringsstrategi, dnr N2017/03643/D.

619

Bilaga 5

SOU 2018:36

Står integritetsintrånget som behandlingen medför i rimlig proportion till den nytta som behandlingen innebär för de avsedda ändamålen?

Vad gäller personuppgifter i utgivet material kan spridning av sådana uppgifter i vissa fall medföra ett avsevärt integritetsintrång. Mot bakgrund av den starka ställning som tryckfriheten har i svensk rätt i relation till dataskyddet anser utredningen dock att sådant integritets- intrång som uppstår i samband med utgivning av materialet står i proportion till den nytta som behandlingen innebär. Det ytterligare integritetsintrång som bibliotekens hantering och spridning medför är i sammanhanget litet och står enligt vår bedömning i proportion till nyttan med behandlingen sett utifrån ändamålet med bibliotekens verksamhet.

Proportionalitetskrav i dataskyddsförordningen

Vi föreslår en nationell reglering som med stöd av artikel 6.2 och 6.3 fastställer den rättsliga grunden allmänt intresse för forsknings- bibliotekens uppgift att tillhandahålla kunskap. Sådan nationell rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Författningarna innehåller även vissa begränsningar av den registrerades rättigheter. Det sammanlagda integritetsintrånget blir dock begränsat. Ställt mot det stora värde för forskningen som forskningsbiblioteken har finner vi att de föreslagna bestämmelserna måste anses vara proportionella.

Vi föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla känsliga personuppgifter. Av artikel 9.2 j framgår att lagstiftning som tillåter behandling av känsliga personuppgifter ska stå i proportion till det eftersträvade syftet. Vad gäller biblioteksmaterial följer det av principer om tryck- och yttrandefrihet att detta material kan innehålla uppgifter om nu levande personer, även känsliga person- uppgifter och uppgifter om lagöverträdelser. Ändamålet med att hantera sådant material i digital form, inklusive tillhandahållande av materialet, kan beskrivas som arkivändamål av allmänt intresse. En författning som skulle föreslå att enstaka uppgifter ur publicerade verk skulle tas bort ur biblioteksmaterialet vore knappast tänkbar. Förordningsförslagen får, inte minst mot bakgrund av det starka

620

Statens offentliga utredningar 2018

Kronologisk förteckning

1.Ett reklamlandskap i förändring

–konsumentskydd och tillsyn i en digitaliserad värld. Fi.

2.Stärkt straffrättsligt skydd

för blåljusverksamhet och andra samhällsnyttiga funktioner. Ju.

3.En strategisk agenda

för internationalisering. U.

4.Framtidens biobanker. S.

5.Vissa processuella frågor på socialförsäkringsområdet. S.

6.Grovt upphovsrättsbrott och grovt varumärkesbrott. Ju.

7.Försvarsmaktens långsiktiga materielbehov. Fö.

8.Kunskapsläget på kärnavfallsområdet 2018. Beslut under osäkerhet. M.

9.Ökad trygghet för studerande som blir sjuka. U.

10.Myndighetsgemensam indelning – samverkan på regional nivå. Volym 1. Myndighetsgemensam indelning – författningsändringar till följd av ny landstingsbeteckning. Volym 2. Fi.

11.Vårt gemensamma ansvar

–för unga som varken arbetar eller studerar. U.

12.Uppdrag: Samverkan 2018. Många utmaningar återstår. A.

13.Finansiering av infrastruktur med skatt eller avgift? Fi.

14.Bidragsbrott och underrättelseskyl- dighet vid felaktiga utbetalningar från välfärdssystemen – en utvärdering. Fi.

15.Mindre aktörer i energilandskapet

–genomgång av nuläget. M.

16.Vägen till självkörande fordon – introduktion. Del 1 + 2. N.

17.Med undervisningsskicklighet

icentrum – ett ramverk för lärares och rektorers professionella utveckling. U.

18.Statens stöd till trossamfund i ett mångreligiöst Sverige. Ku.

19.Forska tillsammans – samverkan för lärande och förbättring. U.

20.Gräsrotsfinansiering. Fi.

21.Flexibel rehabilitering. A.

22.Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller återvändande. A.

23.Konstnär – oavsett villkor? Ku.

24.Tid för utveckling. A.

25.Juridik som stöd för förvaltningens digitalisering. Fi.

26.Några frågor i skyddslagstiftningen. Fö.

27.Ekonomiska sanktioner mot terrorism. UD.

28.En nationell alarmeringstjänst

– för snabba, säkra och effektiva hjälpinsatser. Ju.

29.Validering i högskolan – för tillgodoräknande och livslångt lärande. U.

30.Förenklat förfarande vid vissa beslut om hemlig avlyssning. Ju.

31.En lag om operativt militärt stöd mellan Sverige och Finland. Fö.

32.Ju förr desto bättre – vägar till en förebyggande socialtjänst. S.

33.Aggressionsbrottet och ändringar i Romstadgan. Ju.

34.Vägar till hållbara vattentjänster. M.

35.Ett gemensamt bostadsförsörjningsansvar. N.

36.Rätt att forska – Långsiktig reglering av forskningsdatabaser. U.

Statens offentliga utredningar 2018

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan 2018.

Många utmaningar återstår. [12] Flexibel rehabilitering. [21]

Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller återvändande. [22]

Tid för utveckling. [24]

Finansdepartementet

Ett reklamlandskap i förändring

–konsumentskydd och tillsyn i en digitaliserad värld. [1]

Myndighetsgemensam indelning – sam- verkan på regional nivå. Volym 1. Myndighetsgemensam indelning – författningsändringar till följd av ny landstingsbeteckning. Volym 2. [10]

Finansiering av infrastruktur med skatt eller avgift? [13]

Bidragsbrott och underrättelseskyldig- het vid felaktiga utbetalningar från välfärdssystemen – en utvärdering. [14]

Gräsrotsfinansiering. [20]

Juridik som stöd för förvaltningens digitalisering. [25]

Försvarsdepartementet

Försvarsmaktens långsiktiga materielbehov. [7]

Några frågor i skyddslagstiftningen. [26]

En lag om operativt militärt stöd mellan Sverige och Finland. [31]

Justitiedepartementet

Stärkt straffrättsligt skydd

för blåljusverksamhet och andra samhällsnyttiga funktioner. [2]

Grovt upphovsrättsbrott och grovt varumärkesbrott. [6]

En nationell alarmeringstjänst

–för snabba, säkra och effektiva hjälpinsatser. [28]

Förenklat förfarande vid vissa beslut om hemlig avlyssning. [30]

Aggressionsbrottet och ändringar i Romstadgan. [33]

Kulturdepartementet

Statens stöd till trossamfund i ett mångreligiöst Sverige. [18]

Konstnär – oavsett villkor? [23]

Miljö- och energidepartementet

Kunskapsläget på kärnavfallsområdet 2018. Beslut under osäkerhet. [8]

Mindre aktörer i energilandskapet

–genomgång av nuläget. [15] Vägar till hållbara vattentjänster. [34]

Näringsdepartementet

Vägen till självkörande fordon – introduktion Del 1 + 2. [16]

Ett gemensamt bostadsförsörjningsansvar. [35]

Socialdepartementet

Framtidens biobanker. [4]

Vissa processuella frågor på social- försäkringsområdet. [5]

Ju förr desto bättre – vägar till

en förebyggande socialtjänst. [32]

Utbildningsdepartementet

En strategisk agenda

för internationalisering. [3]

Ökad trygghet för studerande som blir sjuka. [9]

än de registrerade ...................................................	319
8.11.6 Direktåtkomst för den registrerade själv...............	321
8.11.7 Uppförandekoder som stöd vid behandling
av personuppgifter i forskningsdatabaser..............	324
8.12 Avvecklingen av en forskningsdatabas..................................	326
8.12.1 Behov av reglering i detta steg av livscykeln..........	326

12.3 Vilket skydd finns för uppgifter om avlidna
som hanteras inom forskning?..............................................	403
12.3.1 Grundläggande rättsliga förutsättningar...............	403
12.3.2 Skyddet för den avlidnes kroppsliga integritet .....	406
12.3.3 Skyddet för den avlidnes eftermäle och frid .........	408
12.3.4 Skydd i generell lagstiftning ..................................	408
12.4 Finns det ett behov av att stärka skyddet för uppgifter
om avlidna inom forensisk forskning? .................................	412
12.4.1 Hur omfattande skydd behövs för uppgifter
om avlidna? ............................................................	412

Sammanfattning ................................................................		17
Summary ..........................................................................		27
DEL I
Inledning
1	Författningsförslag.....................................................	39
1.1 Förslag till lag om forskningsdatabaser .................................		39

	människor ................................................................................		57
2	Vårt uppdrag och arbete .............................................		59
2.1	Utredningsuppdraget..............................................................		59
	2.1.1	Uppdraget att föreslå långsiktiga regleringar
		av forskningsdatabaser ............................................	60

	forskningsregister ...................................................	61
2.1.3	Reglering av ett nationellt biobanksregister..........	62

		personuppgiftsbehandling ......................................	63
2.2	Utredningsarbetet ..................................................................		64
	2.2.1	Expertgruppsmöten ................................................	65
	2.2.2	Besök vid lärosäten och myndigheter ....................	65
	2.2.3	Övriga kontakter och framträdanden ....................	65
	2.2.4	Annat underlag i utredningsarbetet .......................	66
2.3	Disposition m.m. ....................................................................		67

3	Bakgrund, utgångspunkter och begrepp........................		71
3.1	Bakgrund .................................................................................		71
3.2	Utgångpunkter........................................................................		72
3.3	Centrala begrepp för slutbetänkandet....................................		73
	3.3.1	Forskning och forskningsändamål..........................	74
	3.3.2	Register och databas ................................................	76
	3.3.3	Forskningsdatabas m.m...........................................	79
	3.3.4	Forskningsinfrastruktur eller
		databasinfrastruktur för forskning..........................	80

	forskning..................................................................	81
3.3.6	Forskningshuvudman..............................................	82
3.3.7	Program och projekt................................................	83
3.3.8	Forskningsperson ....................................................	84

utlämnande från forskningsdatabaser .....................	84
3.3.10 Centraliserad och decentraliserad ..........................	86

4	Behov av forskningsdatabaser .....................................		89
4.1	Inledning..................................................................................		89
4.2	Behövs det särskilda forskningsdatabaser? .............................		90
	4.2.1	Registerforskningsutredningens bedömning ..........	91
	4.2.2	Har förutsättningarna ändrats sedan 2014?.............	95

	av forskningsdatabaser .............................................	96
4.3 Utveckling av gemensamma resurser vid myndigheter ......		108
4.3.1	Satsningen på hälso- och sjukvårdens
	kvalitetsregister......................................................	108

		forskningsdatabaser................................................	114
4.4	Vår sammanfattande bedömning ..........................................		120
5	Rättsliga förutsättningar för forskningsdatabaser .........		121
5.1	Inledning................................................................................		121
	5.1.1	Innehåll och disposition.........................................	121

	i annat offentligt tryck ...........................................	122
5.2 Rättsliga förutsättningar för registerbaserad forskning .......		123
5.2.1	Internationell reglering ..........................................	123
5.2.2	Regeringsformen....................................................	125
5.2.3	EU:s dataskyddsreglering ......................................	126
5.2.4	Rätt för forskare att få del av personuppgifter ......	128
5.3 Några viktiga bestämmelser i dataskyddsförordningen .......		129
5.3.1	Inledning ................................................................	129
5.3.2	Rättslig grund.........................................................	129
5.3.3	Känsliga personuppgifter .......................................	136
5.3.4	Personuppgifter om lagöverträdelser m.m. ...........	138
5.3.5	Principer för personuppgiftsbehandling................	138
5.3.6	Ändamålsbegränsning ............................................	139

	5.3.7	Begränsningar i registrerades rättigheter ..............	144
	5.3.8	Skyddsåtgärder.......................................................	145
5.4	Etikprövning .........................................................................		146
	5.4.1	Etikprövningslagens innehåll, syfte
		och tillämpningsområde ........................................	146
	5.4.2	Villkor för etikprövning ........................................	147
5.5	Offentlighet, sekretess och tystnadsplikt.............................		149
	5.5.1	Inledning ................................................................	149
	5.5.2	Sekretessbestämmelsernas utformning.................	151

	inom forskning.......................................................	154
5.5.4	Tystnadsplikt vid privat verksamhet .....................	161

	del av uppgifter från en statistikansvarig
	myndighet ..............................................................	163
5.6 Arkivering och gallring .........................................................		164
5.6.1	Tryckfrihetsförordningen och arkivlagen.............	164

		arkivering ...............................................................	166
	5.6.3	Reglering i dataskyddslagen ..................................	168
	5.6.4	Reglering i registerförfattningar............................	171
5.7	Sammanfattning ....................................................................		174
6	Registerforskningsutredningens förslag ......................		177
6.1	Inledning ...............................................................................		177
6.2	Registerforskningsutredningens uppdrag och förslag .........		177
	6.2.1	Förslag till lag om forskningsdatabaser.................	177
	6.2.2	Registerforskningsutredningens övriga uppdrag..	178
	6.2.3	Remissbehandling..................................................	181
6.3	Förslaget till lag om forskningsdatabaser.............................		181

	för forskningsdatabaser .........................................	184
6.3.3	Definitioner ...........................................................	185

SOU 2018:36		Innehåll
6.3.4	Ändamål och utlämnande ......................................	185
6.3.5	Databasens innehåll................................................	187
6.3.6	Insamling av uppgifter ...........................................	187
6.3.7	Ingen etikprövning av forskningsdatabaser...........	189

		och personuppgiftsansvar ......................................	190
	6.3.9	Kodnyckelförfarande .............................................	191
	6.3.10	Rättelse m.m...........................................................	191
	6.3.11	Sökbegrepp.............................................................	192
	6.3.12	Förbud mot bakvägsidentifiering ..........................	192
	6.3.13	Intern elektronisk åtkomst ....................................	193
	6.3.14	Gallring...................................................................	193
	6.3.15	Registerutdrag ........................................................	194
	6.3.16	Rättelse och skadestånd .........................................	195
	6.3.17	Sekretess .................................................................	195
	6.3.18	Sambearbetning......................................................	196
	6.3.19	Kompletterande förordningar ...............................	196
6.4	Remissvar ...............................................................................		197
	6.4.1	Allmänna synpunkter.............................................	197
	6.4.2	Remissynpunkter på vissa delar av förslagen.........	212
6.5	Avslutningsvis........................................................................		217
7	Vår ansats...............................................................		219
7.1	Inledning................................................................................		219
7.2	Principiella utgångspunkter...................................................		219
	7.2.1	Inledande utgångspunkter .....................................	219
	7.2.2	Forskarsamhällets utgångspunkter........................	220
	7.2.3	Politiska utgångspunkter .......................................	221

	forskningens behov ................................................		226
7.3 En forskningsdatabas livscykel..............................................			231
7.3.1	Livscykelmodellen..................................................		231
7.3.2	Steg 1.	Skapandet....................................................	232
7.3.3	Steg 2.	Insamlingen ................................................	233
7.3.4	Steg 3.	Förvaltningen .............................................	234
7.3.5	Steg 4. Användningen ............................................		234

	7.3.6	Steg 5. Avvecklingen..............................................	235
7.4	Forskningsdatabaser som bör omfattas av våra förslag .......		235
	7.4.1	Olika typer av forskningsdatabaser.......................	235
	7.4.2	Forskningsdatabaser som vi avser att reglera........	239
8	Förslag till reglering av forskningsdatabaser ................		241
8.1	Inledning ...............................................................................		241
8.2	Personuppgiftsbehandling i forskningsdatabaser.................		241
	8.2.1	Inledning ................................................................	242
	8.2.2	Förenlighet med dataskyddsförordningen............	242
	8.2.3	Rättslig grund ........................................................	243
	8.2.4	Känsliga personuppgifter.......................................	246
	8.2.5	Grundläggande principer för behandling..............	248
8.3	En lag om forskningsdatabaser .............................................		248
8.4	Lagens innehåll och syfte ......................................................		250
8.5	Förhållande till annan lagstiftning ........................................		252
8.6	Regleringens territoriella tillämpningsområde .....................		254

		tillämpningsområde ...............................................	257
8.7	Definitioner...........................................................................		259
	8.7.1	Forskningsdatabas .................................................	260
	8.7.2	Forskningshuvudman............................................	261
8.8	Skapandet av en forskningsdatabas.......................................		261
	8.8.1	Behov av reglering i detta steg av livscykeln .........	261
	8.8.2	Ansvar för forskningsdatabasen............................	262

	av en forskningsdatabas.........................................	267
8.8.5	En forskningsdatabas ska etikprövas ....................	271

SOU 2018:36		Innehåll
8.8.6	Etikprövningen av en forskningsdatabas...............	275
8.9 Insamlingen av uppgifter till en forskningsdatabas.................		282
8.9.1	Behov av reglering i detta steg av livscykeln..........	282

	behandlingen ..........................................................	287
8.9.5	Forskningssekretess ...............................................	288

	forskningshuvudmän .............................................	294
8.10 Förvaltningen av en forskningsdatabas.................................		295
8.10.1	Behov av reglering i detta steg av livscykeln..........	295
8.10.2	Organisatoriska åtgärder........................................	296

	informationssäkerhet och personlig integritet......	298
8.10.4	Ett riskbaserat informationssäkerhetsarbete.........	301

	forskningsdatabas...................................................	304
8.10.6	Intern uppföljning (revidering) .............................	309
8.10.7 Extern uppföljning och utvärdering ......................		310
8.11 Användningen av en forskningsdatabas................................		312
8.11.1	Behov av reglering i detta steg av livscykeln..........	312

	från en forskningsdatabas ......................................	312
8.11.3	Pseudonymisering och annat likvärdigt skydd......	315
8.11.4	Utlämnande av uppgifter till LIS och andra
	forskningsdatabaser i Europa.................................	319

8.12.2 Arkivering ..............................................................	327
8.13 Bemyndiganden.....................................................................	335

9	Rättspsykiatriska forskningsregistret ..........................		341
9.1	Inledning ...............................................................................		341
	9.1.1	Uppdraget..............................................................	341
	9.1.2	Bakgrund................................................................	341
9.2	Gällande rätt ..........................................................................		342