Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Betänkande av Utredningen om inrättande av

Myndigheten för arbetsmiljökunskap

Stockholm 2018

SOU 2018:45

3.2.2Myndighetens andra uppdrag och löpande

3.3Rättslig grund för behandling av personuppgifter vid

3.4.2Behovet att inhämta personuppgifter från

4.2.2Förändringar i arbetslivet som påverkar

4.2.3Närmare om behovet av samlingarna och

4.3Behandling av känsliga personuppgifter ställer särskilda

4.4Dataskyddslagen ger inte MynAK rätt att behandla

6

5.5Krav på samtycke när uppgifterna samlats in direkt från

5.7.2Lagen ska upplysa om att regeringen kan begränsa ändamålen och vilka uppgifter som

5.7.3Utlämnande av uppgifter i överensstämmelse

5.9Samlingar av avidentifierade/

7

7.2.5Konsekvenser för företag i egenskap av

8.1Förslaget till lag om behandling av personuppgifter vid

8

10

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Första stycket gäller dock inte när personuppgifterna samlats in direkt från den enskilde.

Samtycke när uppgifter har samlats in direkt från den enskilde

5 § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål med behandlingen

7 § Myndigheten för arbetsmiljökunskap får behandla personuppgifter om det är nödvändigt inom myndighetens ansvarsområde. En sådan behandling får innefatta

1.granskningar och analyser som syftar till att samla in, sammanställa och sprida kunskap om arbetsmiljö,

2.utvärderingar och analyser av statliga reformer och andra statliga initiativ, samt

3.studier om utvecklingen inom arbetsmiljöområdet. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

14

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.

Behandling av känsliga personuppgifter

10 § Inga andra personuppgifter som avses i artikel 9.1 EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa får behandlas för de ändamål som anges i 7 §.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter, samt personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Samlingar av personuppgifter

11 § Om det är nödvändigt för de ändamål som anges i 7 §, får det hos Myndigheten för arbetsmiljökunskap finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

12 § Om det behövs för de ändamål som anges i 7 §, får det hos Myndigheten för arbetsmiljökunskap även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 11 §, om uppgifterna är nödvändiga för myndighetens arbete som avser kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys.

15

Begränsningar i behandlingen av personuppgifter

13 § Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får inte behandlas i syfte att röja en persons identitet.

14 § Personuppgifter som behandlas enligt 12 § och som har samlats in för att behandlas inom olika avgränsade projekt som avser kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys får inte sambearbetas med varandra.

Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att kunna upprepa eller följa upp ett tidigare genomfört projekt av sådant slag som avses i första stycket.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Denna lag träder i kraft den 1 juli 2019.

16

utvärderingar och analyser, Trafikanalys och Myndigheten för kulturanalys. Dessa företrädare har dock inte tagit ställning till de överväganden och förslag som presenteras i detta betänkande. Vidare har utredningen anordnat ett seminarium med forskare verksamma inom för arbetsmiljökunskap relevanta forskningsområden. Seminariet syftade till att ge underlag för bedömning av vilken typ av data som typiskt sett används i arbetsmiljöforskning och som mot denna bakgrund kan komma att vara relevanta för MynAK:s verksamhet.

2.2Rättsliga utgångspunkter

2.2.1Inledning

Oberättigade intrång i den personliga integriteten vid behandling av personuppgifter kan uppstå t.ex. genom att uppgifter används för annat ändamål än vad som är avsett eller hamnar i orätta händer p.g.a. säkerhetsbrister. Dessa risker har medfört att det bedömts finnas ett behov av bestämmelser som närmare reglerar hur personuppgifter får användas och hur felaktig hantering ska beivras. Någon enhetlig definition av begreppet personlig integritet verkar inte finnas, men regeringen har i ett försök att beskriva kärnan i begreppet uttalat att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.4

Nedan följer en kortfattad beskrivning av vissa nationella och internationella regelverk på området. Beskrivningen bygger till viss del på likande redogörelser i andra utredningar rörande personuppgiftsbehandling.5

2.2.2Förenta nationerna

Artikel 12 i FN:s allmänna förklaring om mänskliga rättigheter stadgar att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare har var och en rätt till lagligt

4Prop. 2009/10:80 s. 175 och prop. 2005/06:173 s. 15.

5Se SOU 2017:39, s. 63 ff. och SOU 2017:50, s. 67 ff.

18

skydd mot sådana ingripanden och angrepp. FN:s allmänna förklaring om de mänskliga rättigheterna ses till stora delar som ett uttryck för sedvanerättsliga regler.

Sverige har anslutit sig till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i ovan nämnda artikel 12 i den allmänna förklaringen. Konventionen är bindande för anslutna stater.

2.2.3Europakonventionen

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) tar i första hand sikte på åtgärder av det allmänna. Artikel 8 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får enligt bestämmelsen inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i är nödvändigt med hänsyn till vissa intressen, som t.ex. landets ekonomiska välstånd eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Bestämmelsen ålägger stater en förpliktelse att avstå från att göra oproportionerliga intrång i rätten till respekt för privat- och familjelivet. Behandling av personuppgifter faller ofta inom artikelns tillämpningsområde.6

Europakonventionen är inkorporerad i svensk rätt och gäller som lag. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

2.2.4Dataskyddskonventionen

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen), som Sverige och även övriga medlemsstater i EU anslutit sig till. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt

6Se t.ex. målet S. och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, dom [stor kammare] den 4 december 2008.

19

den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dataskyddskonventionens innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 i Europakonventionen.7 Konventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet. Enligt konventionen ska personuppgifter inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott. Dataskyddskonventionen har nyligen varit föremål för en översyn inom Europarådet.

2.2.5EU-stadgan om de grundläggande rättigheterna

EU:s medlemsstater har antagit Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan), som sedan Lissabonfördragets ikraftträdande är rättsligt bindande för EU-institutionerna och medlemsstaterna när de tillämpar unionsrätten. Enligt artikel 7 i EU-stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och kommunikationer. Av artikel 8 i stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikeln gäller vidare att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

2.2.6Dataskyddsförordningen

Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU som börjar tillämpas den 25 maj 2018. Förordningen syftar till att säkra en enhetlig och hög skyddsnivå för

7Prop. 2016/17:91, s. 24.

20

fysiska personer och till att undanröja hindren för flödena av personuppgifter inom unionen. Förordningen är direkt tillämplig i medlemsstaterna och gäller före nationell rätt. Samtidigt både förutsätter och möjliggör förordningen kompletterande nationella bestämmelser av olika slag.

Förordningen innebär en förstärkning av fysiska personers rättigheter och motsvarande ökning av skyldigheter för de fysiska och juridiska personer som behandlar personuppgifter och bestämmer ändamålen och medlen för sådan behandling (s.k. personuppgiftsansvariga).

Personuppgifter definieras i artikel 4.1 i dataskyddsförordningen som varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska ekonomiska, kulturella eller sociala identitet.

Begreppet behandling är enligt artikel 4.2 i dataskyddsförordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Dataskyddsförordningen gäller dock inte behandling av personuppgifter rörande avlidna personer (skäl 27). Den gäller inte heller uppgifter om juridiska personer. Däremot anses avidentifierade individdata där nyckeln till identifiering finns bevarad utgöra personuppgifter i dataskyddsförordningens mening.

För att en behandling av personuppgifter överhuvudtaget ska vara laglig måste dataskyddsförordningens bestämmelser om rättslig grund i artikel 6 vara uppfyllda. För all behandling av personuppgifter enligt dataskyddsförordningen gäller vidare ett antal övergripande principer (artikel 5), t.ex. att personuppgifter ska behandlas på ett

21

lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits.

Särskilda krav gäller för behandlingen av vissa särskilda kategorier av uppgifter (känsliga personuppgifter), såsom uppgifter som avslöjar etniskt ursprung eller uppgifter om hälsa. Enligt artikel 9 är sådan behandling förbjuden, men undantag kan göras i för vissa ändamål. Det är t.ex. under vissa förutsättningar tillåtet att behandla känsliga personuppgifter om det är nödvändigt av hänsyn till ett viktigt allmänt intresse.

Dataskyddsförordningen innehåller även ett antal rättigheter för de enskilda vars personuppgifter behandlas (de registrerade). Av artikel 12–14 framgår t.ex. att den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15) och begära att få sådana uppgifter rättade eller raderade eller att behandlingen ska begränsas (artikel 16–18). Vidare har den registrerade, enligt artikel 21.1, rätt att göra invändningar mot personuppgiftsbehandling avseende honom eller henne som utförs på vissa rättsliga grunder. Dessa rättigheter kan begränsas under vissa förutsättningar (artikel 23.1).

2.2.7Regeringsformen

Den personliga integriteten skyddas även i svensk grundlag. Av regeringsformen framgår bl.a. att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap 6 § andra stycket). Skyddet får dock begränsas genom lag under vissa förutsättningar (2 kap. 20 och 21 §§ regeringsformen). I avsnitt 5.1 i detta betänkande redogörs för utredningens bedömning att det bör införas en lag om behandling av personuppgifter vid MynAK.

22

2.2.8Dataskyddslagen

Som ovan nämnts innehåller dataskyddsförordningen bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skälen till dataskyddsförordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).

Den 25 maj 2018 träder lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (nedan dataskyddslagen) i kraft. Lagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser, exempelvis i s.k. registerförfattningar (se avsnitt 2.2.9 nedan). Dataskyddslagen förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Lagen innehåller bl.a. bestämmelser om behandling av s.k. känsliga personuppgifter, bestämmelser om begränsning av de registrerade rättigheter och bestämmelser om arkiv och statistik.

I dataskyddslagen finns bestämmelser som närmare specificerar innebörden i kravet enligt artikel 6.1 i dataskyddsförordningen om att varje personuppgiftsbehandling måste vila på en rättslig grund. Dataskyddslagen innehåller bl.a. en bestämmelse (2 kap. 1 §) om att personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Vidare finns en bestämmelse om att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning (2 kap. 2 §).

23

2.2.9Särskilda registerförfattningar

I svensk rätt finns även ett stort antal s.k. registerförfattningar som reglerar personuppgiftsbehandling på specifika områden. Sådana registerförfattningar blir ofta aktuella inom verksamheter där stora mängder känsliga personuppgifter hanteras, såsom uppgifter om hälsa. Registerförfattningar kan sägas konkretisera ramarna för personuppgiftsbehandlingen vid aktuella myndigheter, vilket kan vara en fördel både ur ett verksamhetsperspektiv och utifrån intresset att skydda de registrerades integritet. Inom Arbetsmarknadsdepartementets ansvarsområde finns t.ex. registerlagar för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

24

•följa och analysera utvecklingen i syfte att stärka sitt kunskaps-, analys- och utvärderingsarbete.

I 4 § anges att myndigheten får bedriva den forskning som behövs för att kunna fullgöra uppgifterna enligt 2 §. MynAK har även till uppgift att följa och främja kunskapsuppbyggnad om arbetsmiljöfrågor i Europeiska unionen och internationellt samt att följa och främja företagshälsovårdens utveckling (3 §).

3.2Behovet av personuppgiftsbehandling vid myndigheten

3.2.1Myndighetens kärnuppdrag kräver personuppgiftsbehandling

Eftersom myndigheten ska vara ett nationellt kunskapscentrum för arbetsmiljö måste den kunskap och information som myndigheten sprider vara av hög vetenskaplig kvalitet. MynAK ska t.ex. arbeta med att ta fram kunskapssammanställningar, litteraturöversikter eller informationsmaterial över redan befintlig forskning på arbetsmiljö- och arbetslivsområdet och sprida dessa framställningar till relevanta aktörer. I det arbetet kommer det att vara nödvändigt för myndigheten att genomföra fördjupade analyser av det material som ska användas för att ta fram kunskapsunderlag. För att kunna genomföra sådana analyser behöver MynAK ha möjlighet att självständigt bedöma kvaliteten och relevansen i det vetenskapliga arbete som ska utgöra grund för t.ex. en kunskapssammanställning. Detta kan vissa fall förutsätta att det finns möjlighet för myndigheten att studera den data som använts som underlag i det vetenskapliga arbete, t.ex. en studie eller artikel, vars kvalitet och relevans ska bedömas. Sådan data kommer ofta att innehålla personuppgifter.

MynAK har även i uppdrag att utvärdera och analysera effekter av beslutade och genomförda statliga reformer och andra statliga initiativ, och att följa och analysera utvecklingen i syfte att stärka sitt kunskaps-, analys- och utvärderingsarbete. Genom utvärdering och analys av utvecklingen och insatser inom arbetsmiljöområdet ska myndigheten bidra till en mer träffsäker och effektiv arbetsmiljöpolitik. Även detta arbete bygger på att myndigheten har möjlighet att behandla personuppgifter. Likaså är behandling av personuppgifter

26

nödvändig för att kunna studera olika orsakssamband, exempelvis mellan arbete och hälsa, samt göra studier över tid genom att följa en individ genom olika skeenden och över långa tidsperioder (longitudinella studier).

Myndigheten behöver ha ett heltäckande underlag för att kunna besvara frågor om arbetsmiljöns utveckling och dess samvariation med ohälsa. För exempelvis studier av effekter av statliga insatser krävs tillgång till större mängder data för att myndigheten med statistisk säkerhet ska kunna utesluta att utfallet beror på något annat än insatsen. Själva bearbetningen kräver sällan behov av att kunna hänföra uppgifterna direkt till en viss fysisk eller juridisk person. Det är dock ändå fråga om personuppgifter eftersom det finns möjlighet att indirekt härleda uppgifterna till en viss individ.

Mot denna bakgrund står det enligt utredningens mening klart att behandling av personuppgifter är nödvändig inom verksamheten. I vilken utsträckning myndigheten kommer att behandla personuppgifter beror på inriktningen i myndighetens olika projekt. Det kan konstateras att myndigheten, genom sitt forskningsuppdrag, har möjlighet att genomföra studier som avgränsade forskningsprojekt och inom ramen för dessa behandla personuppgifter under vissa förutsättningar. MynAK har dock även i uppdrag att följa och analysera utvecklingen på arbetsmiljöområdet för att stärka sitt kunskaps-, analys- och utvärderingsarbete. Denna del av uppdraget förutsätter tillgång till uppgifter om ett stort antal individer och om de eventuella förändringar i deras olika enskilda förhållanden som skett över längre tidsperioder. Inom bl.a. myndighetens utvärderingsuppdrag kommer även vissa känsliga personuppgifter att behandlas, såsom personuppgifter om hälsa. Det är därför av stor vikt att tillsäkra att sådan behandling omfattas av lämpliga och tillräckliga skyddsåtgärder. Exempel på skyddsåtgärder och integritetshöjande åtgärder är krav på etikprövning enligt etikprövningslagen, bestämmelser om begränsning av tillgång till personuppgifter och ändamålsbestämmelser (se vidare kapitel 5).

27

3.2.2Myndighetens andra uppdrag och löpande administration

MynAK ska även enligt 3 § i myndighetens instruktionsförordning följa och främja kunskapsuppbyggnad om arbetsmiljöfrågor i Europeiska unionen och internationellt. Detta kan bl.a. innebära att myndigheten kommer att inkluderas i regeringens arbete i vissa internationella organ. MynAK kan även tänkas samarbeta med andra organisationer för att stärka Sveriges internationella arbetsmiljöarbete.

Denna del av MynAKs arbete bedöms inte innefatta någon omfattande behandling av personuppgifter utöver den som med nödvändighet måste ske inom all offentlig förvaltning.

I 3 § 2 instruktionsförordningen anges även att MynAK har till uppgift att följa och främja företagshälsovårdens utveckling. MynAK:s uppdrag kommer i denna del bl.a. innebära att myndigheten arbetar med vissa typer av frågor kopplade till kompetensförsörjning, dvs. utbildningsbehovet av personal till företagshälsovården. Arbetet med kompetensförsörjning har hittills fokuserats på att administrera kurser för specialistläkarutbildningen inom arbetsmedicin. Det kommer bl.a. mot denna bakgrund att finnas ett visst behov att inom ramen för uppdraget kopplat till företagshälsovård behandla personuppgifter vid kompetensförsörjningsåtgärder, såsom analys och administration av utbildningar på området.

MynAK kommer, i likhet med alla myndigheter och arbetsgivare, att behöva behandla personuppgifter i den interna administrationen, såsom hanteringen av exempelvis personalfrågor. Vidare kommer det att förekomma personuppgifter om t.ex. kontaktpersoner vid myndigheter, forskare och andra som kan ha nytta av myndighetens arbete. I detta avseende skiljer sig inte myndighetens behov av att behandla personuppgifter från någon annan myndighets motsvarande behov. Den personuppgiftsbehandling som kommer att ske som ett led i den löpande administrationen vid myndigheten motiverar inte införande av specifika dataskyddsbestämmelser.

28

3.3Rättslig grund för behandling av personuppgifter vid myndigheten

De grundläggande förutsättningarna för att behandling av personuppgifter ska vara laglig och tillåten finns i artikel 6 i dataskyddsförordningen. Personuppgifter får endast behandlas om minst ett av det villkor som anges i artikel 6.1 a−f i dataskyddsförordningen är uppfyllt. Dessa villkor utgör den rättsliga grunden för personuppgiftbehandlingen. Uppräkningen av vad som kan utgöra rättslig grund för behandling av personuppgifter i artikel 6.1 är uttömmande. Flera rättsliga grunder kan vara tillämpliga för en och samma behandling. Det är den personuppgiftsansvariges ansvar att efterleva de allmänna principerna för behandling av personuppgifter samt att undersöka och ta ställning till om en behandling är tillåten enligt gällande rätt.

Den rättsliga grunden samtycke i artikel 6.1 a bör, som framgår av skäl 43 i dataskyddsförordningen, användas med försiktighet av myndigheter eftersom det i regel finns en betydande ojämlikhet mellan de registrerade och de personuppgiftsansvariga myndigheterna.

Av intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Exempel på detta kan vara uppdrag som regeringen ger myndigheten i regleringsbrev eller enligt särskilda beslut. Av särskilt intresse för myndigheter är emellertid den rättsliga grunden i artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. I förarbetena till dataskyddslagen uttalar regeringen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse.1

I artikel 6.3 första stycket dataskyddsförordningen ställs också krav på att vissa av de rättsliga grunderna, nämligen artikel 6.1 c och artikel 6.1 e i dataskyddsförordningen, ska vara fastställda i enlighet med unionsrätten eller den nationella rätten. Med detta avses dock inte att den rättsliga grunden måste vara fastställd i en av riksdagen beslutad lag.2 Däremot måste den rättsliga grunden vara fastställd på ett konstitutionellt korrekt sätt. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden

1Prop. 2017/18:105 s. 56 f.

2Se skäl 41 till dataskyddsförordningen.

29

eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Genom uppdragen i instruktionsförordningen kommer MynAK att utföra uppgifter som är av allmänt intresse, vilket innebär att grunden i artikel 6.1 e i dataskyddsförordningen är tillämplig.3 Myndighetens verksamhet är även fastställd i enlighet med nationell rätt i och med att uppgifterna anges i instruktionsförordning och regleringsbrev. Forskningsuppdraget är avgränsat och knyter tydligt an till kunskaps-, analys- och utvärderingsarbete som utgör myndighetens kärnuppdrag.4

Dataskyddsförordningen har ingen definition av forskning, men av skäl 159 framgår att behandling av personuppgifter för vetenskapliga ändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Definitionen av begreppet forskning finns i dag i 2 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor där det anges att forskning är ett vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå.

3.4Tillgången till personuppgifter vid MynAK

3.4.1Betydelsen av bestämmelsen om statistiksekretess

Som ovan nämnts kommer handläggning av enskilda individers ärenden inte ingå i MynAK:s kärnverksamhet. Myndigheten kommer därför inte att få tillgång till personuppgifter genom sådan ärendehantering (till skillnad från t.ex. Arbetsförmedlingen eller Försäkringskassan). De personuppgifter som myndigheten behöver för sin verksamhet kommer därför att behöva samlas in på annat sätt.

I praktiken innebär detta att MynAK kommer att behöva få tillgång till uppgifter och underlag från andra myndigheter, ofta statistikansvariga myndigheter och andra myndigheter som framställer statistik.5

3Se resonemang i prop. 2017/18:105, s 56 f.

4a.a.s. 57 f.

5Med statistikansvariga myndigheter avses ofta myndigheter med officiellt statistikansvar enligt bilagan till förordningen (2001:100) om den officiella statistiken. Framställning av statistik kan dock förekomma även på myndigheter som inte omnämns i den förordningen.

30

De flesta av de personuppgifter MynAK har behov av för sina utvärderingar finns hos statistikansvariga myndigheter såsom Statistiska centralbyrån (SCB), Arbetsmiljöverket, Försäkringskassan och Socialstyrelsen.

Åtkomsten till sådana uppgifter är begränsade till följd av gällande sekretessreglering. Om en myndighet har särskild verksamhet som avser framställning av statistik gäller nämligen den s.k. statistiksekretess i den verksamheten för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde (24 kap. 8 § offentlighets- och sekretesslagen [2009:400], OSL).

Sekretessen är som utgångspunkt absolut. Efter särskild prövning kan uppgifter dock lämnas ut för forsknings- eller statistikändamål, samt i avidentifierad form. En förutsättning för utlämnande är att det står klart att det kan ske utan skada eller men för den enskilde eller närstående, vilket i praktiken innebär att uppgifterna måste omfattas av statistiksekretess även hos den mottagande myndigheten. 6

Statistiksekretessen kan enligt 24 kap. 8 § andra stycket OSL också gälla för vissa undersökningar hos andra myndigheter i den utsträckning regeringen meddelar föreskrifter om det. Med stöd av detta bemyndigande har regeringen utfärdat föreskrifter i 7 § offentlighets- och sekretessförordningen (2009:641), OSF. Enligt 7 § gäller sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde i de undersökningar som nämns i bestämmelsen.

Utredningen har lämnat ett förslag till ändring av 7 § OSF med innebörd att vissa av MynAK:s undersökningar ska omfattas av statistiksekretess.7 Förslaget bereds för närvarande i Regeringskansliet.

3.4.2Behovet att inhämta personuppgifter från andra myndigheter

MynAK kommer framförallt att ha ett behov av tillgång till uppgifter från SCB. Även i de fall det finns grundläggande stöd i 24 kap. 8 § OSL för att lämna ut identitetsangivet material för forskningsändamål

6Jämför prop. 1994/95:200, s. 28 och prop. 2013/14:162 s. 12.

7Se skrivelse till Arbetsmarknadsdepartementet den 28 februari 2018, dnr A2018/00498/ARM.

31

tillämpar SCB dessa regler väldigt restriktivt, i princip lämnar myndigheten inte ut något identitetsangivet material alls.8

När uppgifter ska hämtas från SCB är personuppgifterna som regel avidentifierade genom att personnummer ersätts med ett löpnummer. Ingen information kan således hänföras till en enskild individ hos den myndighet till vilken uppgifterna lämnas.

När SCB eller annan statistikansvarig myndighet lämnar ut avidentifierade personuppgifter kan myndigheten dock bevara en identitetsbeteckning, en s.k. nyckel, och genom den kan t.ex. ett löpnummer och individernas personnummer kopplas samman. Detta är förutsatt att den som ska använda uppgifterna ska göra det för forskning eller statistik och har ett behov av att senare kunna komplettera uppgifterna.9 När det gäller utlämnande från SCB anges i den myndighetens sekretesspolicy att dessa kodnycklar ska vara kopplade till särskilda projekt och att om projektet upphör försvinner också förutsättningarna för att bevara nyckeln.10

Eftersom myndigheten som förser MynAK med uppgifterna har tillgång till en nyckel som kan koppla uppgifterna till en viss individ är bedömningen att det är fråga om personuppgifter i dataskyddsförordningens mening (jfr definition av personuppgifter i artikel 4.1). Genom den nyckel som förvaras hos den utlämnande myndigheten kan MynAK få tillgång till uppdaterade data eller länka samman uppgifterna med andra register efter behov. Om MynAK exempelvis vill studera samband mellan två register beställer myndigheten en sådan körning av t.ex. SCB, som sedan lägger sedan samman registren eftersom det endast är den myndigheten som har den nyckel som finns mellan personnummer och de löpnummer som lämnats ut. Det är den nyckeln som gör sammanbearbetningen av registren möjlig.

Om MynAK ska behandla så kallade känsliga personuppgifter, däribland uppgifter om hälsa, måste myndighetens projekt ha genomgått en s.k. etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) innebär att

8Statistiska centralbyråns sekretesspolicy, dnr 2016/1002, s. 2. Tillgänglig via www.scb.se/ Grupp/OmSCB/Verksamhet/Regelverk/Policy/sekretesspolicy.pdf (hämtad 2018-05-22).

9Förfarandet regleras i 16 lagen (2001:99) om den officiella statistiken. Av bestämmelsen framgår att en statistikansvarig myndighet som lämnar ut uppgifter som inte är direkt hänförliga till enskild får förse uppgifterna med ett löpnummer, som kan kopplas till ett personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En sådan åtgärd får vidtas om den som uppgifterna lämnas ut till skall använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna.

10Statistiska centralbyråns sekretesspolicy, dnr 2016/1002, s. 6.

32

forskningsprojektet ska godkännas av en etikprövningsnämnd innan den får genomföras. När MynAK begär att få ta del av t.ex. känsliga personuppgifter från t.ex. SCB, måste en etikprövning ha skett innan myndigheten tar sig an beställningen.

Slutligen bör nämnas att det kan förekomma att myndigheten behöver göra studier som baseras på uppgifter som hämtas in genom intervjuer eller enkäter. Utredningen bedömer dock att dessa metoder endast kommer att användas i mindre utsträckning i myndighetens verksamhet (se även avsnitt 5.10).

33

4.2Behov av egna samlingar av personuppgifter

4.2.1Innebörden av begreppet samlingar

Dataskyddsförordningen innehåller inte någon särskild definition eller något begrepp för att beteckna olika samlingar av personuppgifter, såsom register eller databaser. Som huvudregel görs det ingen skillnad mellan olika former av behandling av sådana uppgifter och annan behandling som helt eller delvis företas på automatisk väg. Dataskyddsförordningens krav måste därför vara uppfyllda även i fråga om sådan behandling. Samlingar av personuppgifter kan vara databaser, men även samlingar av data för ett enskilt projekt eller en studie. Det bör vara ostridigt att förekomst av databaser och andra samlingar som innehåller många personuppgifter i sig kan innebära risker för enskildas personliga integritet.

4.2.2Förändringar i arbetslivet som påverkar arbetsmiljön

Arbetslivet, och därmed arbetsmiljön, är i ständig förnyelse och står inför stora förändringar, bl.a. till följd av teknisk utveckling och digitaliseringen.1 Vissa yrken kommer att förändras i grunden, medan andra kanske helt försvinner. Nya trender och nya former för att organisera arbete förändrar också i sin tur förutsättningarna på arbetsmarknaden. Nya arbetsformer såsom egenanställning eller arbete vid digitala plattformar kan t.ex. skapa oklarheter om vem som ska ses som arbetsgivare och arbetstagare, vilket har betydelse för ansvaret för arbetsmiljön.2 Även framväxten av nya sätt att organisera arbete har betydelse för arbetsmiljö och hälsa, bl.a. på så sätt att den mer ansvar läggs på den enskilde medarbetaren.3

Ett förändrat arbetsliv ställer vidare nya krav på arbetsmiljöarbetet. Antalet fysiskt ansträngande arbetsmoment minskar och byts ut mot t.ex. arbete framför en datorskärm. Detta leder i sin tur till att vissa arbeten som tidigare endast varit fysiskt krävande nu har

1Det har gjorts gällande att de allra flesta branscher kommer att behöva förändras i grunden till följd av digitaliseringen, se Arbetsmiljöverkets rapport, (2015:17) Digital arbetsmiljö, s. 21.

2SOU 2017:24, s. 223.

3Arbetsmiljöverkets kunskapssammanställning (2018:2) Nya sätt att organisera arbete – betydelsen för arbetsmiljö och hälsa, s. 9.

36

blivit psykiskt krävande.4 Det har också skett en ökning av antalet anmälda arbetssjukdomar på grund organisatoriska och sociala faktorer. De vanligaste orsakerna till arbetsrelaterade besvär för både kvinnor och män var under 2016 stress eller andra psykiska orsaker.5 Det finns även studier som pekar på att de digitala arbetsmiljöproblemen är stora och ökande och att det för många yrkesgrupper har skett en snabb och omfattande förändring under senare år.6 Vidare har det gjorts gällande att ökad användning av artificiell intelligens kommer ha stark påverkan på arbetsuppgifter, arbetsorganisation och arbetsmarknad. Många arbetsuppgifter kommer att påverkas, vilket kommer att väsentligt öka kraven på och förmågan

till omställning för individer och verksamheter.7

4.2.3Närmare om behovet av samlingarna och deras innehåll

Betydelsen av tillgång till personuppgifter för MynAK som kunskapsmyndighet

Det finns ett behov av fördjupade kunskaper om samband och orsaker kring förändringar i samhället, inte minst vad gäller arbetslivet och utmaningar i arbetsmiljön som i sin tur påverkar t.ex. sjuktal och hälsa. Utan sådan kunskap försämras möjligheterna att genomföra åtgärder som får positiv effekt. Att kunna påvisa olika typer av orsakssamband förutsätter ofta tillgång till såväl aktuella som historiska data. Genom tillgång till sådana uppgifter är det möjligt att genomföra longitudinella studier. Sådana studier görs över viss längre tid med upprepade mätningar. Ett exempel är att individer kan följs under olika perioder och livsfaser, såsom inträde på arbetsmarknaden och återgång i arbete efter sjukskrivning. För att studera orsak och verkan inom olika sådana förlopp krävs ofta tillgång till en större mängd data som omfattar längre tidsperioder. Detta gäller inte minst för att möjliggöra studier av komplexa

4Den organisatoriska och sociala arbetsmiljön – viktiga pusselbitar i en god arbetsmiljö – Vägledning till Arbetsmiljöverkets föreskrifter om organisatoriska och social arbetsmiljö, AFS 2015:4, Arbetsmiljöverket 2016, s. 14.

5Arbetsmiljöverkets faktablad Stress och hög arbetsbelastning (Korta arbetsskadefakta Nr 2/2017), www.av.se/globalassets/filer/statistik/arbetsmiljostatistik-stress-och-hog-arbetsbelastning- faktablad-2017-02.pdf tillgänglig via (hämtad 2018-05-22).

6Arbetsmiljöverkets rapport (2015:17) Digital arbetsmiljö, s. 88.

7Se Vinnovas rapport Artificiell intelligens i svenskt näringsliv och samhälle – Analys av utveckling och potential, Dnr 2017-05616, s. 10 och 75.

37

samband mellan arbete och hälsa. För detta ändamål räcker det inte att använda så kallad tvärsnittsdata som reflekterar förhållanden vid en viss specifik tidpunkt. Det räcker inte heller med att studera förändringar på en övergripande nivå eftersom specifika faktorer inte kan observeras i ett populationsgenomsnitt, där tillgång till individdata saknas. Genom studier som innefattar uppgifter om individuella förhållanden kan betydelsen av olika inslag så som krav och kontroll i arbetet kopplas samman med olika individuella utfall. Studier på sådan detaljnivå ger också möjligheter till att följa förändringar i arbetsmiljö över tid.

Behovet av att kunna genomföra projekt på relativt kort tid

De förändringar av arbetslivet och arbetsmiljön som kan komma att ske framöver (se avsnitt 4.2.2 ovan) innebär enligt utredningens bedömning att MynAK, för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt, behöver kunna följa och analysera utvecklingen på arbetsmiljöområdet. Det kommer även att finnas ett behov av att inom relativt kort tid kunna utvärdera och analysera såväl statliga insatser och reformer på området samt följa kunskapsläget och sammanställa aktuell och relevant kunskap. Sådana sammanställningar och analyser kommer inte att kunna genomföras med korta ledtider om inte MynAK kan ha egna samlingar av personuppgifter. Detta hänger samman med att insamling av data är mycket tids- och resurskrävande.8

Vidare är möjligheterna att genomföra studier över tid samt att följa och analysera utvecklingen på arbetsmiljöområdet begränsade om insamling av personuppgifter bara kan ske inom ramen för specifika forskningsprojekt. Att myndigheten med utgångspunkt i egna databaser kan följa och analysera utvecklingen på området är också en förutsättning för att myndigheten ska kunna göra aktuellt och relevant arbete inom ramen för sina övriga kunskap-, analys- och utvärderingsuppdrag. Att MynAK har möjlighet att göra detta är nödvändigt för att myndigheten ska kunna vara en samlande aktör på arbetsmiljöområdet och bidra till en samlad bild av kunskapen om

8Det har konstaterats i olika sammanhang att tillgång till olika typer av data är ett problem för utvärderingsmyndigheterna, se t.ex. Riksrevisionens granskningsrapport Tillgänglighet till SCB:s registerdata – en fråga om prioriteringar (RiR 2017:14), s. 6 och Statskontorets rapport (2014:7) Utvärdering på olika områden – En analys av sektorsspecifika utvärderingsmyndigheter, s. 59.

38

arbetsmiljö. Tillgång till relevant och aktuella data och statistik är därför av avgörande betydelse för myndighetens verksamhet. Resonemanget utvecklas i kapitel 5, där utredningen lämnar ett förslag om att MynAK ska få ha egna samlingar av personuppgifter.

Hur samlingarna skulle vara uppbyggda

De samlingar som skulle finnas hos MynAK skulle vara uppbyggda på ett liknande sätt som de samlingar av personuppgifter som administreras av IFAU. Enligt den registerlag som gäller för IFAU:s verksamhet har institutet rätt att inneha samlingar av personuppgifter som inte nödvändigtvis är knutna till en avgränsad studie, uppföljning eller utvärdering (se 8 § lagen [2012:741] om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering). Dessa samlingar har benämnts forskningsdatabaser.9 Som ett exempel på en sådan databas kan nämnas den s.k. IFAU-databasen som bl.a. innehåller personuppgifter ur databasen LISA (Longitudinell integrationsdatabas för Sjukförsäkrings- och Arbetsmarknadsstudier), som finns hos SCB. När uppgifter ur LISA lämnar SCB är de alltid avidentifierade (pseudonymiserade) på så sätt att personnummer har ersatts med löpnummer. De personuppgifter som finns i IFAU:s databaser kan således inte hänföras direkt till någon enskild individ. SCB har dock kvar en nyckel mellan dessa löpnummer och individernas personnummer för att möjliggöra för att uppdatera innehållet i samlingarna.

De samlingar MynAK i första hand kommer att ha behov skulle vara av liknande slag. De personuppgifter som skulle finnas i samlingarna skulle huvudsakligen inhämtas från andra myndigheters samlingar.

Därutöver finns det hos MynAK även ett behov av mindre omfattande samlingar som består av personuppgifter som samlas in inom ramen för vissa enskilda projekt. Dessa personuppgifter skulle samlas in genom enkäter och intervjuer. Utredningen bedömer dock att denna del av verksamheten kommer att vara av mindre omfattning (se vidare avsnitt 5.10).

9Se IFAU:s policy för forskningsdata 2015-01-19, tillgänglig via www.ifau.se/globalassets/ Forskningsbidrag/Policy_forskningsdata.pdf, (hämtad 2018-05-22).

39

4.3Behandling av känsliga personuppgifter ställer särskilda krav

Det har ovan konstaterats att insamling av personuppgifter är mycket tids- och resurskrävande samtidigt som MynAK behöver ha förutsättningar för att genomföra bl.a. analyser som kräver tillgång till sådana uppgifter med relativt kort varsel. Utredningen anser därför att MynAK bör ges förutsättningar för att ha egna samlingar med avidentifierade personuppgifter, för att kunna fullgöra sitt uppdrag på ett effektivt och ändamålsenligt sätt. Mot bakgrund av myndighetens uppdrag kommer sådana samlingar bl.a. att innehålla känsliga personuppgifter.

Inom arbetsmiljöområdet kan flera typer av känsliga personuppgifter vara relevanta att beakta och belysa, vilket närmare utvecklas i kapitel 5. Mot bakgrund av dataskyddsförordningens krav behöver det övervägas om sådan personuppgiftsbehandling är förenlig med förordningen och om det är behövligt och lämpligt att införa vissa dataskyddsbestämmelser för myndigheten. Enligt artikel 9 i dataskyddsförordningen är nämligen utgångspunkten att det är förbjudet att behandla av känsliga personuppgifter. Det finns dock vissa specifika undantag, t.ex. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Sådana undantag har införts i svensk rätt genom dataskyddslagen. Det finns därför anledning att överväga om MynAK kan utföra nödvändig personuppgiftsbehandling med stöd av den lagen eller om det är motiverat att införa särskilda dataskyddsbestämmelser som specificerar vilka känsliga personuppgifter som MynAK får behandla och under vilka förutsättningar sådan behandling får ske.

40

4.4Dataskyddslagen ger inte MynAK rätt att behandla känsliga personuppgifter i tillräcklig utsträckning

Som nyss nämnts finns bestämmelser i dataskyddslagen om möjligheten att behandla känsliga personuppgifter. Enligt utredningens mening är det 3 kap 3 § i dataskyddslagen, som rör myndigheters möjlighet till behandling av känsliga personuppgifter för att tillgodose ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen, som kan bli aktuell för MynAK att tillämpa.

I förarbetena till dataskyddslagen uttalas bl.a. att det är uppenbart att det vid behandling av känsliga personuppgifter krävs ett annat stöd i rättsordningen, utöver det som dataskyddsförordningen ger, eftersom de särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Vidare anförs att dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen och att tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter således är högre än den som gäller för behandling av andra personuppgifter i samma situation.10

För att bedöma om det finns ett behov av en särskild reglering av personuppgiftsbehandlingen vid MynAK krävs därför överväganden angående i vilken omfattning 3 kap. 3 § dataskyddslagen kan utgöra grund för sådan mer omfattande behandling av känsliga personuppgifter som kommer att bli aktuell inom ramen för myndighetens kunskaps-, analys- och utvärderingsarbete.

Av den aktuella bestämmelsen framgår att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (punkt 1), om behandlingen är nödvändig för handläggningen av ett ärende (punkt 2), eller i enstaka fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (punkt 3).

I författningskommentaren till punkten 1 i bestämmelsen anges bl.a. följande. Känsliga personuppgifter får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Bestämmelsen klargör att det är tillåtet för myndigheter att utföra sådan behandling av känsliga personuppgifter som

10Prop. 2017/18:105, s. 75.

41

krävs i myndigheternas verksamhet som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post. Be- handling av känsliga personuppgifter med stöd av denna punkt får bara ske om uppgifterna har lämnats till myndigheten. Uppgifterna ska alltså antingen finnas i handlingar som definieras som inkomna enligt 2 kap. 6 § TF eller lämnas till myndigheten på annat sätt, t.ex. muntligen. Vidare ska själva behandlingen av uppgifterna utgöra ett krav enligt lag.11

Enligt utredningens mening står det mot denna bakgrund klart att behandlingen av personuppgifter i MynAK:s kärnverksamhet, dvs. kunskapsuppbyggnad och kunskapsspridning samt utvärdering och analys (jfr 2 § i instruktionsförordningen för myndigheten), inte kan grundas på i 3 kap. 3 § punkten 1 i dataskyddslagen, bl.a. eftersom denna behandling kommer att innefatta inhämtande och lagring av personuppgifter på myndighetens eget initiativ.

Punkten 2 gäller handläggning av ärenden. I författningskommentaren till bestämmelsen anges att begreppen handläggning och ärende ska tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900). Begreppet handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag.12

Det är enligt utredningens mening tydligt att inte heller punkten 2 i den aktuella bestämmelsen är tillämplig på all den typ av behandling av personuppgifter som kommer att ske inom MynAK:s kärnverksamhet. Det är t.ex. enligt utredningen inte möjligt att med stöd i bestämmelsen utföra den personuppgiftsbehandling som är nödvändig för att utvärdera och analysera statliga reformer inom arbetsmiljöområdet.

Punkten 3 i bestämmelsen syftar enligt författningskommentaren till att möjliggöra behandling av känsliga personuppgifter i myndigheters i s.k. faktiska verksamhet, dvs. i sådan förvaltningsverksamhet

11Prop. 2017/18:105, s. 194

12Ibid.

42

som inte utgör ärendehandläggning. Bestämmelsen ska inte tillämpas slentrianmässigt i den löpande verksamheten. Vidare krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen kan inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.13

Den behandling av känsliga personuppgifter som är nödvändig i MynAK:s kärnverksamhet kommer att behöva ske med viss regelbundenhet. Det är således inte fråga om att myndigheten bara kommer att behöva genomföra sådana behandlingar i enstaka fall. Vidare kommer MynAK att ha behov av egna samlingar av personuppgifter som delvis består av känsliga personuppgifter. Enligt utredningens bedömning är därför inte heller 3 kap. 3 § punkten 3 i dataskyddslagen en rättslig grund för behandling av känsliga personuppgifter som täcker MynAK:s behov av att utföra sådana behandlingar.

Sammanfattningsvis anser utredningen att bestämmelsen i 3 kap. 3 § dataskyddslagen inte utgör en tillräcklig grund för behandling av känsliga personuppgifter inom ramen för MynAK:s kärnverksamhet. För tydlighets skull bör dock poängteras att bestämmelsen kan komma att tillämpas inom ramen för myndighetens övriga verksamhet, t.ex. för att hantera en inkommande handling på ett korrekt sätt.

13Prop. 2017/18:105, s. 194 f.

43

forskningsbaserad kunskap. En bra förebyggande arbetsmiljöarbete leder i sin tur till en bättre hälsa och friskare arbetsplatser. Det är mot denna bakgrund viktigt att MynAK ges möjlighet att behandla personuppgifter i den utsträckning som är nödvändig för att myndigheten ska kunna utföra sitt uppdrag.

Införandet av en särskild registerlag för MynAK ger bäst förutsättningar för att skydda den personliga integriteten

Personuppgiftsbehandling innebär att den personliga integriteten berörs hos de individer vars uppgifter behandlas. Eftersom rätten till personlig integritet är en mänsklig rättighet som skyddas både av svensk och internationell rätt ska begränsningar av denna rättighet kunna motiveras av bärande skäl och inte sträcka sig längre än vad som behövs för att uppfylla ändamålet med begränsningen. Den personuppgiftsbehandling som sker vid MynAK måste därför utföras på ett sätt som säkerställer ett tillräckligt skydd för den personliga integriteten för de individer som berörs av behandlingen. Även från detta perspektiv är det viktigt att det på ett så tydligt sätt som möjligt framgår hur myndigheten får behandla personuppgifter.

Varje behandling av personuppgifter måste vidare uppfylla kraven

idataskyddsförordningen. Verksamhetsbehovet av personuppgiftsbehandling måste vägas mot de integritetsintrång som sådan behandling kan medföra, särskilt när behandlingen sker i större skala.

Även svensk grundlag är aktuell i sammanhanget. Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det finns dock möjlighet att begränsa denna rättighet i lag (2 kap. 20–21 §§ regeringsformen).

I svensk rätt har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå säkerställer att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen, (se t.ex. prop. 2017/12:112, s. 34, prop. 2001/02:144, s. 16 och SOU 2015:39, s. 94). Lagreglering bidrar även till stabilitet och långsiktig förutsebarhet. Eftersom den personuppgiftsbehandling som kommer att ske vid MynAK kommer innefatta bl.a. känsliga personuppgifter är det mot denna bakgrund mycket

46

som talar för att en särreglering bör ges i lag, oavsett om detta är ett formellt krav enligt regeringsformen.

I vissa delar, såsom uppdragen att genomföra utvärderingar och analyser, att sammanställa och sprida kunskap samt att följa och analysera utvecklingen inom myndighetens ansvarsområde, krävs mer omfattande personuppgiftsbehandling, däribland behandling av vissa känsliga personuppgifter.

Utredningen anser att en särskild reglering som avser just personuppgiftsbehandling vid MynAK skulle innebära goda möjligheter för myndigheten att uppfylla kraven enligt dataskyddsförordningen, däribland kraven på tillräckliga skyddsmekanismer för de registrerades integritet. I en registerlag finns möjlighet att införa skyddsbestämmelser som tar sikte just på den typ av personuppgiftsbehandling som förekommer vid myndigheten, vilket gör det tydligare för de registrerade hur deras personuppgifter får hanteras inom ramen för verksamheten. En väl avvägd särreglering har därför enligt utredningens bedömning en integritetshöjande effekt. Även intresset av att skydda de registrerades integritet talar därför för införande av en särskild reglering.

MynAK har med stöd av dataskyddsförordningen och nationell rätt möjlighet att behandla personuppgifter, inklusive sådana känsliga personuppgifter som inkommer till myndigheten utan att dessa har efterfrågats.

Enligt utredningens bedömning finns det dock skäl att i en registerlag införa sådana mer specifika bestämmelser som anpassar tillämpningen av bestämmelserna i dataskyddsförordningen genom att fastställa specifika krav för myndighetens uppgiftsbehandling och andra åtgärder för att säkerställa en laglig och rättvis behandling. Ett skäl till detta är att utredningen bedömer att MynAK behöver ha egna samlingar av personuppgifter, som delvis består av känsliga personuppgifter (se även avsnitt 4.2 och 5.9–5.10).

Vidare kommer det att finnas behov av att sammankoppla personuppgifter som härrör från olika register och databaser, bl.a. för att genomföra vissa typer av forskningsprojekt.

För det fall den aktuella personuppgiftsbehandlingen skulle bedömas innebära ett sådant betydande intrång i den personliga integriteten i den mening som avses i 2 kap. 6 § regeringsformen, anser utredningen att det förslag som presenteras i detta kapitel är förenligt med de krav som gäller för rättighetsbegränsande lagstiftning enligt

47

av 2 kap. 20–21 §§ regeringsformen. Denna slutsats baseras på att förslaget syftar till att möjliggöra för MynAK att utföra sitt uppdrag, vilket är ett mycket angeläget allmänt intresse. Av betydelse för denna bedömning är även de integritetsskyddande åtgärder som föreslås och de resonemang som förs nedan angående avvägningen mellan MynAK:s behov av personuppgiftsbehandling och de integritetsrisker som är förknippande med denna. Den föreslagna regleringen bedöms mot denna bakgrund vara en proportionerlig begränsning av skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § i regeringsformen.

Sammanfattningsvis bedömer utredningen att införandet av en ny lag om behandling av personuppgifter inom MynAK:s verksamhet kompletterar och preciserar dataskyddsförordningens bestämmelser på ett sådant sätt att enskildas integritet tillgodoses samtidigt som det sätts upp ramar som begränsar myndighetens möjligheter att behandla personuppgifter. I de delar den föreslagna lagen begränsar enskildas rättigheter bidrar den till förutsebarhet och öppenhet på så sätt att enskilda kan skapa sig en bild av ramarna för myndighetens behandling av personuppgifter.

Införandet av en registerlag som ställer specifika krav på hur personuppgiftsbehandling får ske i MynAK:s verksamhet innebär även att andra aktörer, såsom statistikansvariga myndigheter, får tydlig insyn i hur personuppgifter får behandlas inom myndigheten. Utan ett sådant tydligt regelverk blir det svårare för utlämnande myndigheter att göra en bedömning av om begärda personuppgifter kan lämnas ut eller om MynAK:s tillgång till register och databaser innebär risker för de enskildas personliga integritet. Utredningen anser det även av detta skäl motiverat att införa en registerlag för myndigheten.

5.2Lagens tillämpningsområde

Utredningens förslag: Lagen ska tillämpas på myndighetens behandling av personuppgifter i sådan verksamhet som avser kunskapsuppbyggnad och kunskapsspridning samt utvärdering och analys.

Lagen ska endast tillämpas på helt eller delvis automatiserad behandling av personuppgifter och personuppgifter i register.

48

Skälen för förslaget: Den föreslagna lagens tillämpningsområde bör enligt utredningens bedömning avgränsas till behandling av personuppgifter vid myndigheten i sådan verksamhet som avser kunskapsuppbyggnad och kunskapsspridning samt utvärdering och analys inom myndighetens ansvarsområde. Det rör sig om sådan behandling som är nödvändig för att utföra myndighetens kärnuppdrag att vara en kunskapsmyndighet på arbetsmiljöområdet. Kunskapsuppbyggnad kan t.ex. handla om att sammanställa kunskap ifrån olika vetenskapliga rapporter och artiklar och att granska kvaliteten i sådana publikationer. Det kan också handla om att identifiera kunskapsluckor. Myndigheten kommer även att behöva behandla personuppgifter för att göra t.ex. effektutvärderingar av t.ex. statliga insatser eller för att följa och analysera utvecklingen på arbetsmiljöområdet.

Dataskyddsförordningens materiella tillämpningsområde omfattar, enligt artikel 2.1, sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Det bedöms lämpligt att den föreslagna lagens tillämpningsområde är detsamma som dataskyddsförordningens tillämpningsområde.

Löpande administration vid myndigheten, såsom hantering av uppgifter om personal och av inkomna skrivelser från enskilda, kommer att innefatta personuppgiftsbehandling. Denna typ av verksamhet förekommer dock hos alla myndigheter och utredningen bedömer att denna typ av personuppgiftsbehandling kan grundas direkt på dataskyddsförordningen och dataskyddslagen. De rättsliga grunder som kan bli aktuella att tillämpa för behandling av personuppgifter i dessa delar av verksamheten, som alltså faller utanför den föreslagna registerlagens tillämpningsområde, är enligt utredningens bedömning framför allt artikel 6.1 c och e i dataskyddsförordningen om nödvändig behandling för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövningen. Den rättsliga grunden fastställs i enlighet med nationell rätt i myndighetens instruktionsförordning.

49

5.3Förhållandet till annan reglering

5.3.1Förhållandet till dataskyddsförordningen

Utredningens förslag: Lagen ska innehålla en bestämmelse som tydliggör att lagen kompletterar dataskyddsförordningen.

Skälen för förslaget: Dataskyddsförordningen börjar tillämpas den 25 maj 2018 och kommer att vara direkt bindande och tillämplig i Sverige. Förordningen gäller alltså oavsett om det i den i föreslagna registerlagen införs en bestämmelse som hänvisar till den eller inte. Utredningen anser emellertid att det bör införas en upplysningsbestämmelse för att tydliggöra att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningarna till dataskyddsförordningen föreslås vara dynamiska, vilket innebär att de kommer att omfatta eventuella ändringar i dataskyddsförordningen efter dess ikraftträdande. Det bör dock inte i varje bestämmelse anges om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. En sådan ordning saknas i motsvarande registerförfattningar och utredningen bedömer att den lösningen skulle tynga lagen utan att tillföra ett tillräckligt mervärde.

5.3.2Förhållandet till dataskyddslagen

Utredningens förslag: Lagen ska innehålla en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller vid behandling av personuppgifter inom MynAK, om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till den.

Skälen för utredningens förslag: Den 25 maj 2018 träder den nationella och generella lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, i kraft. Dataskyddslagen är subsidiär till annan registerlagstiftning och dess bestämmelser kommer därmed att gälla för MynAK i den mån inte registerlagen eller annan författning föreskriver annat (se 1 kap. 6 § i dataskyddslagen). Det är således inte en rättslig nödvändighet att införa en hänvisningsbestämmelse till dataskyddslagen. Att införa en

50

upplysningsbestämmelse som klargör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen fyller dock ett pedagogiskt syfte som underlättar den praktiska tillämpningen, varför en sådan bestämmelse föreslås.

5.4Undantag från rätten att göra invändningar

Utredningens förslag: Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen ska inte gälla vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den.

Skälen för förslaget: Enligt artikel 21.1 i dataskyddsförordningen har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne. Rätten att göra invändningar enligt bestämmelsen är kopplad till sådan personuppgiftsbehandling som grundar sig på artikel 6.1 e respektive f. Detta innebär att enskilda har rätt att invända mot behandling som den personuppgiftsansvarige bedömer är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna, om denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än en registrerades intressen, rättigheter och friheter. Rätten att göra invändningar ska senast vid den första kommunikationen med den registrerade uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4).

Rätten att göra invändningar innebär att den registrerade har möjlighet att få till stånd en överprövning av behandlingens tillåtlighet. Överprövningen innebär att den personuppgiftsansvarige måste kunna visa på avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen (artikel 21.1). Under tiden det sker en överprövning har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas (artikel 18.1 d). Om det bedöms saknas berättigade skäl har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).

51

Av artikel 23.1 i dataskyddsförordningen framgår att medlemsstaterna i sin lagstiftning kan begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. nationell säkerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.

Av artikel 89.2 framgår vidare att om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det i EU-rätten eller i medlemsstaternas nationella rätt göras undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen.

I artikel 23.2 i dataskyddsförordningen anges bl.a. att alla begränsande lagstiftningsåtgärder som görs med stöd av artikel 23.1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder, specificering av den personuppgiftsansvarige, lagringstid, riskerna för de registrerades rättigheter och friheter samt de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

MynAK:s verksamhet syftar bl.a. till att inom myndighetens ansvarsområde samla in, sprida och sammanställa kunskap baserad på forskning, att utvärdera och analysera effekterna av statliga reformer och initiativ samt till att följa och analysera utvecklingen på arbetsmiljöområdet. Den registerlag som föreslås ger MynAK förutsättningar att utföra dessa uppgifter på ett effektivt och ändamålsenligt

52

sätt, samtidigt som enskildas personliga integritet skyddas. Myndighetens arbete kan utgöra ett viktigt underlag för framtida reformarbete inom området och därigenom i förlängningen bidra till en bättre arbetsmiljö och bättre hälsa. MynAK:s verksamhet syftar även till att bidra till att förutsättningarna för det praktiska arbetsmiljöarbetet på arbetsplatserna förbättras genom att sammanställa forskningsbaserad kunskap på ett lättillgängligt sätt och sprida denna till relevanta aktörer, däribland arbetsgivare. En förbättrad arbetsmiljö som förebygger ohälsa och olycksfall är naturligtvis positivt på såväl individsom samhällsnivå. MynAK:s uppdrag bedöms därför utgöra ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e i dataskyddsförordningen.

Utredningen bedömer vidare att kraven enligt artikel 23.2 i dataskyddsförordningen på utformningen av begränsningar av den enskildes rättigheter kan uppfyllas genom införandet av den föreslagna registerlagen och de bestämmelser som föreslås om bl.a. ändamålsbegränsning och skyddsåtgärder som syftar till att skydda de registrerades personliga integritet. Enligt utredningens bedömning är således de formella kraven för att göra undantag från rätten att göra invändningar uppfyllda. När det gäller lämpligheten i att införa ett sådant undantag gör utredningen följande överväganden.

En rätt att göra invändningar mot personuppgiftsbehandling som genomförs i syfte att fullgöra myndighetens uppdrag skulle innebära att MynAK, innan myndigheten kan fortsätta behandla personuppgifterna, ska kunna påvisa avgörande berättigade skäl för behandlingen, vilka väger tyngre än den enskildes intressen, friheter och rättigheter. I detta sammanhang bör poängteras att myndigheten endast i begränsad utsträckning kommer att hantera personuppgifter som är direkt hänförliga till dem vars uppgifter behandlas. Den stora delen av behandling av personuppgifter grundar sig på avidentifierade (pseudonymiserade) uppgifter där själva nyckeln bevaras hos den myndighet som uppgifterna är hämtade från. En enskild som hör av sig till myndigheten och invänder mot behandling av dennes personuppgifter skulle därmed, i de absolut flesta fall, initiera en process hos MynAK där myndigheten skulle vara tvungen att avbryta pågående projekt tillfälligt för att undersöka om den enskildes personuppgifter behandlas inom ramen för det aktuella projektet. Därefter skulle myndigheten behöva antingen meddela den enskilde att några personuppgifter knutna till denne inte behandlas eller ta ställning till

53

om skälen för behandlingen väger tyngre än den registrerades intressen. Invändningar från enskilda kan därigenom komma att försvåra myndighetens verksamhet samtidigt som resultatet av en prövning enligt artikel 21.1 i dataskyddsförordningen ytterst sällan bedöms kunna resultera i att myndigheten inte anses ha sådana avgörande berättigade skäl för sin behandling som väger tyngre än individens intressen, rättigheter och friheter.1

Det är vidare viktigt i sammanhanget att betona att den föreslagna bestämmelsen om begränsning av rätten att göra invändningar inte utgör ett undantag från samtycke som rättslig grund enligt artikel 6.2 i dataskyddsförordningen. Den innebär i stället en begränsning av enskildas möjligheter att få till stånd en överprövning av om MynAK:s skäl för en viss personuppgiftsbehandling väger tyngre än motstående intressen, såsom den registrerades personliga integritet. Be- stämmelsen om krav på samtycke i vissa fall ska således inte förväxlas med bestämmelsen som begränsar den enskildes rätt att göra invändningar mot en personuppgiftsbehandling.

Mot denna bakgrund anser utredningen att det är lämpligt att i den föreslagna lagen införa en bestämmelse som begränsar rätten att göra invändningar enligt dataskyddsförordningen.

5.5Krav på samtycke när uppgifterna samlats in direkt från den enskilde

Utredningens förslag: Behandling av personuppgifter som inhämtats direkt från den enskilde får bara ske om denne lämnat sitt uttryckliga samtycke till behandlingen. Ett samtycke ska kunna återkallas med följd att ytterligare uppgifter om den enskilde därefter inte får behandlas.

Skälen för förslaget: Samtycke av den registrerade är enligt dataskyddsförordningens definition i artikel 4.11 varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Myndigheters möjligheter att lägga enskildas

1Se för ett liknande resonemang, prop. 2017/18:112, s. 51.

54

samtycke till grund för personuppgiftsbehandling är begränsat, bl.a. därför att det kan anses råda en betydande ojämlikhet mellan den registrerade och personuppgiftsansvarige vilket gör att det finns skäl att anta att det är osannolikt att ett samtycke lämnas frivilligt (skäl 43 till förordningen). Samtycke bör därför inte användas som rättslig grund för behandling av personuppgifter inom MynAK:s verksamhet.2

Det kan vid MynAK bli aktuellt att samla in uppgifter från enskilda personer, exempelvis genom att myndigheten genomför enkäter eller intervjuer. Själva behandlingen, inklusive insamlandet, ska i sådana fall inte grundas på de enskildas samtycke utan i stället på någon annan rättslig grund enligt artikel 6 i dataskyddsförordningen, såsom att behandlingen sker för att utföra en uppgift av allmänt intresse. Det samtycke som inhämtas är i dessa fall därmed inte en rättslig grund utan i stället en integritetshöjdande åtgärd. Det ligger i sakens natur att samtycke i praktiken är en förutsättning för själva insamlandet av uppgifterna genom för deltagarna frivilliga enkäter eller intervjuer. Det föreslås att det i den nya lagen införs en bestämmelse där det framgår att behandling av personuppgifter som inhämtats direkt från den enskilde själva bara får ske om denne lämnat sitt uttryckliga samtycke till behandlingen.

Av bestämmelsen bör även framgå att ett lämnat samtycke kan återkallas. Detta är ett förtydligande av det som gäller i artikel 7.3 dataskyddsförordningen. Ett återkallat samtycke innebär att inga ytterligare uppgifter om den enskilde får behandlas av myndigheten. Den behandling som sker av redan insamlade uppgifter får dock fortsätta.

5.6Personuppgiftsansvar

Utredningens förslag: MynAK ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

Skälen för förslaget: I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans

2Jämför prop. 2017/18:112, s. 52.

55

med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. Medlemsstaterna kan dock enligt artikel 4.7 i dataskyddsförordningen ange vem som är personuppgiftsansvarig i den nationella rätten om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt. Utredningens bedömning är att denna möjlighet bör användas i den föreslagna lagen eftersom det bidrar till tydlighet om vem som har ansvaret för den behandling av personuppgifter som myndigheten utför.

5.7Ändamålsbestämmelser

5.7.1Ändamålen med behandlingen

Utredningens förslag: Lagen ska ange att myndigheten får behandla personuppgifter för vissa ändamål, förutsatt att sådan behandling är nödvändig. Behandling av personuppgifter enligt lagen ska därmed endast vara tillåten om behandling är nödvändig för granskningar och analyser som syftar till att samla in, sammanställa och sprida kunskap om arbetsmiljö, utvärderingar och analyser av statliga reformer och andra statliga initiativ, samt för studier om utvecklingen inom arbetsmiljöområdet.

Skälen för förslaget: Det är en allmän dataskyddsrättslig princip att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b i dataskyddsförordningen). Det är vidare vanligt att ändamålsbestämmelser tas in i registerförfattningar för att ange den yttersta ramen för myndigheters behandling av personuppgifter. En bestämmelse som anger ändamålen innebär att ramen för behandlingen av personuppgifter i MynAK:s verksamhet med ett antal integritetskänsliga personuppgifter fastställs av riksdagen. En ändamålsbestämmelse ger även möjlighet att på ett övergripande plan balansera intresset av verksamheten mot intresset i det intrång i den personliga integriteten som behandlingen

56

kan innebära. Ändamålsbestämmelsen bör utformas så att den utesluter all behandling som inte är nödvändig för myndighetens verksamhet.

Som berörts ovan (se kapitel 4 och avsnitt 5.1) gör utredningen bedömningen att MynAK:s arbete med att sammanställa kunskap samt arbetet med utvärdering och analys kommer att innefatta personuppgiftsbehandling som kräver särreglering, medan övrig personuppgiftsbehandling vid myndigheten kan grundas på dataskyddsförordningen och dataskyddslagen. Enligt utredningens förslag i avsnitt 5.2 bör tillämpningsområdet för den föreslagna registerlagen begränsas till de områden som motiverar eller kräver särreglering.

Ändamålsbestämmelsen får i detta sammanhang anses utgöra en precisering av den rättsliga grunden som fastställs enligt artikel 6.3 dataskyddsförordningen. Ändamålsbestämmelsen tydliggör för enskilda för vilken slags behandling av personuppgifter som MynAK har möjlighet att göra, förutsatt att sådan behandling är nödvändig för att myndigheten ska kunna utföra sina uppgifter. Med anledning av ovanstående anser utredningen att det är lämpligt att i registerlagen precisera att MynAK får behandla personuppgifter om det är nödvändigt för att inom myndighetens ansvarsområde genomföra granskningar och analyser som syftar till att samla in, sammanställa och sprida kunskap om arbetsmiljö, utvärderingar och analyser av statliga reformer och andra statliga initiativ eller för studier om utvecklingen inom arbetsmiljöområdet.

5.7.2Lagen ska upplysa om att regeringen kan begränsa ändamålen och vilka uppgifter som får behandlas

Utredningens förslag: Det ska införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka uppgifter som får behandlas för ett visst ändamål.

Skälen för förslaget: En ändamålsbestämmelse i registerlagen kommer att utgöra de yttersta ramarna för myndighetens behandling av personuppgifter inom lagens tillämpningsområde. Det kan dock finnas skäl att införa mer detaljerade bestämmelser som ytterligare

57

begränsar ändamålen och vilka uppgifter som får behandlas. Sådana mer detaljerade bestämmelser kan behöva ändras relativt ofta och det är därför lämpligt att de införs i förordning eller myndighetsföreskrifter. Det bör därför i den föreslagna lagen införas en upplysningsbestämmelse som anger att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Att det i registerlagen skapas en möjlighet att ytterligare begränsa behandlingen av personuppgifter bedöms ligga i linje med dataskyddsförordningens bestämmelser.

5.7.3Utlämnande av uppgifter i överensstämmelse med lag eller förordning

Utredningens förslag: Personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.

Skälen för förslaget: I vissa fall finns behov av att lämna ut personuppgifter till annan myndighet eller någon annan i enlighet med annan författning. Exempel på detta är när uppgifter behöver lämnas ut för att myndigheten ska uppfylla krav i offentlighets- och sekretesslagen (2009:400).

MynAK kommer med stöd av dataskyddsförordningen att kunna behandla personuppgifter för att kunna fullgöra ett utlämnande enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av 6.1 e (allmänt intresse som fastställs i enlighet med nationell rätt genom exempelvis regleringsbrev eller i en författning). Frågan är då om det ändå behövs en bestämmelse som anger att personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Utredningens bedömning är att en sådan bestämmelse kan ses som en integritetshöjande åtgärd i förhållande till dataskyddsförordningen, eftersom bestämmelsen gör det tydligare för den registrerade att uppgifterna kan användas även för detta ändamål. Lagen bör därför innehålla en sådan bestämmelse.

58

5.7.4Ändamålsbegränsning

Utredningens förslag: Det ska i lagen införas en bestämmelse om att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.

Skälen för förslaget: Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (finalitetsprincipen). Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Av skäl 50 i dataskyddsförordningen framgår att det vid sådan vidarebehandling som inte hindras av finalitetsprincipen inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.

Finalitetsprincipen gäller även vid behandling enligt den föreslagna lagen. Tydlighetskäl talar dock för att det i lagen bör införas en bestämmelse som anger att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Vi- dare har det ansetts finnas ett behov av motsvarande bestämmelser i registerlagarna som reglerar behandling av personuppgifter i Arbetsmiljöverkets informationssystem för arbetsskador respektive i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknadspolitisk- och utbildningspolitisk utvärdering.3 Den föreslagna bestämmelsen utgör tillsammans med uppräkningen av de tillåtna ändamålen en sådan ändamålsbegränsning som avses i artikel 6.3 i dataskyddsförordningen.

3Se prop. 2017/18:112, s. 54.

59

5.8Känsliga personuppgifter m.m.

Utredningens förslag: Lagen ska innehålla en bestämmelse om att personuppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening samt uppgifter om hälsa får behandlas om det är nödvändigt för de ändamål som anges i lagen.

Lagen ska även innehålla en upplysningsbestämmelse om att forskning som innefattar behandling av känsliga personuppgifter och vissa uppgifter om lagöverträdelser måste etikprövas enligt etikprövningslagen.

MynAK:s möjligheter att behandla känsliga personuppgifter enligt dataskyddsförordningen

Som berörts i avsnitt 4.3 kommer MynAK att ha ett behov av att behandla även vissa känsliga personuppgifter. Denna typ av uppgifter regleras i artikel 9.1 i dataskyddsförordningen, där de benämns särskilda kategorier av personuppgifter. Bestämmelsen i dataskyddsförordningen innehåller ett förbud mot behandling av sådana uppgifter. Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

I artikel 9.2 listas ett antal avgränsade möjligheter till undantag från förbudet. Endast i de fall då villkoren i undantagsbestämmelsen är uppfyllda får behandling av känsliga personuppgifter ske. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

En bestämmelse om myndigheters möjligheter till behandling av känsliga personuppgifter enligt 9.2 g i dataskyddsförordningen finns i dataskyddslagen. Genomgången i kapitel 4 i detta betänkande visar

60

dock att den bestämmelsen i dataskyddslagen inte fullt ut kan ge rättsliga förutsättningar för den behandling av känsliga personuppgifter som kan förutses i MynAK:s kärnverksamhet.

Utredningens bedömning är att MynAKs arbete med att vara ett nationellt kunskapscentrum för frågor om arbetsmiljö måste anses vara en uppgift av allmänt intresse i dataskyddsförordningens mening (jfr artikel 6.1 e i dataskyddsförordningen). Denna uppgift av allmänt intresse är fastställd i enlighet med nationell rätt i myndighetens instruktionsförordning. Utredningen anser vidare att den behandling av känsliga personuppgifter som kommer att ske inom de delar av verksamheten som registerlagen är tillämplig på är nödvändig av hänsyn till ett viktigt allmänt intresse. Denna bedömning har sin grund i att MynAK:s verksamhet kommer vara ett viktigt inslag i arbetet för ett mer hållbart arbetsliv. En god arbetsmiljö kan göra det möjligt för fler att arbeta mer och längre eftersom risken för utslagning minskar. En god arbetsmiljö bidrar till att förebygga och minska den arbetsrelaterade ohälsan och sjukfrånvaron. En bättre kunskap om arbetsmiljöpolitikens effekter kan också leda till en ökad träffsäkerhet i politiken. Statens resurser bedöms användas på ett bättre sätt om de kan riktas mot insatser med dokumenterad effekt. Vidare kan MynAK genom sin kunskapsspridande verksamhet bidra till att forskningsbaserad kunskap tillgängliggörs och kommer till nytta i det praktiska arbetsmiljöarbetet på arbetsplatserna. Myndigheten kan också bidra till att identifiera kunskapsluckor och därigenom bidra till att uppslag om ny och relevant forskning inom området växer fram. Kunskapsutveckling om arbetsmiljö kan också bidra till en positiv utveckling för produktivitet och kan stärka Sveriges innovationsförmåga på arbetsmiljöområdet.

Behandling av känsliga personuppgifter som bedöms nödvändig av hänsyn till ett viktigt allmänt intresse måste, enligt artikel 9.2 i dataskyddsförordningen, stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen och rättigheter. I avsnittet nedan finns utredningens överväganden om vilka slags känsliga personuppgifter som myndigheten har ett nödvändigt behov av att få behandla. Enligt utredningens bedömning står den föreslagna behandlingen i proportion till det eftersträvade syftet.

61

Ändamålsbestämmelserna syftar till att balansera verksamhetsbehovet och integritetsintresset väl. Vidare innehåller den förslagna lagen lämpliga skyddsåtgärder som kompenserar för det intrång i den personliga integriteten som behandlingen av känsliga personuppgifter innebär såsom lagkrav på att tillgången till att personuppgifter begränsas så att endast de som behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter ska ha tillgång till dem (se förslaget om tillgång till personuppgifter, avsnitt 5.13). Det är även viktigt att här betona att MynAK endast i begränsad omfattning kommer att ha identifierade personuppgifter om enskilda där personers namn och identitet kan utläsas. Vanligen kommer den så kallade nyckeln att förvaras vid den myndighet varifrån utlämnandet sker. MynAK kommer således arbeta med avidentifierade (pseudonymiserade) personuppgifter som huvudregel. Ytterligare en integritetshöjande åtgärd är att myndighetens forskning kommer att kräva tillstånd enligt etikprövningslagen (se nedan i detta avsnitt).

Även artikel 9.2 j kan bli aktuell för MynAK att använda som rättslig grund för behandling av känsliga personuppgifter, mot bakgrund av att myndigheten får bedriva den forskning som är nödvändig för att fullgöra vissa av myndighetens uppgifter enligt dess instruktionsförordning. Bestämmelsen föreskriver nämligen att behandling av känsliga personuppgifter under vissa förutsättningar får ske för vetenskapliga ändamål i enlighet med artikel 89.1, i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

Utredningen anser sammanfattningsvis att det bör införas specificerande bestämmelser om att MynAK, om det är nödvändigt för de ändamål som anges i den föreslagna lagen (se avsnitt 5.7.1) får behandla vissa kategorier av känsliga personuppgifter.

Vilka känsliga personuppgifter är nödvändiga för MynAK att behandla?

För att avgöra vilka känsliga personuppgifter som är relevanta för MynAK att få tillgång till är det relevant att beakta vilken data som används inom arbetsmiljöforskning i stort. Sådan forskning bedrivs inom en rad olika områden. Ämnet arbetsmiljökunskap kan således beskrivas som tvärvetenskapligt. Detta för med sig att en mängd olika typer av data kan vara relevanta för forskning inom området och således även för MynAK:s analys- och utvärderingsarbete och

62

för myndighetens arbete med att sammanställa och sprida forskningsbaserad kunskap.

När det gäller frågan om vilka slags känsliga personuppgifter som myndigheten har ett nödvändigt behov av att kunna behandla för att kunna utföra sitt uppdrag på ett ändamålsenligt och effektivt sätt kan det inledningsvis konstateras att kunskap om arbetsmiljö innebär ett behov av att behandla personuppgifter som rör hälsa, vilket är en känslig uppgift enligt dataskyddsförordningen.4

Uppgifter som avslöjar medlemskap i fackförening är en typ av uppgifter som omfattas av förbudet enligt artikel 9.1. i dataskyddsförordningen. På svensk arbetsmarknad är organisationsgraden mycket hög och arbetsmarknadens parter har en central roll i den svenska arbetsmarknadsmodellen, inklusive det praktiska arbetsmiljöarbetet på arbetsplatserna. Att följa och analysera skillnader i arbetsmiljö mellan olika branscher utifrån facklig anslutning kan ge såväl arbetsmarknadens parter som regeringen viktig kunskap om vilka faktorer som bidrar till en god arbetsmiljö. Mot denna bakgrund kan medlemskap i fackförening vara en variabel som är relevant att ha kännedom om vid studier, utvärderingar och analyser som rör vilka faktorer som påverkar arbetsmiljön. MynAK bör därför ha möjlighet att behandla sådana personuppgifter, för att t.ex. kunna studera om det finns samband mellan medlemskap i fackförening och hur arbetstagare upplever arbetsmiljön.

En annan typ av känsliga personuppgifter som kan vara nödvändigt för myndigheten att studera är skillnader i arbetsmiljö mellan personer som är födda i Sverige jämfört med personer som är födda utomlands, vilket gör det nödvändigt att behandla personuppgifter om födelseland och medborgarskap. I dag finns det inga nationella register som kartlägger fysiska personers etniska ursprung. Däremot finns det möjlighet att använda sig av indikationer om t.ex. en individ är inrikes- eller utrikesfödd. I och med globaliseringen och Sveriges medlemskap i EU ökar också rörligheten på arbetsmarknaden. Det kan därför vara värdefullt att kunna sammanställa kunskap och analysera om skillnader i arbetsmiljöförhållanden mellan olika arbetsplatser kan ha samband med variabler som direkt eller indirekt kan avslöja individers etnicitet. Lagen bör därför innehålla en möjlighet för myndigheten att, när det är nödvändigt, behandla personuppgifter som avslöjar etniskt ursprung.

4Jämför SOU 2017:28, s. 110.

63

Inom arbetsmiljöforskning förekommer det även studier om t.ex. kränkande särbehandling i arbetslivet. Utredningen har därför övervägt om den nya myndigheten även bör ha möjlighet att behandla vissa andra känsliga uppgifter som är kopplade till diskrimineringsgrunder enligt diskrimineringslagen (2008:567), såsom sexuell läggning och religiös eller filosofisk övertygelse. Det kan dock konstateras att behandling av sådana personuppgifter väcker frågor ur integritetssynpunkt och det bör därför finnas konkreta och starka skäl för att en myndighet ska få behandla dessa uppgifter för att t.ex. göra utvärderingar och analyser. Enligt utredningens mening har det inte framkommit några sådana tillräckligt starka skäl för att MynAK ska ges möjlighet en att behandla dessa kategorier av känsliga personuppgifter.

Sammanfattningsvis bör MynAK enligt utredningens bedömning ges möjlighet att behandla sådana känsliga personuppgifter som avslöjar etniskt ursprung, medlemskap i fackförening samt behandla uppgifter om hälsa. Sådan behandling får bara ske om det är nödvändigt för de ändamål som avses i lagen. I avsnitt 5.12–5.13 redogör utredningen för sina förslag om de närmare bestämmelser om skyddsåtgärder som bedöms vara nödvändiga och lämpliga att införa.

Etikprövning krävs vid forskning som innefattar behandling av känsliga uppgifter och personuppgifter om vissa lagöverträdelser

Lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) innehåller bl.a. bestämmelser om under vilka förutsättningar känsliga personuppgifter får användas i forskning. Av lagen följer bl.a. att forskning som innefattar behandling av känsliga personuppgifter bara får utföras om den har godkänts vid en etikprövning (se 3 och 6 §§). Tillstånd från etikprövningsnämnd krävs även för forskning som rör personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, men den bestämmelsen kan komma att modifieras när dataskyddsförordningen börjar tillämpas.

Genom det avgränsade forskningsuppdrag som MynAK har enligt sin instruktionsförordning bedömer utredningen att myndigheten kommer att kunna behandla känsliga personuppgifter inom ramen för specifika forskningsprojekt som godkänts vid prövning enligt etikprövningslagen.

64

Som berörts i kapitel 4 kommer dock MynAK även att ha behov av att ha egna samlingar av delvis känsliga personuppgifter som inte är knutna till något specifikt forskningsprojekt, för att på ett effektivt sätt utföra sitt uppdrag, vilket kan innefatta t.ex. att göra aktuella sammanställningar av kunskapsläget, effektutvärderingar av politiska reformer och analyser av utvecklingen på arbetsmiljöområdet (se även avsnitt 5.10 nedan). Möjligheten att ha sådana samlingar kommer enligt utredningens mening inte att kunna grundas på tillstånd enligt etikprövningslagen, eftersom lagen inte tar sikte på samlingar av personuppgifter utan på forskning.

Utredningen bedömer att lagen bör innehålla en upplysningsbestämmelse som hänvisar till etikprövningslagen. Bestämmelsen fyller i huvudsak en pedagogisk funktion.

5.9Samlingar av avidentifierade/ pseudonymiserade personuppgifter

Utredningens förslag: Myndigheten för arbetsmiljökunskap ska för i lagen angivna ändamål få ha samlingar som innehåller personuppgifter och som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna ska dock få vara försedda med en beteckning som hos den myndighet uppgifterna kommer från kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.

Skälen för förslaget

Behovet av samlingar av avidentifierade/pseudonymiserade personuppgifter i MynAK:s verksamhet

För att kunna utföra sitt uppdrag kommer MynAK att vara beroende av att få tillgång till data, inklusive känsliga personuppgifter, från externa källor, såsom statistikansvariga myndigheter. Handläggningstiden för en ansökan om att få ta del av uppgifter från Statistiska

65

Centralbyrån (SCB) kan vara upp till sex månader.5 Handläggningstiden är ungefär lika lång hos Socialstyrelsen.6 Många gånger krävs också tid för att innan dess ha låtit projektet genomgå en etikprövning. Det har gjorts gällande att tidsåtgången för att bygga upp en samling av personuppgifter för ett specifikt uppdrag kan vara upp till ett år och i vissa fall ännu längre tid.7 Ytterligare en faktor av betydelse i sammanhanget är att det kan vara svårt att på förhand avgöra vilka personuppgifter som är nödvändiga för ett visst projekt. Att i efterhand komplettera arbetet med fler uppgifter fördröjer arbetet ytterligare och kan i värsta fall leda till att vissa projekt vid myndigheten kan ta flera år att genomföra, trots att riskerna för integritetsintrång i det enskilda fallet är mycket små och själva sammanställningarna och analyserna endast tar mycket kort tid.

Att få tillgång till nödvändiga personuppgifter är således en process som är mycket tids- och resurskrävande. Samtidigt förväntas det ske snabba förändringar i arbetslivet och av arbetsmiljön under kommande år, vilket ökar behovet för myndigheten att genomföra bl.a. analyser inom relativt korta tidsramar för att kunna producera relevanta underlag (se ovan avsnitt 4.2.2–4.2.3). För att MynAK snabbt och träffsäkert ska kunna analysera aktuella frågor inom arbetsmiljöområdet finns därför ett behov av att kunna använda sig av redan befintliga uppgifter och register som byggts upp inom verksamheten. Det blir t.ex. svårt för MynAK att kunna leverera välutförda kvalitativa analyser inom ramen för tidsbegränsade uppdrag om myndigheten måste köpa in och bygga upp nya typer av samlingar för varje enskilt projekt.

Kombinationen av att MynAK har behov av att kunna genomföra olika typer av sammanställningar, analyser och utvärderingar på relativt kort tid, samt den tidsåtgång som är förknippad med insamling av för sådana ändamål nödvändiga uppgifter, är således problematisk för verksamheten. Även om SCB:s system för direktåtkomst, MONA (Microdata Online Access), kan komma att bli ett viktigt redskap för MynAK, bedöms detta system inte fullt ut svara mot de behov av personuppgiftsbehandling som myndigheten har behov av för att utföra sitt uppdrag. Utredningen bedömer dock att problematiken i

5Se information på SCB:s hemsida, www.scb.se/vara-tjanster/bestalla-mikrodata/ (hämtad 2018-05-23)

6Se information på Socialstyrelsens hemsida, www.socialstyrelsen.se/register/ bestalladataochstatistik/bestallaindividuppgifterforforskningsandamal (hämtad 2018-05-23).

7Prop. 2011/12:176, s. 42.

66

betydande mån kan avhjälpas om MynAK ges möjlighet att inom ramen för vissa specifika ändamål bygga upp och ha tillgång till egna samlingar av personuppgifter. Sådana samlingar skulle bestå av avidentifierade personuppgifter och endast få användas inom MynAK:s verksamhet. För att kunna härleda uppgifterna till viss individ krävs tillgång till den krypteringsnyckel som förvaras hos den myndigheten som lämnat ut uppgifterna (se avsnitt 4.2.3). Om myndigheten har sådana samlingar kan olika projekt genomföras betydligt snabbare och mer effektivt. Att MynAK har möjlighet att genomföra olika typer av analyser på relativt kort tid är nödvändigt för att regeringen ska kunna ge MynAK i uppdrag att ta fram eller sammanställa kunskap inom arbetsmiljöområdet, eftersom sådana uppdrag, som normalt ges regleringsbrev eller i särskilda beslut, ofta ska rapporteras inom en viss begränsad tidsram. En ordning där all den data som är nödvändig för att genomföra ett visst projekt måste samlas in från andra myndigheter skulle kunna innebära att sådana uppdrag kan bli omöjliga att utföra. Vidare kräver olika typer av effektutvärderingar också en större mängd data så att effekter av t.ex. olika statliga insatser kan isoleras från andra faktorer som kan ha påverkat utfallet av insatsen. En möjlighet för MynAK att ha egna samlingar med personuppgifter skulle även underlätta och stärka förutsättningarna för genomförandet av myndighetens uppdrag på andra sätt. MynAK ska vara en samlande aktör på arbetsmiljöområdet och vara ett kunskapscentrum för frågor om arbetsmiljö. Tillgång till data är en förutsättning för att framgångsrikt kunna följa utvecklingen på arbetsmiljöområdet Ofta krävs det att olika typer av data kan samköras för att kunna studera olika orsakssamband och förändringar. Eftersom arbetsmiljön påverkas av en många olika faktorer finns sådan relevant data hos ett antal olika samlingar och register, vilket i praktiken innebär att MynAK behöver tillgång till data från relativt många aktörer. För MynAK:s del är det t.ex. relevant att kunna samköra olika register för att studera hur olika individ- och företagsdata på arbetsmarknaden hänger samman med olika diagnoser, sjukfrånvaro, dödlighet samt andra arbetsrelaterade utfall över tid. Om myndigheten har möjlighet att bygga upp egna samlingar underlättas denna hantering, som kan bidra till att MynAK ges bättre förutsättningar att följa och analysera utvecklingen och att samla aktuell kunskap. Det bör i sammanhanget betonas att det för studier av samband och orsaker kring förändringar i arbetslivet

67

behövs såväl aktuell som historisk information på både övergripande nivå och individnivå. Det räcker således inte med tvärsnittsdata vid en enskild tidpunkt för att kunna studera effekter av en särskild insats eller för att kunna studera arbetsmiljöns utveckling. Vidare är det ofta nödvändigt att sambearbeta data ur flera olika register.

Vidare förbättras MynAK:s möjlighet att återföra kunskap till de statistikansvariga myndigheterna om myndigheten har tillgång till egna samlingar. Därigenom kan myndigheten även bidra till nya forskningsfrågor på sikt och utveckla indikatorer på området.

Möjligheten att ha egna samlingar bedöms vara ett kostnadseffektivt sätt att tillgodose myndighetens behov av tillgång till personuppgifter. Datainsamling för varje enskilt projekt bedöms nämligen medföra särskilt höga kostnader.8 Vidare minskar den administrativa bördan på de utlämnande myndigheterna, eftersom behovet av att begära ut uppgifter därifrån kan antas minska om MynAK har egna samlingar av personuppgifter.

Avvägning i förhållandet till intresset att säkerställa skyddet för den personliga integriteten

Även om det finns ett starkt verksamhetsbehov för MynAK att ha samlingar av personuppgifter är det inte självklart att myndigheten ska ges en sådan möjlighet. Det beskrivna verksamhetsbehovet måste vägas mot de risker för den personliga integriteten som är förknippade med att lagra samlingar av personuppgifter, särskilt som samlingarna kommer innehålla vissa känsliga personuppgifter, som är särskilt integritetskänsliga och därmed särskilt skyddsvärda.

Det måste dock i detta sammanhang framhållas att samlingarna skulle bestå av avidentifierade uppgifter som inhämtas från externa register och databaser. Uppgifterna skulle då av MynAK inte kunna kopplas till viss individ. Tillgång till den beteckning (nyckel) som gör sådan sammankoppling möjlig, skulle förvaras hos SCB eller annan statistikansvarig myndighet varifrån uppgifterna inhämtats. Det skulle ändå vara fråga om personuppgifter i dataskyddsförordningens mening för vilka MynAK är personuppgiftsansvarig.

Om MynAK ges möjlighet till egna samlingar skulle de aktuella personuppgifterna lagras i flera samlingar, vilket i sig utgör en risk i

8Jämför SOU 2003:13, s. 124 för en jämförelse mellan kostnaden för att bygga upp en databas med att hålla en befintlig databas uppdaterad.

68

integritetshänseende, även med beaktande av att uppgifterna i MynAK:s samlingar skulle vara avidentifierade. I detta sammanhang bör dock beaktas att MynAKs samlingar skulle vara tillgängliga för mycket få personer. MynAK är en liten myndighet och tillgång till samlingarna kommer därför att begränsas till en snäv krets, bl.a. genom den föreslagna bestämmelsen om att tillgången till uppgifter ska begränsas till vad var och en behöver för att fullgöra sina arbetsuppgifter (se nedan avsnitt 5.13). Även övriga bestämmelser i den föreslagna lagen som syftar till att skydda den personliga integriteten hos de registrerade, såsom bestämmelser om ändamålsbegränsningar, bör beaktas i sammanhanget. Det måste även vägas in att dataskyddsförordningen innehåller generellt tillämpliga bestämmelser till skydd för de registrerade som gäller vid all typ av personuppgiftsbehandling och som MynAK naturligtvis är skyldig att följa.

Sammanfattningsvis bedömer utredningen att MynAK:s möjligheter till att inom rimlig tid genomföra projekt om att sammanställa kunskap, följa och analysera utvecklingen samt analysera och utvärdera effekter av statliga insatser och reformer skulle försvåras väsentligt eller kanske rentav inte gå att genomföra om myndigheten inte ges möjlighet att ha egna samlingar av avidentifierade personuppgifter. En sådan möjlighet behövs därför för att ge MynAK förutsättningar för att bedriva en effektiv och ändamålsenlig verksamhet. Detta gäller inte minst uppdraget att följa och analysera utvecklingen på arbetsmiljöområdet, vars utförande i sin tur är en förutsättning för att myndigheten ska kunna utföra sina övriga uppdrag om att sammanställa och sprida kunskap och analysera och utvärdera effekter av statliga insatser och reformer. Detta intresse väger, särskilt i ljuset av de integritetsskyddande åtgärder som MynAK kommer vara skyldig att vidta, tyngre än de nackdelar ur integritetshänseende som är förknippade med förekomsten av sådana samlingar av personuppgifter. Det bör därför införas en bestämmelse i lagen som ger MynAK rätt att ha samlingar av avidentifierade personuppgifter som ursprungligen samlats in för ett specifikt projekt, men som med stöd i den föreslagna bestämmelsen kan användas även för kommande uppdrag.

69

5.10Samlingar av personuppgifter i övrigt

Utredningens förslag: Utöver de tidigare nämnda samlingarna av avidentifierade personuppgifter ska MynAK endast få ha samlingar av personuppgifter som behandlas automatiserat om det behövs för att myndigheten ska kunna genomföra vissa avgränsade projekt för att genomföra granskningar och analyser som syftar till att samla in, sammanställa och sprida kunskap om arbetsmiljö, att utvärdera och analysera av statliga reformer och andra statliga initiativ eller för studier om utvecklingen inom arbetsmiljöområdet Behandlingen ska vidare vara nödvändig för myndighetens arbete med kunskapsuppbyggnad och kunskapsspridning eller analys och utvärdering.

Skälen för förslaget: Enligt utredningens bedömning kommer MynAK:s kunskaps-, analys- och utvärderingsarbete i de allra flesta fall att baseras på avidentifierade data som inhämtas från externa källor, såsom statistikproducerande myndigheter. Det kan dock förekomma att även identifierbara data behöver användas i vissa särskilda delar inom ramen för det avgränsade forskningsuppdraget. Vidare kan MynAK ha behov av att samla in personuppgifter genom intervjuer och enkätundersökningar, t.ex. för att samla in uppgifter som inte framgår av den data som ligger till grund för redan befintlig statistik. Sådana arbetsmetoder innebär att personuppgiftsbehandling sker, bl.a. av kontaktuppgifter såsom namn och adress. Personuppgifter, inklusive känsliga personuppgifter, kan även tillföras ett projekt genom de enkät- eller intervjusvar som deltagarna lämnar till myndigheten.

En förutsättning för att genomföra denna typ av projekt är att MynAK tydligt informerar deltagarna om att det är frivilligt att lämna uppgifter och att deltagarna aktivt samtycker till att uppgifterna behandlas för ett visst ändamål. Detta följer av utredningens förslag att samtycke alltid ska krävas vid behandling av personuppgifter som samlats in direkt från enskilda. Som förklaras ovan i övervägandena avseende det förslaget (se avsnitt 5.5) ska dock inte samtycke i sig användas som rättslig grund för personuppgiftsbehandlingen. Den rättsliga grunden för behandlingen är i stället även i detta fall att MynAK utför en uppgift av allmänt intresse, medan

70

det samtycke som inhämtas är en integritetshöjande åtgärd. Att behandlingen ska vara nödvändig för myndighetens arbete med kunskapsuppbyggnad och kunskapsspridning eller genomförandet av analyser och utvärderingar, innebär att en avvägning måste ske av nyttan med projektet i förhållande till de integritetsrisker som denna typ av projekt kan medföra. Endast om fördelarna med projektet väger tyngre än integritetsriskerna får det genomföras.

Det tjänar enligt utredningen ett viktigt allmänt intresse att myndigheten har möjlighet att även genomföra den här typen av projekt och att myndigheten för detta ändamål har möjlighet att skapa uppgiftssamlingar som innehåller personuppgifter. Det kan t.ex. bli aktuellt att samla in uppgifter om specifika förhållanden på vissa arbetsplatser som inte framgår av officiell statistik, men som ändå kan vara värdefulla som underlag när MynAK ska besluta om inriktningen på olika projekt eller analysera på vilka områden det finns kunskapsluckor.

MynAK bör enligt utredningens mening sträva efter att i de fall då det inte är nödvändigt att uppgifterna är identitetsangivna, avidentifiera personuppgifterna på sådant sätt att namn, personnummer eller samordningsnummer ersätts med någon annan form av beteckning som inte kan härledas till den person uppgiften rör.

Vid en samlad bedömning anser utredningen det motiverat utifrån ett allmänt intresse att MynAK även i vissa fall får behandla icke avidentifierade uppgifter om enskilda, och att de risker för den personliga integriteten som en sådan möjlighet medför inte är av sådan dignitet att de väger tyngre än detta allmänna intresse.

5.11Sökbegrepp

Utredningens bedömning: Lagen bör inte innehålla några begränsningar av tillåtna sökbegrepp.

Skälen för bedömningen: I en databas eller annan textmassa som har lagrats på medium för automatiserad behandling är det möjligt att genom att ange så kallade sökbegrepp i en sökmotor söka igenom den lagrade informationen och hitta de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas. Dataskyddsförordningen

71

saknar bestämmelser om sökning eller användning av sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock behandling av personuppgifter och omfattas därför av dataskyddsförordningens krav. På grund av detta måste en sökning vara laglig enligt artikel 6 och uppfylla kraven i artikel 5 och övriga bestämmelser i dataskyddsförordningen för att vara tillåten.

De integritetsrisker som följer med användningen av ny informationsteknik är nära kopplade till möjligheterna att genom sådan teknik söka och sammanställa stora mängder av uppgifter. Sök- och sammanställningsmöjligheter kan medföra att uppgifter lättare kan knytas till en fysisk person. De kan även medföra att personuppgifter som annars uppfattas som relativt harmlösa får en mer integritetskänslig karaktär, t.ex. genom omfattande registrering.9 Något generellt förbud mot sökning i en databas är dock normalt sett inte motiverat. Ofta kan en sökmotor vara ett värdefullt redskap i myndighetens verksamhet, utan att det för den sakens skull måste innebära risker för den personliga integriteten.10

Vid bedömningen av vilka sökbegrepp som bör vara tillåtna måste en avvägning göras mellan intresset av effektivitet i en myndighets verksamhet och risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökningar som typiskt sett medför särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde framför andra intressen, även om goda skäl i och för sig talar för att en viss typ av sökning eller behandling bör vara tillåten.

Utredningen gör bedömningen är att MynAK måste ha möjlighet att göra sökningar i det material myndigheten förfogar över, bl.a. för att kunna utföra sådan forskning som är nödvändig för att fullgöra myndighetens uppdrag. Om sökmöjligheterna begränsas kan det bli betydligt svårare för myndigheten att få fram underlag till bedömningar av eventuella orsakssamband mellan t.ex. en konstaterad förändring inom arbetsmiljöområdet och ett statligt initiativ som genomförts på samma område. En begränsning av sökmöjligheterna innebär således att myndighetens kärnuppdrag riskerar att försvåras väsentligt.

De integritetsrisker som sökningar på t.ex. känsliga personuppgifter kan innebära minimeras genom de skyddsbestämmelser som

9Se skrivelsen Vägledning för integritetsanalys – En vägledning från Datainspektionen för att bedöma integritetsriskerna med ny eller ändrad lagstiftning, september 2016, s. 22., se www.datainspektionen.se/Documents/vagledning-integritetsanalys.pdf, (hämtad 2018-05-18).

10Jämför Ds 2017:33, s. 102.

72

föreslås. Det är här viktigt att understryka att uppgifterna i samlingarna i så gott som alla fall kommer att vara avidentifierade (pseudonymiserade). Vidare kommer tillgången till dessa personuppgifter vara begränsad till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Vidare bör i sammanhanget beaktas de allmänna krav på skyddsåtgärder som föreskrivs i dataskyddsförordningen, t.ex. i artikel 5, och som gäller vid all personuppgiftsbehandling. Utifrån dessa avvägningar görs bedömningen att det inte ska införas någon begränsning vad gäller sökbegrepp i den nya lagen.

5.12Begränsningar i behandlingen av personuppgifter

5.12.1Förbud mot behandling i syfte att identifiera enskilda personer

Utredningens förslag: Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av avidentifierade (pseudonymiserade) personuppgifter som behandlas automatiserat ska inte få behandlas i syfte att röja en persons identitet.

Skälen för förslaget: Genom lagen kommer MynAK att ges möjlighet att behandla stora mängder av personuppgifter, varav en del är känsliga personuppgifter i dataskyddsförordningens mening. Enligt utredningens bedömning kommer de allra flesta av dessa uppgifter att vara avidentifierade. Att MynAK i stor utsträckning använder sådana personuppgifter, där den nyckel som behövs för att koppla ihop uppgifterna med den individ som uppgifterna rör finns utanför myndighetens kontroll, har stor betydelse för att upprätthålla skyddet för den personliga integriteten för dem som berörs av behandlingen. I samlingarna av avidentifierade personuppgifter som MynAK föreslås få inneha kommer det dock att förekomma flera poster om en och samma person, s.k. variabler. Behandling av personuppgifter med flera variabler kan innebära möjligheter att röja en enskild persons identitet, även om uppgifterna inte är direkt hänförliga till en person. Det bör därför i lagen införas en begränsning som innebär att det inte är tillåtet att behandla avidentifierade personuppgifter i syfte att röja en persons identitet.

73

5.12.2Sambearbetning av personuppgifter som inte avidentifierats

Utredningens förslag: Personuppgifter som inte har avidentifierats (pseudonymiserats) före att de kommer MynAK till del och som har samlats in för att behandlas inom olika avgränsade projekt för kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys, ska inte få sambearbetas med varandra.

Undantag från förbudet mot sambearbetning ska göras avseende sådan sambearbetning som är nödvändig för att kunna upprepa eller följa upp ett tidigare projekt.

Skälen för förslaget: När uppgifter från en eller flera myndigheter sammanställs eller när annan direkt överföring av uppgifter görs från ett personregister till ett annat, brukar det benämnas sambearbetning.11 Sambearbetning av personuppgifter anses innebära särskilda risker ur integritetssynpunkt. Sammanläggning av personuppgifter från flera olika källor kan naturligtvis möjliggöra mer eller mindre omfattande kartläggningar av enskilda individer. Detta gäller särskilt för det fall det handlar om personuppgifter som är direkt hänförliga till enskilda personer. Det bör därför i den föreslagna lagen införas ett förbud mot sådan sambearbetning.

Personuppgifter som hämtas in för forskningsändamål från en statistikansvarig myndighet och som inte är direkt hänförliga till enskilda, får i samband med utlämnandet förses med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. Detta följer av 16 § i lagen (2001:99) om den officiella statistiken. Personuppgifter som är avidentifierade på detta sätt får anses mindre känsliga ur integritetssynpunkt. De bör därför inte omfattas av förbudet. Det bör inte heller vara förbjudet att sambearbeta sådana personuppgifter med personuppgifter som inte är avidentifierade på detta sätt och som därmed endast får behandlas inom ramen för ett visst avgränsat projekt inom den del av verksamheten som lagen föreslås vara tillämplig på. En förutsättning för detta är dock att, för det fall uppgifterna har inhämtats direkt från en enskild, att information om att sådan sambearbetning kan bli

11Jämför prop. 2002/03:135 s. 58 f.

74

aktuell har lämnats till den enskilde i samband med att uppgifterna samlades in. För det fall det handlar om behandling av känsliga personuppgifter som kräver prövning av en etikprövningsnämnd12 enligt etikprövningslagen krävs dessutom att en sådan sambearbetning inte strider mot de villkor för personuppgiftsbehandlingen som ställts upp i nämndens beslut.

I vissa fall kan det vara värdefullt att kunna upprepa ett tidigare genomfört projekt. Det bör därför finnas en möjlighet till undantag från förbudet mot sambearbetning när det gäller uppgifter som härrör från olika avgränsade projekt. För att skydda integriteten hos de registrerade bör undantaget begränsas till sambearbetning i syfte att upprepa eller följa upp en tidigare genomförd studie. Vidare måste den nya studien vara förenlig med det ändamål för vilket de tidigare uppgifterna samlades in. För det fall känsliga personuppgifter kommer att behandlas krävs vidare, enligt etikprövningslagen ett godkännande från en etikprövningsnämnd. För det fall det handlar om personuppgifter som inhämtas direkt från den enskilde, bör MynAK också tydligt informera de personer som deltar i den första studien om att uppgifterna kan komma att återanvändas vid en senare upprepning eller uppföljning av projektet. Myndigheten måste därmed redan innan uppgifterna samlas in för den första studien ta ställning till om det kan finnas anledning att i framtiden upprepa eller på annat sätt följa upp det aktuella projektet.

5.13Tillgång till personuppgifter inom MynAK

Utredningens förslag: Tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Skälen för förslaget: Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas natio-

12Från och med den 1 januari 2019 ersätts de regionala etikprövningsnämnderna av en central etikprövningsmyndighet, se prop. 2017/18:45.

75

nella rätt. I artikel 32.4 anges vidare att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Spridning av personuppgifter har av naturliga skäl stor betydelse för integritetsriskerna med behandlingen. Om personuppgifter sprids ökar detta risken för att uppgifterna kommer att användas på ett otillbörligt och icke avsett sätt. Därför är utgångspunkten att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I detta sammanhang saknas i princip betydelse hur många som i praktiken tar del av personuppgifterna.

En bestämmelse i registerlagen om att tillgång till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter är i linje med artikel 32.4 i dataskyddsförordningen och minskar risken för otillåten behandling av personuppgifter. Det är även fråga om en bestämmelse om lämpliga och särskilda åtgärder för att säkerställa den registrerades intressen som ska införas i fråga om behandling av känsliga personuppgifter enligt artikel 9.1 dataskyddsförordningen. En sådan bestämmelse bör därför införas i lagen. Utredningen anser att det är av stor vikt att MynAK utformar riktlinjer och rutiner i syfte att säkerställa att myndigheten följer den föreslagna bestämmelsen.

5.14Gallring

Utredningens bedömning: Det bör inte införas några gallringsbestämmelser i den föreslagna lagen.

Skälen för bedömningen: Lagring av personuppgifter är enligt dataskyddsförordningen en form av behandling av personuppgifter (artikel 4.2). Huvudregeln i artikel 5.1 e är att personuppgifter inte får förvaras i en form som möjliggör identifiering under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse,

76

vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa de registrerades rättigheter och friheter. Det är den personuppgiftsansvarige som ansvarar för att personuppgifter inte lagras på fel sätt eller för lång tid.

I artikel 6.2 och 6.3 i dataskyddsförordningen föreskrivs en möjlighet för medlemsstater att i nationell rätt fastställa mer specifika krav, däribland särskilda bestämmelser om lagringstid. Det bedöms dock varken nödvändigt eller lämpligt att införa särskilda bestämmelser om gallring för MynAK. Myndigheten ska således, i enlighet med dataskyddsförordningen, gallra de personuppgifter som inte längre behövs för att myndigheten ska kunna fullgöra sitt uppdrag. MynAK måste även, enligt artikel 5.1 c i dataskyddsförordningen säkerställa att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering).

5.15Överklagande

Utredningens bedömning: Det saknas behov av en överklagandebestämmelse i den föreslagna lagen. Det finns inte heller behov av en upplysningsbestämmelse som hänvisar till överklagandebestämmelserna i dataskyddslagen.

Skälen för bedömningen: En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde.

I 7 kap. 2 § dataskyddslagen finns en bestämmelse som reglerar rätten att överklaga beslut som en personuppgiftsansvarig myndighet meddelar med anledning av att en registrerad utövar sina rättigheter enligt dataskyddsförordningen. Eftersom dataskyddslagen är subsidiär gäller dess bestämmelser om överklagande om något annat inte framgår av annan författning. Det bedöms inte finnas behov av några särskilda bestämmelser om överklagande för MynAK. Det finns enligt utredningens bedömning inte heller behov av en upplysningsbestämmelse som hänvisar till dataskyddslagen.

77

som andra myndigheter måste göra innan de lämnar ut begärda uppgifter till MynAK.

Att säkerställa att den personuppgiftshantering som sker vid myndigheten är förenlig med gällande regelverk ställer vissa krav på att myndigheten har tillgång till viss typ av kompetens. Vidare kan regelverk som berör personuppgiftsbehandling medföra behov av vissa utbildningsinsatser hos personalen vid myndigheten. Personuppgiftsbehandling ställer även vissa krav på de tekniska system som används vid myndigheten, bl.a. för att kunna tillgodose de registrerades rättigheter. Detta bedöms dock vara kostnader som inte är direkt kopplade till den föreslagna i lagen i sig, utan har sin grund i att delar myndighetens uppdrag förutsätter olika slag av personuppgiftsbehandling, inklusive behandling av känsliga personuppgifter. Den föreslagna lagen kan tvärtom bidra till att kostnaderna för personuppgiftshantering blir lägre eftersom det blir tydligare reglerat vilken typ av behandling som får förekomma, vilket i viss mån kan förenkla arbetet med rättsliga analyser av tillåtligheten av viss behandling. Förslaget bedöms sammanfattningsvis i vart fall inte medföra några kostnader som ger upphov till finansiering med medel utöver vad som avsatts i befintligt budgetanslag.

Förslaget gör det möjligt för MynAK att ha egna samlingar av personuppgifter, vilket ger förutsättningar för att bedriva ett mer effektiv och ändamålsenligt arbete än vad som annars skulle vara fallet.

7.2.2Konsekvenser för den personliga integriteten

Genom förslaget tydliggörs att MynAK ges vissa ytterligare möjligheter att behandla personuppgifter utöver vad som följer av dataskyddsförordningen och dataskyddslagen. Detta kan anses vara negativt för den personliga integriteten, eftersom det finns integritetsrisker med personuppgiftsbehandling, särskilt om den avser känsliga uppgifter.

Förslaget innehåller dock även flera bestämmelser som syftar till att skydda den personliga integriteten för de registrerade, såsom bestämmelserna om begränsningar avseende ändamålen med behandlingen och tillgången till uppgifterna. Vidare kan införandet av en specifik reglering av personuppgiftsbehandling ses som en integritetshöjande åtgärd i sig, eftersom en sådan reglering gör det tydligare om och på vilket sätt personuppgiftsbehandling får ske. Detta minskar

82

risken för att personuppgiftsbehandling av misstag sker i strid med gällande regler och i en utsträckning som inte kan motiveras vid en avvägning mellan verksamhetsbehovet och intresset av att skydda de registrerades integritet.

Sammantaget innebär förslaget vissa risker för den personliga integriteten eftersom det utökar myndighetens möjlighet att behandla personuppgifter. Dessa bedöms dock, särskilt i ljuset av de bestämmelser som införs för att skydda denna integritetsintresset hos de registrerade som berörs, inte vara av sådan dignitet att det finns skäl att avstå från att genomföra förslaget.

7.2.3Ekonomiska konsekvenser

Genom att MynAK genom förslaget ges förutsättningar att utföra sitt uppdrag på ett effektivt och ändamålsenligt sätt bedömer utredningen att statens resurser kan användas mer effektivt. Bättre kunskap om effekter av statliga reformer och initiativ bidrar till en ökad träffsäkerhet i politiken, genom att resurserna kan användas för insatser med dokumenterad effekt. Mer och bättre kunskap om vad som skapar en god arbetsmiljö kan också bidra till att förebygga och minska den arbetsrelaterade ohälsan och sjukfrånvaron. Verksamheten vid MynAK kan därigenom bidra till att minska sjuktalen och därmed till att sänka kostnaderna för sjukskrivningar. Kunskapsutveckling om arbetsmiljö kan också bidra till en ökad produktivitet och stärka Sveriges innovationsförmåga på arbetsmiljöområdet.

En analys av de ekonomiska konsekvenserna av att inrätta MynAK har gjorts i ett tidigare betänkande (SOU 2017:28). Analysen i det betänkandet bygger på att MynAK har möjlighet att utföra sitt uppdrag på ett ändamålsenligt sätt och införandet av en registerlag är en viktig förutsättning för detta.

7.2.4Konsekvenser för kvinnor och män

En ökad kunskap om arbetsmiljö bidrar även till att uppnå de jämställdhetspolitiska målen, särskilt delmålet om ekonomisk jämställdhet och jämställd hälsa.1 Ohälsotalet är högre för kvinnor och det

1Se vidare prop. 2016/17:1 utg.omr. 13.

83

finns kunskapsluckor om arbetsmiljön på kvinnodominerade arbetsplatser och branscher. Den nya myndigheten kan bidra till att stärka kunskapsläget på detta område. Vidare är Sveriges arbetsmarknad starkt präglad av att många branscher och sektorer starkt domineras av antingen kvinnor eller män. De positiva effekter ur ett jämställdhetsperspektiv som förutses i det betänkande (SOU 2017:28) som låg till grund för beslutet att inrätta MynAK är åtminstone delvis avhängiga att myndigheten kan utföra relevanta sammanställningar, analyser och utvärderingar av kunskap om olika villkor och förutsättningar inom kvinnodominerande respektive mansdominerade branscher och sektorer. Sådan kunskap kan i sin tur bidra till en bättre arbetsmiljö för både kvinnor och män och till ett mer jämställt arbetsliv. Förslaget i detta betänkande är en viktig förutsättning för att myndigheten ska kunna göra sådana sammanställningar, analyser och utvärderingar. Förslaget bedöms mot denna bakgrund ha positiva effekter ur ett jämställdhetsperspektiv.

7.2.5Konsekvenser för företag i egenskap av arbetsgivare

Det bedrivs mycket forskning inom arbetslivsområdet och det finns en stor samlad kunskap om arbetsmiljöfrågor. Kunskapen når dock ofta inte ut till arbetsgivare och andra relevanta aktörer, bl.a. till följd av bristande kommunikationsinsatser och att kunskapen inte sammanställs på ett sätt som är lättillgängligt även för de som saknar särskilda kunskaper inom det aktuella ämnesområdet. Ett kärnuppdrag för MynAK är att sammanställa och sprida kunskap baserad på forskning till bl.a. arbetsplatser, så att kunskapen kommer till nytta i det praktiska arbetsmiljöarbetet. Den föreslagna registerlagen är en viktig förutsättning för detta arbete. Förslaget kan mot denna bakgrund bidra till att underlätta företagens arbetsmiljöarbete. Detta kan vara särskilt positivt för små företag, som i regel kan antas ha mindre resurser och därmed sämre förutsättningar att bedriva ett sådant arbete på ett ändamålsenligt sätt.

84

7.2.6Konsekvenser i övrigt

Förslaget bedöms vara förenligt med Sveriges internationella åtaganden inom FN, Europarådet och EU. Vidare bedöms förslagen inte få några särskilda konsekvenser för miljön eller för de frågor i övrigt som enligt kommittéförordningen ska beaktas inom ramen för en utrednings konsekvensbedömningar.

7.3Konsekvenser av att inte genomföra förslaget

7.3.1Konsekvenser för verksamheten

Om förslaget inte genomförs kommer MynAK att behöva basera den personuppgiftsbehandling som förekommer vid myndigheten enbart på dataskyddsförordningen och dataskyddslagen. Detta riskerar att leda till att MynAK inte kommer att ha möjlighet att behandla känsliga personuppgifter i den utsträckning som är nödvändig för myndighetens uppdrag avseende kunskapsuppbyggnad och kunskapsspridning samt att genomföra utvärderingar och analyser. Utan den föreslagna lagen kan det t.ex. uppstå tvivel angående myndighetens möjlighet att behandla känsliga personuppgifter i den utsträckning som är nödvändig. Det kan leda till att MynAK får svårt att fullt ut utföra sitt uppdrag enligt myndighetens instruktionsförordning.

Om förslaget inte genomförs kan det leda till att myndigheten behöver lägga mer resurser på insamling av data. Detta hänger samman med att myndigheten i så fall skulle behöva samla in data inför varje enskilt projekt, vilket bedöms vara mer kostnadskrävande jämfört med om MynAK kan använda data som finns tillgänglig hos myndigheten. Att inte genomföra förslaget skulle därför innebära att det blir svårare att använda myndighetens resurser för datahantering på ett effektivt sätt.

7.3.2Ekonomiska konsekvenser

Utvärderingar och analyser av statliga reformer och initiativ inom MynAK:s ansvarsområde kan ge regering och riksdag tillgång till bättre kunskapsunderlag för beslut om hur arbetsmiljöpolitiken kan inriktas och förbättras, vilket kan öka politikens träffsäkerhet och göra initiativen mer effektiva. Detta kan i sin tur få positiva effekter,

85

såsom lägre sjuktal och att fler kan jobba längre, vilket är kostnadsbesparande för staten. Denna positiva effekt av myndighetens verksamhet riskerar att utebli eller minska väsentligt om förslaget om en särskild registerlag för myndigheten inte genomförs. Frånvaron av en sådan lag riskerar nämligen att påtagligt försämra förutsättningarna för att genomföra kvalitativa analyser och utvärderingar och även försämra möjligheterna för myndigheten att utföra sitt uppdrag att sprida forskningsbaserad kunskap om arbetsmiljö.

7.3.3Övriga konsekvenser

Personuppgiftsbehandling, särskild när denna innefattar känsliga personuppgifter, kan innebära risker för den personliga integriteten. Om inte förslaget genomförs kommer MynAK:s möjlighet att behandla känsliga personuppgifter att påtagligt begränsas. Detta kan ses som positivt för den personliga integriteten, även om utredningen anser att de negativa konsekvenserna av att inte genomföra förslaget väger tyngre än fördelarna med en sådan lösning ur ett integritetsperspektiv.

86

I paragrafens andra stycke begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter. Manuell behandling som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Bestämmelsen i andra stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Förslaget behandlas i avsnitt 5.3.1.

Av paragrafen framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i alla medlemsstater vilket innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.

Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse. Denna hänvisningsteknik bedöms som den lämpligaste, eftersom lagen annars kan komma att behöva ändras vid varje eventuell ändring av dataskyddsförordningen.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

88

Förslaget behandlas i avsnitt 5.3.2.

Paragrafen upplyser om hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led klargör att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för Myndigheten för arbetsmiljökunskap. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller om inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Första stycket gäller dock inte när uppgifterna samlats in direkt från den enskilde.

Förslaget behandlas i avsnitt 5.4.

I paragrafens första stycke görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen.

Andra stycket innebär att undantagsbestämmelsen i första stycket inte gäller uppgifter som samlats in direkt från den enskilde med dennes samtycke. För sådana uppgifter gäller således rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen.

Samtycke när uppgifter har samlats in direkt från den enskilde

5 § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

89

Förslaget behandlas i avsnitt 5.5.

Paragrafen innehåller bestämmelser om samtycke och återkallelse av samtycke i vissa fall.

I första stycket anges att ett uttryckligt samtycke krävs i vissa fall. Kravet på samtycke är en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Samtycke ska alltså inte ses som den rättsliga grunden för myndighetens behandling av personuppgifter enligt artikel 6.1 a i dataskyddsförordningen. Detta innebär att det utöver samtycket från den enskilde krävs en rättslig grund, t.ex. att behandlingen är nödvändig för att myndigheten ska kunna utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen).

I andra stycket behandlas återkallelse av ett lämnat samtycke. En återkallelse kan göras skriftligt eller muntligt till Myndigheten för arbetsmiljökunskap. Sedan återkallelsen har gjorts och kommit till myndighetens kännedom får ytterligare personuppgifter om den enskilde inte behandlas. Behandlingen av redan insamlade uppgifter får dock fortsätta.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Förslaget behandlas i avsnitt 5.6.

Paragrafen anger att Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Utpekandet av myndigheten som personuppgiftsansvarig är i enlighet med artikel 4.7 andra ledet i dataskyddsförordningen.

Ändamål med behandlingen

7 § Myndigheten för arbetsmiljökunskap får behandla personuppgifter om det är nödvändigt inom myndighetens ansvarsområde. En sådan behandling får innefatta

1.granskningar och analyser som syftar till att samla in, sammanställa och sprida kunskap om arbetsmiljö,

2.utvärderingar och analyser av statliga reformer och andra statliga initiativ, samt

90

3. studier om utvecklingen inom arbetsmiljöområdet.

Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Förslaget behandlas i avsnitt 5.7.1 och 5.7.2.

Paragrafen behandlar de så kallade primära ändamålen för behandlingen av personuppgifter vid myndighetens verksamhet inom lagens tillämpningsområde.

I paragrafens första stycke anges de primära ändamålen för personuppgiftsbehandling enligt lagen. Beskrivningen av ändamålen får betydelse för vilken insamling och annan behandling av personuppgifter som är tillåten enligt lagen. Ändamålen knyter an till myndighetens kärnuppdrag. Att ändamålen fastställs i lag främjar att personuppgiftsbehandlingen sker i enlighet med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i dataskyddsförordningen). Första punkten tar sikte på sådan behandling av personuppgifter som är nödvändig för att bedöma relevans och kvalitet i sådant underlag, t.ex. en vetenskaplig studie eller artikel, i samband med att Myndigheten för arbetsmiljökunskap tar fram t.ex. en kunskapssammanställning. Så- dant arbete förutsätter i vissa fall att det görs s.k. metaanalyser av underlaget, t.ex. genom att studera den data som använts i underlaget. Av andra punkten och tredje punkten framgår att nödvändig behandling av personuppgifter får ske vid utvärderingar och analyser av statliga reformer och andra statliga initiativ och vid studier av utvecklingen inom arbetsmiljöområdet.

Bestämmelsen utgör en yttre ram för vilka slags personuppgiftsbehandlingar som är tillåtna enligt lagen och är en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 i dataskyddsförordningen. Att det anges ett krav på att behandlingen ska vara nödvändig för de angivna ändamålen innebär ett tydliggörande av kraven på laglig behandling enligt artikel 6.1 i dataskyddsförordningen.

Paragrafens andra stycke upplyser om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

91

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Förslaget behandlas i avsnitt 5.7.3.

I paragrafen klargörs att Myndigheten för arbetsmiljökunskap får behandla personuppgifter även för uppgiftslämnande. Ett sådant uppgiftslämnande kan exempelvis vara aktuellt om myndigheten behöver lämna ut uppgifter för att uppfylla krav i offentlighets- och sekretesslagen (2009:400).

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.

Förslaget behandlas i avsnitt 5.7.4.

Paragrafen tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen.

Bestämmelsens utformning ligger nära artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Det innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a–e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen.

Behandling av känsliga personuppgifter

10 § Inga andra personuppgifter som avses i artikel 9.1 EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa får behandlas för de ändamål som anges i 7 §.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter, samt personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

92

Förslaget behandlas i avsnitt 5.8.

I paragrafen regleras i vilken utsträckning Myndigheten för arbetsmiljökunskap får behandla sådana särskilda kategorier av personuppgifter (känsliga personuppgifter) som avses i artikel 9.1 i dataskyddsförordningen. Paragrafen innebär att lagen endast ger stöd för behandling av sådana känsliga personuppgifter som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa.

Bestämmelsen har företräde framför bestämmelsen i 3 kap. 3 § i dataskyddslagen om myndigheters behandling av känsliga personuppgifter, eftersom dataskyddslagen är subsidiär till andra författningar. Detta hindrar dock inte att den nämnda bestämmelsen i dataskyddslagen kan tillämpas av Myndigheten för arbetsmiljökunskap i fall av personuppgiftsbehandling som faller utanför lagens tillämpningsområde.

I andra stycket finns en upplysningsbestämmelse om att forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om vissa lagöverträdelser måste etikprövas.

Samlingar av personuppgifter

11 § Om det är nödvändigt för de ändamål som anges i 7 §, får det hos Myndigheten för arbetsmiljökunskap finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Förslaget behandlas i avsnitt 4.2 och 5.9.

Paragrafen reglerar Myndigheten för arbetsmiljökunskaps möjligheter att inneha samlingar av personuppgifter eller motsvarande som inte nödvändigtvis är knutna till en särskild avgränsad studie. Möjligheterna att inneha sådana samlingar begränsas till samlingar av avidentifierade personuppgifter. Som en ytterligare förutsättning för behandlingen gäller att behandlingen ska vara nödvändig för de ändamål som anges i 7 §. Av 13 § följer att avidentifierade uppgifter inte får behandlas i syfte att röja en persons identitet, se vidare författningskommentaren till den bestämmelsen.

93

12 § Om det behövs för de ändamål som anges i 7 §, får det hos Myndigheten för arbetsmiljökunskap även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 11 §, om uppgifterna är nödvändiga för myndighetens arbete som avser kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys.

Förslaget behandlas i avsnitt 5.10.

Paragrafen reglerar Myndigheten för arbetsmiljökunskaps möjligheter att inneha samlingar av personuppgifter som inte är avidentifierade på det sätt som avses i 11 §. Av paragrafen följer att sådana personuppgifter endast får behandlas om det behövs för ett särskilt projekt. Även i detta fall gäller att behandlingen måste vara nödvändig för de ändamål som anges i 7 §. I 13 § finns regler om begränsningar av möjligheterna att sambearbeta denna typ av uppgifter, se vidare författningskommentaren till den bestämmelsen. Observera att paragrafen är tillämplig även på sådana personuppgifter som visserligen har avidentifierats, men där avidentifieringen har gjorts av Myndigheten för arbetsmiljökunskap. I sådana fall har nämligen myndigheten tillgång till ett grundmaterial som innehåller personuppgifter som är direkt hänförliga till en person eller en nyckel som gör det möjligt för myndigheten att återknyta uppgifterna till enskilda individer.

Begränsningar i behandlingen av personuppgifter

13 § Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får inte behandlas i syfte att röja en persons identitet.

Förslaget behandlas i avsnitt 5.12.1.

Paragrafen innebär ett förbud mot behandling av avidentifierade personuppgifter i syfte att avslöja en persons identitet. Bestämmelsen klargör att det inte är tillåtet att sammanföra olika uppgifter för att få kännedom om identiteten på den person vars uppgifter behandlas. Syftet med bestämmelsen är att förstärka skyddet för den personliga integriteten vid behandling av sådana personuppgifter som inte är direkt hänförliga till en person.

94

14 § Personuppgifter som behandlas enligt 12 § och som har samlats in för att behandlas inom olika avgränsade projekt som avser kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys får inte sambearbetas med varandra.

Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att kunna upprepa eller följa upp ett tidigare genomfört projekt av sådant slag som avses i första stycket.

Förslaget behandlas i avsnitt 5.12.2.

Bestämmelsen i första stycket innebär ett förbud mot sambearbetning av personuppgifter som behandlas med stöd av 12 §. Personuppgifter som inte är avidentifierade i enlighet med 11 § och som har samlats in för att behandlas i olika projekt får således inte sambearbetas med varandra. Begränsningen gäller däremot inte för sådana personuppgifter som behandlas med stöd av 11 §. Begränsningen gäller inte heller för sambearbetning av sådana personuppgifter som behandlas med stöd av 12 § med sådana personuppgifter som behandlas med stöd av 11 §.

I andra stycket görs ett undantag från sambearbetningsförbudet i första stycket för sambearbetning av personuppgifter som är nödvändig för att upprepa eller följa upp ett tidigare genomfört projekt för de ändamål som omfattas av lagen.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Förslaget behandlas i avsnitt 5.13.

Av paragrafen följer att Myndigheten för arbetsmiljökunskap är skyldig att se till att tillgången till personuppgifter begränsas.

Genom begränsningen förstärks skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt. Paragrafen ska tillämpas på både tillsvidareanställd personal och tidsbegränsat anställda som arbetar vid myndigheten inom ramen för ett visst avgränsat projekt.

Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

95

över ett stort antal områden och aktörer. För att stärka regeringens nationella och internationella arbete med arbetsmiljöfrågor, samt ge verksamma aktörer på området stöd i arbetsmiljöarbetet, behövs en samordnande organisation som sammanställer och förmedlar kunskap om arbetsmiljö.

Det arbetsmiljöarbete som bedrivs behöver bygga på kunskap. Det finns därför ett behov av en myndighet med överblick över helheten och med särskilt ansvar för att på olika sätt verka för att forskningsbaserad kunskap blir mer tillgänglig och kommer till nytta i det praktiska arbetsmiljöarbetet. Det finns även ett behov av att utvärdera både utformningen, genomförandet och effekterna av arbetsmiljöpolitiken. Insatser inom arbetsmiljöområdet ska utgå från kunskap om olika former av arbetsmiljöproblematik, men även kunskap om vilka åtgärder som kan ha en positiv effekt på arbetsmiljö. För att öka kunskapen inom arbetsmiljöområdet behöver forskningsresultat spridas till det övriga samhället. Sverige ska vara framgångsrikt på arbetsmiljöområdet och den internationella samverkan med inriktning på kunskap om och utvärdering av arbetsmiljö ska förstärkas.

Regeringen har tidigare belyst behovet av ett kunskapscentrum för arbetsmiljö i den nationella arbetsmiljöstrategin (skr. 2015/2016:80). Behovet har också sedan flera år tillbaka framförts i en rad olika utredningar, bl.a. i Arbetsmiljöpolitiska kunskapsrådet rapport (SOU 2011:60), Pensionsåldersutredningen (SOU 2013:25) och den parlamentariska socialförsäkringsutredningen (SOU 2015:21). Arbetsmarknadens parter har framfört samma sak i ett gemensamt brev till regeringen 2013 och nyligen i de avsiktsförklaringar som överlämnades under 2016 som svar på regeringens förslag om ökat arbetsgivaransvar för sjukskrivningarna.

Regeringen har i budgetpropositionen för 2017 (prop. 2016/17:1, utg.omr. 14) och i 2017 års ekonomiska vårproposition (prop. 2016/17:100, avsnitt 2.5) aviserat att ett nationellt centrum för samling och spridning av kunskap och forskningsresultat om arbetsmiljö samt för utvärdering av arbetsmiljöpolitik ska inrättas.

98

För att säkerställa organisationens roll

ska verksamheten inrättas som en myndighet

Den 21 januari 2016 gav regeringen en särskild utredare i uppdrag att föreslå hur ett nationellt centrum för samling och spridning av kunskap och forskningsresultat om arbetsmiljö samt för utvärdering av arbetsmiljöpolitik borde inrättas och utformas (se vidare dir. 2016:2 och dir. 2016:79). Utredaren fick också i uppdrag att föreslå vid vilken befintlig myndighet eller befintligt lärosäte verksamheten skulle placeras.

Den 28 mars 2017 överlämnade utredningen sitt betänkande Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö (SOU 2017:28). Utredningen föreslog att ett nationellt arbetsmiljöcentrum skulle inrättas med uppdrag att samla och sprida kunskap om arbetsmiljö, utvärdera arbetsmiljöpolitiken, ta fram riktlinjer till företagshälsovården och stärka Sveriges internationella arbetsmiljöarbete. Utredningen lämnade två förslag på organisation – en särskild inrättning vid Stockholms universitet eller en ny myndighet.

Utredningen underströk att en fristående myndighet har flera fördelar i förhållande till att låta verksamheten ingå i en befintlig myndighet eller lärosäte. Utredningen betonade att en fristående myndighet är särskilt viktig för att säkerställa rollen gentemot andra aktörer, framför allt med tanke på utvärderingsuppdraget.

Betänkandet har remissbehandlats både skriftligt och på ett remissmöte. En övervägande majoritet av remissinstanserna som tagit ställning till organisering av verksamheten stödjer utredningens förslag om att verksamheten ska inrättas som en ny myndighet.

Flertalet remissinstanser har påpekat att utredningen saknar författningsförslag för myndighetens tillgång till och arbete med statistik och databaser. Detta är en fråga som behöver utredas vidare i samband med att myndigheten inrättas.

Regeringen delar bedömningen att verksamheten ska inrättas som en ny myndighet. Myndigheten för arbetsmiljökunskap föreslås inleda sin verksamhet den 1 juni 2018.

99

Den nya myndigheten kommer att bidra till ett mer hållbart arbetsliv

Inrättandet av Myndigheten för arbetsmiljökunskap är ett viktigt steg i arbetet för ett mer hållbart arbetsliv. En god arbetsmiljö kan göra det möjligt för fler att arbeta mer och längre eftersom risken för utslagning minskar. Arbetsmiljön ska även skapa förutsättningar för hälsosamma levnadsvanor under och i samband med arbetsdagen. En god arbetsmiljö bidrar till att förebygga och minska den arbetsrelaterade ohälsan och sjukfrånvaron. En bättre kunskap om arbetsmiljöpolitikens effekter kan också leda till en ökad träffsäkerhet i politiken. Statens resurser bedöms användas på ett bättre sätt om de kan riktas mot insatser med dokumenterad effekt.

En ökad kunskap om arbetsmiljö bidrar även till att uppnå de jämställdhetspolitiska målen (se vidare prop. 2016/17:1 utg.omr. 13), särskilt delmålet om ekonomisk jämställdhet och jämställd hälsa. Ohälsotalet är högre för kvinnor och det finns kunskapsluckor om arbetsmiljön på kvinnodominerade arbetsplatser och branscher. Den nya myndigheten kan bidra till att stärka kunskapsläget på detta område.

Kunskapsutveckling om arbetsmiljö kan också bidra till en positiv utveckling för produktivitet och kan stärka Sveriges innovationsförmåga på arbetsmiljöområdet samt bidra till regeringens insatser på området. Arbetsmiljöforskningen bedrivs vid ett stort antal olika universitet och högskolor. Bl.a. är Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) forskningsfinansiär på området. Den nya myndigheten ska varken påverka eller ändra detta förhållande. Även om den nya myndigheten inte ska bedriva eller finansiera forskning kan en ny myndighet för kunskap och utvärdering dock få betydelse för utvecklingen inom berörda forskningsområden. Sammanställningar och analyser av befintliga forskningsresultat kan bidra till att synliggöra framtida problem och möjligheter inom arbetsmiljöområdet och kan ge forskare idéer till ny forskning.

Universitet och högskolor har i uppgift att samverka med det omgivande samhället och verka för att forskningsresultat kommer till nytta. Forskningsresultaten har dock många gånger svårt att nå ut till arbetsplatserna och omsättas till praktisk nytta. Regeringen anser att Myndigheten för arbetsmiljökunskap kan bidra till att öka utbytet mellan forskning och praktik.

100

Myndigheten ska sprida kunskap, utvärdera arbetsmiljöpolitiken, stärka det internationella arbetet och arbeta med företagshälsovårdsfrågor

Myndigheten för arbetsmiljökunskap ska vara regeringens kunskapscentrum för arbetsmiljö. Den nya myndigheten ska vara inriktad mot kunskapsspridning och utvärdering och inte utföra eller finansiera forskning. Det ska finnas möjlighet att kunna sätta samman grupper med korttidsengagerade forskare, utredare och andra som kan göra utvärderingar och kunskapssammanställningar. Myndigheten ska tillämpa ett jämställdhetsperspektiv. Myndigheten ska organiseras enligt följande.

Sprida kunskap med fokus på att forskning

ska komma till praktisk nytta på arbetsplatserna

Myndigheten ska bevaka kunskapsutvecklingen inom området arbetsmiljö, vilket omfattar att bevaka forskning och debatt om arbetsmiljö nationellt och internationellt, samt bevaka andra myndigheters och organisationers rapportering om arbetsmiljö.

Myndigheten ska sammanställa och sprida kunskap om arbetsmiljö samt ta över och utveckla Arbetsmiljöverkets nationella funktion för kunskapsområdet arbetsmiljö och arbetsliv. Myndigheten ska sammanställa och tillgängliggöra forskningsbaserad kunskap samt kommunicera ut denna på ett målgruppsanpassat sätt för att nå ut som stöd i det praktiska arbetsmiljöarbetet på arbetsplatserna. Syftet är att fylla de kunskapsbehov som finns inom arbetsmiljöområdet. Myndigheten ska bl.a. samarbeta med Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) och berörda universitet och högskolor i relevanta delar.

Utvärdera och analysera arbetsmiljöpolitiken

Myndigheten ska, med utgångspunkt i de nationella arbetsmiljöpolitiska målen, utvärdera och analysera utformningen, genomförandet och effekterna av arbetsmiljöpolitiken. En god arbetsmiljö är viktig för både kvinnor och män. För att myndigheten ska kunna genomföra uppföljningar, utvärderingar och studera utvecklingen

101

behövs tillgång till data och analysunderlag. Myndigheten ska bidra till utvecklingen av indikatorer och datamaterial inom arbetsmiljöområdet, men inte producera statistik. Arbetsmiljöverket ska fortsätta ansvara för den officiella statstiken.

Vara en nationell kontaktpunkt för att stärka det internationella arbetsmiljöarbetet

Myndigheten ska stärka Sveriges internationella arbete i arbetsmiljöfrågor. Myndigheten ska biträda regeringen i det internationella samarbetet och bli nationell kontaktpunkt i frågor som gäller kunskap om och utvärdering av arbetsmiljö. Myndigheten ska bidra till att svenska aktörer får en bättre bild av vad som sker på ett internationellt plan och underlätta för internationella aktörer att få information om Sverige och komma i kontakt med andra svenska aktörer. Myndigheten ska bl.a. inkluderas i regeringens arbete med nordiska arbetsmiljöutskottet, Eurofound och Europeiska arbetsmiljöbyrån (EU-OSHA). Arbetsmiljöverket ska dock även fortsätta företräda regeringen i det internationella arbetet som har fokus på lagar, regler och tillsyn.

Arbeta med företagshälsovårdsfrågor

Myndigheten ska arbeta med frågor om företagshälsovården. Myndigheten ska bl.a. arbeta med att utveckla och tillgängliggöra evidensbaserade riktlinjer, verktyg och vägledningar för aktörer inom företagshälsovården. Myndigheten ska också arbeta med förutsättningarna för företagshälsovårdens kompetensförsörjning.

Myndighetens lokalisering och ledningsform

Myndigheten ska vara lokaliserad i Gävle och vara en enrådsmyndighet med ett insynsråd.

102

Uppdraget att inrätta myndigheten

Utredaren ska, med förbehåll för riksdagens beslut i nödvändiga delar, föreslå och vidta de åtgärder som krävs för att Myndigheten för arbetsmiljökunskap ska kunna inleda sin verksamhet den 1 juni 2018. Myndigheten ska inrättas i enlighet med den verksamhet som beskrivs i dessa direktiv.

Överförande av Arbetsmiljöverkets nationella kunskapsfunktion

Arbetsmiljöverket har i dag i uppdrag att vara nationell funktion för kunskapsområdet arbetsmiljö och arbetsliv. Som nationell kunskapsfunktion ska myndigheten bl.a. arbeta med att utveckla former för tillgängligheten och nyttiggörandet av befintlig kunskap. Utredaren ska i nära samarbete med Arbetsmiljöverket hantera samtliga frågor om överförandet av den nationella kunskapsfunktionen till Myndigheten för arbetsmiljökunskap. Uppgiften att vara nationell kunskapsfunktion ska inkluderas i den nya myndighetens ordinarie verksamhet och drivas vidare i permanent form. Utgångspunkten vid överförandet är att upparbetad kunskap och erfarenhet så långt som möjligt ska tas tillvara.

Instruktion, regleringsbrev, budget och författningsändringar

Utredaren ska lämna förslag till instruktion, regleringsbrev och nödvändiga författningsändringar med anledning av inrättandet av myndigheten (bl.a. författningsändringar för tillgång till statistik och databaser). Utredaren ska beakta andra myndigheters arbete inom området och även lämna förslag på eventuella följdändringar i andra myndigheters instruktioner. Utredaren ska vidare lämna förslag till anslag (inklusive låneram och räntekontokredit), resursfördelning, verksamhetsplan och budget för verksamhetsåret 2018 samt underlag och beräkningar för åren 2019–2021.

103

Organisation och verksamhetsformer

Utredaren ska lämna förslag till den nya myndighetens organisation, överväga lämpliga arbetsformer och verksamhetsplan. Utredaren ska också lämna förslag till kompetensprofil för ledamöterna i ett insynsråd. Utredaren ska vidare bedöma vilken kompetens som är nödvändig för myndighetens verksamhet.

Bemanning

När Myndigheten för arbetsmiljökunskap bemannas ska 6 b § lagen (1982:80) om anställningsskydd följas. Utredaren ska fatta beslut om bemanning liksom i övrigt utöva arbetsgivarens befogenheter. Ut- redaren ska fullgöra de åtgärder som krävs enligt lagen (1976:580) om medbestämmande i arbetslivet.

Avtal och anslutning till system för redovisning och lön

Utredaren ska förbereda anslutning av myndigheten till det statliga redovisningssystemet och lägga upp redovisningsplaner.

Utredaren ska ingå nödvändiga avtal för myndighetens räkning. I syfte att uppnå bästa möjliga kostnadseffektivitet bör utredaren överväga att överta befintliga avtal där så är möjligt.

I syfte att öka effektiviteten och minska administrationskostnaderna ska utredaren förbereda anslutning av myndigheten till Statens Servicecenters ekonomiadministrativa tjänster, löne- och lönerelaterade tjänster samt tjänster inom e-handel.

Samråd och redovisning av uppdraget

Vid genomförande av uppdraget ska utredaren hålla Regeringskansliet (Arbetsmarknadsdepartementet) informerat. Utredaren ska vidare samråda med Arbetsgivarverket, Ekonomistyrningsverket, Arbetsmiljöverket och Forskningsrådet för hälsa, arbetsliv och välfärd, Verket för innovationssystem, Socialstyrelsen, Folkhälsomyndigheten samt andra myndigheter och universitet och högskolor i den utsträckning

104

som är nödvändig. Utredaren ska hålla berörda centrala arbetstagarorganisationer informerade om arbetet och ge dem tillfälle att framföra synpunkter.

Utredaren ska senast den 1 februari 2018 lämna underlag för anslag (inklusive låneram och räntekontokredit), resursfördelning, verksamhetsplan och budget för perioden 1 juni–1 december 2018.

Utredaren ska senast den 1 mars 2018 lämna förslag till instruktion och regleringsbrev för myndigheten, nödvändiga författningsändringar, budgetunderlag för åren 2019–2021 samt förslag till kompetensprofil för ledamöter i ett insynsråd.

Uppdraget ska slutredovisas senast den 31 maj 2018.

(Arbetsmarknadsdepartementet)

105

Statens offentliga utredningar 2018

Kronologisk förteckning

Statens offentliga utredningar 2018

Systematisk förteckning