Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Betänkande av Socialdataskyddsutredningen

Stockholm 2018

SOU 2018:52

Innehåll

SOU 2018:52

3.4.3	Definitioner.............................................................	43
3.4.4	Grundläggande principer ........................................	44
3.4.5	Laglig behandling av personuppgifter....................	45

3.4.6Känsliga personuppgifter och uppgifter om

	lagöverträdelser .......................................................	46
3.4.7	Den registrerades rättigheter..................................	48

3.4.8Personuppgiftsansvarigas och

	personuppgiftsbiträdens skyldigheter....................	51
3.4.9	Dataskyddsombud ..................................................	52
3.4.10	Överföring av personuppgifter till tredjeland .......	53
3.4.11	Tillsynsmyndigheter ...............................................	54

3.4.12När uppgifter behandlas i strid med

	dataskyddsförordningen.........................................	54
3.4.13	Konkurrens med andra rättigheter.........................	55
3.4.14	Övrigt ......................................................................	55
3.5 Regeringsformen ....................................................................		56
3.5.1	Skydd för den personliga integriteten....................	56

3.5.2Begränsning av skyddet för den personliga

		integriteten ..............................................................	57
	3.5.3	Intrång i den personliga integriteten .....................	58
3.6	Personuppgiftslagen ...............................................................		62
3.7	Dataskyddslagen.....................................................................		62
4	Myndigheten för vård- och omsorgsanalys .....................		65
4.1	Myndighetens uppdrag...........................................................		65
4.2	Myndighetens verksamhet .....................................................		67

4.2.1Egeninitierad verksamhet

	och regeringsuppdrag..............................................	67
4.2.2	Arbetsmetoder ........................................................	68

4.3Rättsligt stöd för myndighetens behandling

av personuppgifter..................................................................		70
4.4 Behovet av att behandla personuppgifter..............................		71
4.4.1	Inledning..................................................................	71
4.4.2	Behov av uppgifter från andra aktörer ...................	72

6

SOU 2018:52Innehåll

	4.4.3	Myndighetens egen bearbetning
		av personuppgifter...................................................	74
5	Regleringen av andra analysmyndigheters behandling
	av personuppgifter.....................................................		77
5.1	Inledning..................................................................................		77
5.2	Statskontoret...........................................................................		78
5.3	Ekonomistyrningsverket (ESV).............................................		78
5.4	Brottsförebyggande rådet (Brå).............................................		78

5.5Institutet för arbetsmarknads- och utbildningspolitisk

	utvärdering (IFAU)................................................................	80
5.6	Inspektionen för socialförsäkringen (ISF)............................	81
5.7	Myndigheten för kulturanalys................................................	83

5.8Myndigheten för tillväxtpolitiska utvärderingar

	och analyser (Tillväxtanalys)..................................................		83
5.9	Trafikanalys .............................................................................		84
6	Utlämnande av personuppgifter till Myndigheten för
	vård- och omsorgsanalys.............................................		85
6.1	Inledning..................................................................................		85
6.2	Myndighetens behov...............................................................		86
	6.2.1	Myndighetens behov av att använda redan
		befintliga data som finns hos andra aktörer...........	86

6.2.2Myndighetens behov av att rikta sig direkt till

	patienter, brukare och andra specifika grupper .....	87
6.2.3	Myndighetens behov av att rikta sig till
	personal ....................................................................	89

6.2.4Myndighetens behov av att följa utveckling

	över tid .....................................................................	89
6.3 Uppgiftslämnande mellan myndigheter och sekretess.........		90
6.3.1	Uppgiftslämnande mellan myndigheter.................	90
6.3.2	Sekretessbestämmelsernas uppbyggnad.................	91
6.3.3	Primär och sekundär sekretess ...............................	91

7

Innehåll

SOU 2018:52

6.4Sekretess för uppgifter hos Socialstyrelsen

och Statistiska centralbyrån ...................................................

92

6.4.1Lagen om den officiella statistiken

	och statistikansvariga myndigheter........................	93
6.4.2	Statistiksekretess.....................................................	95
6.4.3	Vad är statistik?.......................................................	95
6.4.4	Särskild statistikverksamhet ...................................	96
6.4.5	Annan jämförbar undersökning.............................	97

6.4.6Uppgift om enskilds personliga eller

	ekonomiska förhållande..........................................	98
6.4.7	Absolut sekretess ....................................................	98

6.4.8Undantaget för uppgift för forsknings-

och statistikändamål..............................................

100

6.4.9Undantaget för uppgifter som inte är direkt

hänförliga till den enskilde ...................................

102

6.5Sekretess för uppgifter hos Myndigheten för vård-

och omsorgsanalys................................................................

102

6.6Möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till

Myndigheten för vård- och omsorgsanalys ........................

103

6.6.1Undantaget för uppgift som behövs för

forskningsändamål ................................................

103

6.6.2Undantaget för uppgift som behövs för

statistikändamål.....................................................

104

6.6.3Undantaget för uppgift som inte är direkt

hänförlig till den enskilde .....................................	106
6.7 Sekretessbrytande bestämmelser .........................................	107

6.7.1Uppgiftslämnande på grund av lag

eller förordning .....................................................

108

6.7.2Sekretessbrytande bestämmelse för uppgifter

hos Socialstyrelsen och Statistiska
centralbyrån...........................................................	109

8

SOU 2018:52Innehåll

ÖVERVÄGANDEN OCH FÖRSLAG......................................			111
7	Behandling av personuppgifter med stöd av
	dataskyddsförordningen ...........................................		113
7.1	Rättslig grund för behandling av personuppgifter..............		113
	7.1.1	Regleringen i dataskyddsförordningen ................	113
	7.1.2	Behandling med stöd av samtycke........................	114

7.1.3Behandling för att utföra en arbetsuppgift

av allmänt intresse .................................................

117

7.1.4Inget behov av nationell reglering av rättslig

	grund för myndighetens behandling ....................	127
7.2 Behandling av känsliga personuppgifter..............................		128
7.2.1	Regleringen i dataskyddsförordningen ................	128

7.2.2Undantag för behandling med stöd av

	samtycke.................................................................	129
7.2.3	Undantag för viktiga allmänna intressen .............	130

7.2.4Undantag för hälso- och sjukvård samt social

		omsorg....................................................................	138
	7.2.5	Undantag för statistikändamål .............................	140
7.3	Behandling av uppgifter om lagöverträdelser......................		142
8	Behovet av en reglering............................................		145
9	En ny lag om behandling av personuppgifter...............		147

9.1Lagen bör inte innehålla bestämmelser som generellt

tillåter behandling .................................................................

147

9.2Nationella bestämmelser som kompletterar

dataskyddsförordningen.......................................................		149
9.3 Lagens tillämpningsområde..................................................		152
9.3.1	Verksamhet som bör omfattas av lagen ...............	152

9.3.2Automatiserad behandling och manuella

	register....................................................................	153
9.3.3	Uppgifter om avlidna personer.............................	153
9.4 Förhållandet till annan reglering..........................................		155
9.4.1	Dataskyddsförordningen ......................................	155

9

Innehåll

SOU 2018:52

	9.4.2	Dataskyddslagen ...................................................	156
	9.4.3	Etikprövningslagen ...............................................	158
10	Krav på extern prövning vid riskfyllda behandlingar
	utan samtycke .........................................................		161
10.1	Det behövs en prövning i varje enskilt fall vid riskfyllda
	behandlingar..........................................................................		161
10.2	Någon extern prövning behövs inte vid samtycke.............		164
10.3	Vilken oberoende instans ska göra prövningen? ................		166
	10.3.1	Inledning................................................................	166

10.3.2Etikprövningsmyndigheten är den naturliga

instansen ................................................................

167

10.3.3Alternativ till Etikprövningsmyndigheten

		och Överklagandenämnden för etikprövning	..... 171
	10.3.4	Överväganden om alternativen.............................	180
	10.3.5 Utredningen lämnar inget ytterligare förslag
		på lämplig prövningsinstans .................................	185
10.4	Vilken avvägningsnorm ska den oberoende instansen
	tillämpa?	................................................................................	187
	10.4.1	Etikprövningsmyndigheten och
		Överklagandenämnden för etikprövning
		ska tillämpa nuvarande regelverk
		på motsvarande sätt...............................................	187
	10.4.2 Väljs en annan instans ska den göra
		en kvalificerad intresseavvägning
		som fastställs i lag..................................................	192
11	Känsliga personuppgifter ..........................................		197
11.1	Inledande bedömning...........................................................		197
11.2	Behovet av att behandla känsliga personuppgifter .............		198

11.3Förutsättningarna för att göra undantag från förbudet mot att behandla känsliga personuppgifter med hänsyn

till ett viktigt allmänt intresse är uppfyllda.........................		200
11.3.1	Krav på skyddsåtgärder.........................................	200
11.3.2	Krav på nödvändighet ...........................................	202

10

SOU 2018:52	Innehåll
11.3.3 Krav på proportionalitet........................................	203
11.4 Krav på etisk prövning för behandling av uppgifter
om hälsa och personuppgifter som avslöjar etniskt
ursprung utan samtycke .......................................................	204

11.4.1Behandling tillåts om det finns uttryckligt

		samtycke eller etikgodkännande...........................	204
	11.4.2 Undantag från kravet på etisk prövning...............		206
12	Lagöverträdelser ......................................................		207
12.1	Behovet av att behandla uppgifter om lagöverträdelser......		207
12.2	Krav på etisk prövning för behandling av uppgifter
	om lagöverträdelser utan samtycke......................................		208
	12.2.1 Behandling tillåts om det finns uttryckligt
		samtycke eller etikgodkännande...........................	208
	12.2.2 Undantag från kravet på etisk prövning...............		210
13	Andra personuppgifter än känsliga personuppgifter
	och uppgifter om lagöverträdelser .............................		211
13.1	Behovet av att behandla andra personuppgifter..................		211
13.2	Behandling av andra personuppgifter i projekt
	som godkänts vid en etisk prövning ....................................		212
13.3	Utvidgad möjlighet till etisk prövning av projekt
	som endast innefattar andra uppgifter.................................		214
14	Skyddsåtgärder .......................................................		217
14.1	Krav på skydds- eller säkerhetsåtgärder ..............................		217
	14.1.1	Regleringen i dataskyddsförordningen ................	217
	14.1.2 Reglering i den föreslagna lagen ...........................		219
14.2	Ändamålsbestämning för varje projekt ...............................		221
	14.2.1	Krav på ändamålsbestämning................................	221

14.2.2Generellt formulerade ändamål

i registerförfattningar ............................................

222

14.2.3Registerförfattningar utan

ändamålsbestämmelser ..........................................	223
14.2.4 Finalitetsprincipen.................................................	228

11

Innehåll

SOU 2018:52

	14.2.5 Överväganden........................................................	228
14.3	Personuppgifter som får behandlas.....................................	233
14.4	Behandling som den registrerade invänder mot .................	234
14.5	Pseudonymisering ................................................................	238
14.6	Behörighetsstyrning .............................................................	240
15	Gallring och bevarande.............................................	243
15.1	Gällande rätt .........................................................................	243
15.2	Överväganden .......................................................................	245
16	Begränsning av skyddet mot betydande intrång
	i den personliga integriteten .....................................	247

17Möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter

till Myndigheten för vård- och omsorgsanalys..............	251
17.1 Inledning ...............................................................................	251

17.2Utlämnande av personuppgifter kan inte ske med stöd av undantaget för uppgifter som behövs

	för forskningsändamål..........................................................	252
17.3	Utlämnande av personuppgifter kan ske med stöd av
	undantaget för uppgifter som behövs
	för statistikändamål ..............................................................	253
17.4	Utlämnande av personuppgifter kan ske med stöd av
	undantaget för uppgifter som inte är direkt hänförliga
	till den enskilde.....................................................................	257
17.5	Det bör inte införas någon uppgiftsskyldighet
	för Socialstyrelsen och Statistiska centralbyrån..................	259
AVSLUTANDE DEL...........................................................		261
18	Ikraftträdande .........................................................	263

12

SOU 2018:52			Innehåll
19	Konsekvenser..........................................................		265
19.1	Inledning................................................................................		265
19.2	Uppdraget och de förslag som lämnas.................................		266
19.3	Alternativa lösningar och konsekvenser av
	att den föreslagna regleringen inte genomförs....................		267
19.4	Ekonomiska konsekvenser...................................................		267
19.5	Övriga konsekvenser enligt kommittéförordningen..........		269
19.6	Konsekvenser för den personliga integriteten ....................		270
20	Författningskommentar ............................................		271
20.1	Förslaget till lag om behandling av personuppgifter
	vid Myndigheten för vård- och omsorgsanalys...................		271
20.2	Förslaget till lag om ändring i lagen (2003:460) om
	etikprövning av forskning som avser människor ................		290
Referenser ......................................................................			291
Bilagor
Bilaga 1		Kommittédirektiv 2016:52 ...........................................	297
Bilaga 2		Kommittédirektiv 2017:67 ...........................................	309
Bilaga 3		Kommittédirektiv 2018:1 .............................................	311

13

Sammanfattning

SOU 2018:52

sådan att den i vissa situationer faller under den överenskommelsen. Behandlingen bör, på grund av sin karaktär, vidare kringgärdas av mer specifika restriktioner och skyddsåtgärder än som följer av den allmänna dataskyddsregleringen. Utredningen föreslår därför en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Lagens tillämpningsområde

Lagen ska vara tillämplig vid behandling av personuppgifter i verk- samhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Endast sådan behandling av personupp- gifter som är helt eller delvis automatiserad samt behandling av personuppgifter som ingår eller är avsedda att ingå i ett register (en strukturerad samling av personuppgifter som är tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier) ska omfattas.

Lagens bestämmelser om skyddsåtgärder ska tillämpas på uppgif- ter om både levande och avlidna personer.

Förhållandet till annan reglering

Den föreslagna lagen kompletterar de direkt tillämpliga bestämmel- serna i EU:s dataskyddsförordning. Dessutom gäller dataskydds- lagen, med generella kompletterande bestämmelser, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den.

Vid forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personupp- gifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, ska inte den föreslagna lagen gälla. Då ska myn- digheten i stället tillämpa etikprövningslagen.

16

SOU 2018:52

Sammanfattning

Krav på extern etisk prövning vid riskfyllda behandlingar utan samtycke

Myndigheten för vård- och omsorgsanalys har i uppdrag att göra analyser och uppföljningar inom flera sektorer och uppdraget kräver att flera sorters personuppgifter behandlas för olika konkreta ända- mål som i praktiken svårligen låter sig sammanfattas på ett sådant sätt att behandlingen kan begränsas på förhand genom lagstiftning. En ändamålsbestämmelse i lag med förutsättningar för att behand- ling ska få ske skulle därför behöva vara så allmänt hållen att man, enligt utredningens bedömning, inte kan överlåta åt myndigheten att själv tillämpa den i de fall det gäller mer integritetskänslig behandling av personuppgifter. Utredningen har därför kommit fram till att det bästa sättet att tillfredsställande reglera när myndigheten ska få utföra särskilt riskfyllda behandlingar är att föreskriva att det i varje enskilt fall ska göras en bedömning av en extern oberoende och kompetent instans. Med särskild riskfyllda behandlingar avses här behandling av känsliga personuppgifter och uppgifter om lagöver- trädelser samt behandling av personuppgifter i sådan omfattning att det, med hänsyn till den stora mängden personuppgifter, uppgift- ernas integritetskänsliga karaktär och behovet av att koppla samman uppgifterna, innebär en kartläggning av enskildas personliga förhåll- anden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör dock inte omfattas av ett krav på extern prövning, eftersom sådan behandling inte bedöms förknippad med samma risker för den personliga integriteten och då den registrerade själv genom sitt sam- tycke då förfogar över bedömningen.

Känsliga personuppgifter

Utredningen föreslår att myndighetens projekt som innefattar be- handling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung ska genomgå en extern etisk prövning. Behandling av känsliga personuppgifter med stöd av den registrerades uttryck- liga samtycke ska dock inte omfattas av kravet på etisk prövning. Utredningen föreslår därför en bestämmelse som innebär att känsliga

17

Sammanfattning

SOU 2018:52

personuppgifter får behandlas bara med stöd av uttryckligt samtycke eller, i fråga om uppgifter om hälsa eller personuppgifter som av- slöjar etniskt ursprung, om projektet har prövats och godkänts vid en etisk prövning. Behandling av uppgifter om hälsa eller person- uppgifter som avslöjar etniskt ursprung om färre än 100 personer i ett projekt behöver dock inte genomgå etisk prövning.

Uppgifter om lagöverträdelser

I vissa projekt kan det finnas behov av att behandla uppgifter om lagöverträdelser. Behov kan exempelvis uppstå i analyser av social- tjänstens arbete med unga lagöverträdare eller vårdpåföljder. Utred- ningen anser, trots att det inte finns något krav på särskilda skyddsåtgärder vid myndigheters behandling av uppgifter om lag- överträdelser enligt dataskyddsförordningen, att det är rimligt att även låta behandling av uppgifter om lagöverträdelser omfattas av kravet på extern etisk prövning. Om den registrerade har lämnat sitt samtycke till behandlingen av personuppgifter, ska någon sådan prövning dock inte krävas. Utredningen föreslår därför en bestäm- melse som innebär att uppgifter om lagöverträdelser får behandlas bara med stöd av samtycke eller om projektet har prövats och god- känts vid en etisk prövning. Behandling av uppgifter om lagöver- trädelser om färre än 100 personer i ett projekt behöver dock inte genomgå etisk prövning.

Behandling av andra personuppgifter i etikgodkända projekt

Det är utredningens uppfattning att en extern etisk prövning utgör en garanti för att samtlig behandling av personuppgifter, inte enbart behandling av känsliga personuppgifter och uppgifter om lagöver- trädelser, inom ett godkänt projekt är välgrundad och proportioner- lig. Har projektet vid prövningen ansetts motivera behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, är det också befogat att behandla andra personuppgifter i projektet. Ut- redningen föreslår därför en bestämmelse som innebär att andra personuppgifter än sådana som är känsliga personuppgifter eller uppgifter om lagöverträdelser får behandlas utan de registrerades

18

SOU 2018:52

Sammanfattning

samtycke i ett projekt, om projektet har prövats och godkänts vid en etisk prövning.

Möjlighet till etisk prövning för att ett projekt ska kunna genomföras

Vissa projekt kan omfatta enbart behandling av personuppgifter som inte är känsliga personuppgifter eller uppgifter om lagöverträdelser. Om behandlingen av dessa personuppgifter är så omfattande att den får anses innebära en kartläggning av enskildas personliga förhåll- anden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen, är den inte tillåten utan lagstöd. Utredningen föreslår därför att sådana projekt som myndigheten bedömer inte kan genomföras på grund av den nämnda bestämmelsen ska kunna genomgå en extern etisk prövning och att behandlingen av personuppgifterna ska vara tillåten om pro- jektet godkänns vid en sådan prövning.

Prövningen av etiska frågor

Utredningens föreslår i första hand att prövningen av myndighetens projekt ska göras av Etikprövningsmyndigheten eller Överklagande- nämnden för etikprövning. Utredningen finner att Etikprövnings- myndigheten och Överklagandenämnden för etikprövning har den sammansättning, kompetens och organisation som krävs för att hantera ansökningar om etikprövning. Om den etablerade etikpröv- ningsorganisationen inte anses lämplig, bör prövningen utföras av ett annat särskilt organ som är en statlig myndighet eller ett organ som är knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys. Det särskilda organet för prövning av etiska frågor bör ha företrädare för såväl det allmänna som forsk- ningen, och kompetens att pröva etiska frågeställningar.

Etikprövningsmyndighetens prövning av myndighetens projekt ska göras med tillämpning av etikprövningslagen på motsvarande sätt och utifrån motsvarande kriterier som vid bedömningen av projekt som avser forskning. I stället för att, som när det gäller forskning, väga riskerna mot det vetenskapliga värdet, ska myndig- heten väga riskerna med behandlingen av personuppgifter mot det

19

Sammanfattning

SOU 2018:52

samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. Om ett annat särskilt organ gör prövningen, ska ett projekt få godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Ett godkännande ska få förenas med villkor. Efter prövningen måste myndigheten följa de eventuella villkor som godkännandet förenats med samt övrig gäll- ande rätt. Regeringen föreslås få meddela föreskrifter om det sär- skilda organet.

Skyddsåtgärder

Ändamålsbestämning för varje projekt

Utredningen gör bedömningen att det inte är möjligt att för myn- dighetens verksamhet i lag fastställa tillräckligt avgränsade och förut- sägbara ändamål för den behandling av personuppgifter som ska vara tillåten. I stället för att i lagen ange ändamål föreslår utredningen därför att myndighetschefen ska besluta om särskilda ändamål för behandlingen av personuppgifter i varje enskilt uppföljnings- och analysprojekt. Utan ett sådant beslut ska personuppgifter inte få behandlas i uppföljnings- och analysverksamheten. Beslutet ska offentliggöras på lämpligt sätt.

Utredningen föreslår att för att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen beslutar om det. Innan beslut fattas måste beaktas att personuppgifter som har samlats in för ett visst ändamål i ett projekt får användas för andra ändamål bara om det är förenligt med tillämpliga regler, t.ex. den s.k. finalitetsprin- cipen och kravet på etisk prövning.

Personuppgifter som får behandlas

I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslår utredningen att myndighetschefen, utöver att fastställa särskilda ändamål för behandlingen av personuppgifter, för varje projekt även ska besluta om vilka kategorier av personuppgifter som

20

SOU 2018:52

Sammanfattning

får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte behandlas i verksamheten med uppföljning och analys. Beslutet ska offentliggöras på lämpligt sätt.

Pseudonymisering

Pseudonymiserade uppgifter är uppgifter som inte direkt kan hän- föras till en person men som kan återidentifieras med hjälp av kom- pletterande uppgifter som förvaras separat. Pseudonymisering nämns särskilt i artikel 25 och 32 i dataskyddsförordningen som ett exem- pel på en lämplig teknisk och organisatorisk åtgärd som den per- sonuppgiftsansvarige ska vidta.

Utredningen föreslår ett krav på pseudonymisering av de person- uppgifter som myndigheten behandlar inom ramen för den före- slagna lagen. Om ändamålet med behandlingen av personuppgifter i något fall inte kan uppnås med pseudonymiserade uppgifter, får myndighetschefen dock möjlighet att i ett enskilt fall besluta om att personuppgifter inte behöver pseudonymiseras. Efter pseudonymi- sering ska personuppgifter göras identifierbara igen endast om det finns starka skäl för detta. För att tydliggöra hanteringen ska myndighetschefen besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara. Myndig- hetschefen ska dessutom införa ett förbud mot att, i andra fall än de som uttryckligen framgår av de av myndighetschefen beslutade rikt- linjerna och villkoren, sammanföra pseudonymiserade personupp- gifter med personuppgifter som är direkt hänförliga till individer.

Behörighetsstyrning

Myndigheten ska begränsa behörigheten att ta del av personupp- gifter till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. För att det ska bli tydligt vad som gäller i fråga om behörighetstilldelning ska myndighetschefen bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter.

För att kunna upptäcka och åtgärda obehörig åtkomst som inte förhindrats av tekniska begränsningar ska åtkomsten till personupp- gifter registreras, lämpligen i en logg. Det ska med hjälp av loggen

21

Sammanfattning

SOU 2018:52

också finnas en funktion vid myndigheten som regelbundet kon- trollerar om någon obehörig åtkomst till personuppgifterna har före- kommit.

Gallring och bevarande

Personuppgifter ska, i enlighet med principen om lagringsmini- mering i artikel 5.1 e i dataskyddsförordningen, inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personupp- gifterna behandlas. Utredningen föreslår att myndigheten som huvud- regel ska gallra personuppgifter senast sex månader efter att ett projekt är slutfört. För eventuella behov av undantag från huvud- regeln föreslår utredningen att regeringen eller den myndighet som regeringen bestämmer (Riksarkivet) ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att gallring ska ske senast vid en viss tidpunkt.

Regeringen eller den myndighet regeringen bestämmer ska dess- utom ha möjlighet att besluta att personuppgifter som ingår i ett projekt som är slutfört – och som myndigheten därför är skyldig att gallra – ska få bevaras för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål.

Utlämnande av personuppgifter från Socialstyrelsen och Statistiska centralbyrån till Myndigheten för vård- och omsorgsanalys

För att kunna fullgöra sitt uppdrag behöver Myndigheten för vård- och omsorgsanalys samla in personuppgifter, även vissa känsliga per- sonuppgifter, från andra aktörer än den registrerade själv. Utred- ningen har haft i uppdrag att särskilt bedöma om myndigheten kan få nödvändiga personuppgifter från Socialstyrelsen och Statistiska centralbyrån. De aktuella personuppgifterna är hos Socialstyrelsen och Statistiska centralbyrån skyddade av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen, s.k. statistiksekretess. För person- uppgifterna gäller alltså som huvudregel absolut sekretess. Undantag

22

SOU 2018:52

Sammanfattning

gäller dock för uppgift som behövs för forsknings- eller statistik- ändamål och uppgift som inte genom namn, annan identitets- beteckning eller liknande förhållande är direkt hänförlig till den en- skilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Utredningen bedömer att Socialstyrelsen och Statistiska centralbyrån kan lämna ut nödvändiga personuppgifter till Myndigheten för vård- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för statistikändamål (24 kap. 8 § tredje stycket offentlighets- och sekre- tesslagen). Socialstyrelsen och Statistiska centralbyrån kan också, med stöd av samma bestämmelse, lämna ut personuppgifter som inte är direkt hänförliga till den enskilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. De berörda myndigheterna delar utredningens bedömningar. Eventuella hinder mot utlämnande kan vanligtvis lösas genom en dialog mellan utlämnande och mottagande myndighet. Utredningen lämnar således inte något författningsförslag i denna del.

Ikraftträdande

Utredningen föreslår att den nya lagstiftningen ska träda i kraft den 1 juli 2019. Några särskilda övergångsbestämmelser bedöms inte be- hövas.

Konsekvenser

Myndigheten för vård- och omsorgsanalys kan behöva vidta åtgärder för att anpassa verksamheten utifrån de föreslagna kraven på skydds- åtgärder och utbilda medarbetare. Eventuella kostnader för detta bedöms dock rymmas inom befintliga anslag. Inte heller kravet på etikprövning bedöms medföra någon ökad kostnad för myndig- heten.

Kravet på etikprövning medför att Etikprövningsmyndigheten kommer att pröva ett något ökat antal ansökningar om etikprövning och att Överklagandenämnden för etikprövning kan komma att få en marginell ökning av antalet ärenden. Förslagen bedöms dock inte medföra annat än en sådan marginell ökning av Etikprövnings-

23

Sammanfattning

SOU 2018:52

myndighetens och Överklagandenämnden för etikprövnings kost- nader att den ryms inom befintliga anslag, jämte de avgifter som får tas ut.

I övrigt förväntas förslagen inte få några negativa konsekvenser.

24

Författningsförslag

SOU 2018:52

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Vid forskning gäller lagen (2003:460) om etikprövning av forsk- ning som avser människor.

Ändamålsbestämning

3 § Myndighetschefen ska för varje projekt besluta om särskilda ändamål för behandlingen av personuppgifter och vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte behandlas.

För att personuppgifter som har samlats in för ett beslutat ända- mål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen beslutar om det.

Känsliga personuppgifter

4 § Sådana särskilda kategorier av personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i ett projekt bara

1.med de registrerades uttryckliga samtycken, med stöd av arti- kel 9.2 a i samma förordning, eller

2.såvitt avser uppgifter om hälsa eller personuppgifter som av- slöjar etniskt ursprung, om projektet har prövats och godkänts en- ligt 8 §, med stöd av artikel 9.2 g, h eller j i samma förordning.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ur- sprung om färre än 100 personer inte prövas och godkännas enligt 8 §.

26

SOU 2018:52

Författningsförslag

Uppgifter om lagöverträdelser

5 § Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden (uppgifter om lagöverträdelser) får behandlas i ett pro- jekt bara

1.med de registrerades samtycken, eller

2.om projektet har prövats och godkänts enligt 8 §.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om lagöverträdelser om färre än 100 personer inte prövas och godkännas enligt 8 §.

Övriga personuppgifter i godkända projekt

6 § När sådana personuppgifter som avses i 4 och 5 §§, efter pröv- ning och godkännande enligt 8 § får behandlas i ett projekt, får också andra personuppgifter behandlas utan de registrerades samtycken i projektet.

Prövning av projekt som inte innefattar känsliga personuppgifter eller uppgifter om lagöverträdelser

7 § Om myndigheten bedömer att ett projekt, som endast inne- fattar behandling av andra personuppgifter än sådana som avses i 4 och 5 §§, inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen, får personuppgifterna behandlas om projektet har prövats och godkänts enligt 8 §.

27

Författningsförslag

SOU 2018:52

Prövningen av etiska frågor
ALTERNATIV A						ALTERNATIV B
					8 §
Prövningen enligt 4 § 2, 5 § 2						Prövningen enligt 4 § 2, 5 § 2
och 7 § ska göras av Etikpröv-						och 7 § ska göras av ett särskilt
ningsmyndigheten				eller	Över-	organ för prövning av etiska
klagandenämnden				för etikpröv-		frågor som har företrädare för
ning. Vid prövning och god-						såväl det allmänna som forsk-
kännande	ska		bestämmelserna			ningen och som är en statlig myn-
om forskning			i	6–11 §§	lagen	dighet eller är knutet till en annan
(2003:460) om etikprövning av						statlig myndighet än Myndig-
forskning som avser människor						heten för vård- och omsorgs-
tillämpas	på	motsvarande sätt.				analys.
I fråga om		handläggningsord-

ningen för prövning och god- kännande samt om överklagande tillämpas bestämmelserna i 24– 33 samt 36 och 37 §§ samma lag.

Ett projekt får godkännas bara om behandlingen av personupp- gifter i projektet är nödvändig och om samhällsintresset av pro- jektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behand- lingen kan innebära. Ett godkän- nande får förenas med villkor.

Regeringen meddelar före- skrifter om organ som avses i första stycket.

28

SOU 2018:52

Författningsförslag

Skyddsåtgärder

9 § De personuppgifter som behandlas i ett projekt ska pseudo- nymiseras.

Myndighetschefen får för ett särskilt fall besluta om undantag från första stycket, i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara och förbud mot att i andra fall sammanföra sådana personuppgifter med personuppgifter som är direkt hänförliga till individer.

10 § Behörighet för åtkomst till personuppgifter ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna full- göra sina arbetsuppgifter.

Myndighetschefen ska bestämma villkoren för tilldelning av be- hörighet för åtkomst till personuppgifter. Åtkomsten till person- uppgifter ska registreras och det ska finnas en funktion vid myn- digheten som regelbundet kontrollerar registreringarna i syfte att upptäcka och åtgärda obehörig åtkomst.

Gallring

11 § Personuppgifter som behandlats i ett projekt ska gallras senast sex månader efter att projektet är slutfört, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat före- skrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 1 juli 2019.

29

Författningsförslag

SOU 2018:52

1.2Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor att 24 och 31 §§ ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
24 §1
Etikprövningsmyndigheten ska	Etikprövningsmyndigheten ska
pröva ansökningar som anges i	pröva
23 §.	1. ansökningar som anges i

23 §,

2. vissa frågor i samband med inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m., och

3. vissa frågor enligt lagen (2019:xx) om behandling av per- sonuppgifter vid Myndigheten för vård- och omsorgsanalys.

Myndigheten ska även pröva vissa frågor i samband med in- rättandet av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

31 §2

Överklagandenämnden för etikprövning ska pröva överklagan- den av sådana beslut av Etikprövningsmyndigheten som anges i 36 §.

Nämnden ska även pröva ären-	Nämnden ska även pröva ären-
den som Etikprövningsmyndig-	den som Etikprövningsmyndig-
heten har lämnat över enligt 29 §	heten har lämnat över enligt 29 §
och utöva tillsyn enligt 34 och	och utöva tillsyn enligt 34 och
35 §§. Nämnden har också till	35 §§. Nämnden har också till

1Senaste lydelse SFS 2018:147.

2Senaste lydelse SFS 2018:147.

30

SOU 2018:52

Författningsförslag

Denna lag träder i kraft den 1 juli 2019.

31

Författningsförslag

SOU 2018:52

1.3Förslag till förordning om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Härigenom föreskrivs följande.

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och om- sorgsanalys.

2 § Myndigheten för vård- och omsorgsanalys ska på lämpligt sätt offentliggöra sådana beslut om ändamål och begränsningar av vilka kategorier av personuppgifter om vilka kategorier av personer som får behandlas i ett visst projekt som avses i 3 § första stycket lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.

ALTERNATIV A

ALTERNATIV B

3 §

4 § Riksarkivet får meddela sådana föreskrifter och beslut i enskilda fall om gallring och bevarande som avses i 11 § lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vård- och om- sorgsanalys.

Denna förordning träder i kraft den 1 juli 2019.

32

Utredningsarbetet och betänkandet

SOU 2018:52

Statistiska centralbyrån. Prövningarna resulterade efter viss dialog mellan myndigheterna i bedömningen att uppgifterna kunde lämnas ut till Myndigheten för vård- och omsorgsanalys.

2.3Betänkandets disposition

Betänkandet är indelat i tre delar, förutom sammanfattningen, för- fattningsförslagen och detta kapitel.

Den första delen, som omfattar kapitel 3–6, innehåller en allmän bakgrund. Kapitel 3 innehåller en kort beskrivning av gällande rätt. I kapitel 4 finns det en beskrivning av Myndigheten för vård- och omsorgsanalys, dess arbetsuppgifter och arbetsmetoder. I kapitlet redogörs också för myndighetens behov av att behandla personupp- gifter. I kapitel 5 görs en översiktlig genomgång av andra analysmyn- digheter och deras författningsstöd för att behandla personuppgifter. I kapitel 6 redogörs för möjligheterna att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys.

I betänkandets andra del, kapitel 7–17, finns utredningens över- väganden och förslag. I kapitel 7 redovisas vilka möjligheter Myn- digheten för vård- och omsorgsanalys har att behandla personupp- gifter enbart med stöd av dataskyddsförordningen. I kapitel 8 finns utredningens överväganden om behovet av en lagreglering om be- handling av personuppgifter vid Myndigheten för vård- och om- sorgsanalys. Den nya lagens tillämpningsområde och förhållande till annan lagstiftning behandlas i kapitel 9. I kapitel 10–13 redogör ut- redningen för sina slutsatser kring behovet av reglering av behand- ling av känsliga personuppgifter, uppgifter om lagöverträdelser och övriga personuppgifter. Kapitel 10 innehåller en kort redogörelse för hur etikprövningen av myndighetens projekt är avsedd att gå till. Utredningens överväganden kring vilka skyddsåtgärder som behövs finns i kapitel 14. Gallring och bevarande berörs i kapitel 15. I kapi- tel 16 gör utredningen en bedömning av om lagförslaget utgör en tillåten begränsning av grundlagsskyddet mot betydande intrång i den personliga integriteten. Utredningens överväganden avseende Socialstyrelsens och Statistiska centralbyråns möjligheter att lämna ut personuppgifter till Myndigheten för vård-och omsorgsanalys finns i kapitel 17.

34

SOU 2018:52

Utredningsarbetet och betänkandet

Slutligen finns i betänkandets tredje del, kapitel 18–20, de av- slutande kapitlen. I kapitel 18 berörs ikraftträdande. Kapitel 19 inne- håller en beskrivning av konsekvenserna av utredningens förslag. Författningskommentarer finns i kapitel 20.

35

Gällande rätt

SOU 2018:52

ett fritt informationsflöde över gränserna. Tillämpningsområdet är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3).

Dataskyddskonventionen har sju kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande princi- perna för dataskydd. Konventionsstaterna ska vidta nödvändiga åt- gärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4). Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt sätt bara när det är lagligt och för sär- skilt angivna ändamål, att personuppgifterna ska vara relevanta med hänsyn till ändamålet och att personuppgifter ska vara riktiga och upp- daterade vid behov (artikel 5). Uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott får inte behandlas automatiserat, om inte den nationella lagen ger ett ända- målsenligt skydd (artikel 6). Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstör- else m.m. (artikel 7). Vidare föreskrivs bl.a. att alla som är regi- strerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).

De grundläggande principerna ger ett minimiskydd och bestäm- melserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd än det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat får dock, enligt artikel 12 i kapi- tel III, inte hindra gränsöverskridande överföring av personupp- gifter till en annan konventionsstat bara av skäl som rör integritets- skydd. Avvikelser kan göras även från minimiskyddet enligt data- skyddskonventionen under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter (artikel 9).

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

Dataskyddskonventionen är för närvarande föremål för en över- syn.

40

SOU 2018:52

Gällande rätt

3.3Dataskyddsdirektivet

Den allmänna regleringen om behandling av personuppgifter inom EU fanns tidigare i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Dataskydds- direktivet syftade till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gällde enskilda personers fri- och rättig- heter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet var direkt bindande för medlemsstaterna i fråga om det resultat som skulle uppnås. Medlemsstaterna be- stämde dock själva på vilket sätt dataskyddsdirektivet skulle inför- livas i den nationella lagstiftningen och defick, inom den ram som angavs i dataskyddsdirektivet, närmare precisera villkoren för när behandling av personuppgifter fick förekomma. Sådana preciseringar fick inte hindra det fria flödet av personuppgifter inom unionen.

Dataskyddsdirektivet upphörde att gälla den 25 maj 2018 i sam- band med att dataskyddsförordningen började tillämpas, se avsnitt 3.4.

En redogörelse för bestämmelserna i dataskyddsdirektivet finns i utredningens första betänkande, SOU 2017:66.

3.4Dataskyddsförordningen

3.4.1Inledning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen. Data- skyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och började tillämpas den 25 maj 2018. Den ersatte då dataskyddsdirektivet. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivi- sera skyddet för personuppgifter för att förbättra den inre mark- nadens funktion och öka enskildas kontroll över sina personuppgifter.

41

Gällande rätt

SOU 2018:52

Dataskyddsförordningen baseras till stor del på dataskyddsdirek- tivets struktur och innehåll men det har även tillkommit några ny- heter såsom en utökad informationsskyldighet, administrativa sank- tionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Data- skyddsförordningen är direkt tillämplig i medlemsstaterna, men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.

3.4.2Materiell och territoriell avgränsning

Dataskyddsförordningen är – precis som dataskyddsdirektivet – tillämplig på helt eller delvis automatiserad behandling av person- uppgifter och på manuell behandling av personuppgifter, om upp- gifterna ingår i eller kommer att ingå i ett register. Vissa behand- lingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet. Det rör sig om behandling som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och natio- nell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brotts- bekämpande verksamhet (artikel 2).

Behandlingar av personuppgifter som utförs inom brottsbekämp- ande verksamhet omfattas i stället av ett särskilt EU-direktiv, Europa- parlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myn- digheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de behand- lar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3).

42

SOU 2018:52

Gällande rätt

3.4.3Definitioner

Dataskyddsförordningen innehåller i artikel 4 en rad definitioner av olika begrepp som används i dataskyddsförordningen. Här anges några av definitionerna.

Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person (kallad registrerad). Som identifikatorer anges förutom namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer även en eller flera faktorer som är speci- fika för den fysiska personens fysiska, fysiologiska, genetiska, psy- kiska, ekonomiska, kulturella eller sociala identitet.

Behandling (av personuppgifter) är en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av per- sonuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utläm- ning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller för- störing.

Profilering är varje form av automatisk behandling av person- uppgifter som består i att dessa personuppgifter används för att be- döma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetspresta- tioner, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Register är en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centra- liserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensam eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter. Om ändamålen och medlen för behand- lingen lagts fast i medlemsstaternas nationella rätt, får den nationella rätten också peka ut vem som är personuppgiftsansvarig.

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personupp- gifter för den personuppgiftsansvariges räkning.

43

Gällande rätt

SOU 2018:52

Samtycke är varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar be- handling av personuppgifter som rör honom eller henne.

Personuppgiftsincident är en säkerhetsincident som leder till oav- siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Genetiska uppgifter är alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

Biometriska uppgifter är personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysio- logiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.

Uppgifter om hälsa är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

3.4.4Grundläggande principer

För all behandling av personuppgifter enligt dataskyddsförordningen gäller samma övergripande principer som enligt dataskyddsdirekti- vet (artikel 5). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Personuppgifterna ska vara riktiga – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Personuppgifter kan dock under vissa förutsättningar lagras under längre perioder i den mån som uppgift- erna enbart behandlas för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål.

44

SOU 2018:52

Gällande rätt

Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som strider mot det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artikel 5.1 b och 6.4). Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen bör det inte krävas någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.

3.4.5Laglig behandling av personuppgifter

För att en behandling av personuppgifter över huvud taget ska vara tillåten, krävs på samma sätt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor måste vara uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutligen behand- las med stöd av en intresseavvägning. En nyhet är dock att behand- ling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter inte får ske med stöd av en intresseavvägning.

Om behandling av personuppgifter ska ske med stöd av samtycke från den registrerade, krävs att samtycket är frivilligt. Det ska också vara tydligt vad samtycket avser och det ska ha föregåtts av informa- tion från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom konkludent handlande och kan när som helst tas tillbaka (artikel 7).

Grunden för sådan behandling av personuppgifter som är nöd- vändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av all- mänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3). Det inne-

45

Gällande rätt

SOU 2018:52

bär att det inte – till skillnad från vad som tidigare gällt enligt data- skyddsdirektivet och personuppgiftslagen – kommer att vara möjligt att endast stödja sig på den generella regleringen i dataskyddsför- ordningen vid sådan behandling.

Ytterligare ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig för- pliktelse ska fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e gäller i stället att syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Denna möjlighet ger utrymme för s.k. registerlagstiftning för bl.a. myndigheter.

3.4.6Känsliga personuppgifter och uppgifter om lagöverträdelser

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Av dessa kategorier av uppgifter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till data- skyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas känsliga personuppgifter.

Från huvudregeln att känsliga personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Känsliga personuppgifter kan t.ex. behandlas med stöd av samtycke eller för att uppgifterna på ett tydligt sätt har offentliggjorts av den registrerade. De kan också behandlas för att skyldigheter och rättigheter ska kunna tillvaratas

46

SOU 2018:52

Gällande rätt

inom arbetsrätten i den omfattning detta är tillåtet enligt unions- rätten, nationell rätt eller kollektivavtal. Samma sak gäller på områ- dena social trygghet och socialt skydd, vilket är nytt i förhållande till dataskyddsdirektivet. Behandling av känsliga personuppgifter är vidare tillåten om den är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ett annat undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar. Känsliga personupp- gifter kan också behandlas i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsstaternas nationella rätt, under förutsättning att uppgift- erna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Dataskyddsförordningen tillåter även behandling av hänsyn till ett viktigt allmänt intresse, av skäl av allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål, på grundval av EU-rätten eller medlemsstaternas nationella rätt. Vill- koret att nödvändig behandling av känsliga personuppgifter inom hälso- och sjukvård ska ske på grundval av EU-rätt eller nationell lagstiftning är nytt i förhållande till dataskyddsdirektivet. Det har inte heller, såsom dataskyddsdirektivet tolkats i Sverige, tidigare funnits något krav på att känsliga personuppgifter inom hälso- och sjukvården ska behandlas under ansvar av någon som omfattas av tystnadsplikt. Vidare har undantagen för allmänt intresse på folk- hälsoområdet och för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål inte tidigare uttryckligen framgått av dataskyddsdirektivet.

Medlemsstaterna har möjlighet att komplettera dataskyddsför- ordningen med ytterligare villkor, även begränsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhäng- ande säkerhetsåtgärder måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning. Till skillnad från vad som

47

Gällande rätt

SOU 2018:52

gäller enligt dataskyddsdirektivet omfattas inte friande brottmåls- domar av denna begränsning. Det finns inte heller någon reglering avseende administrativa frihetsberövanden (artikel 10).

3.4.7Den registrerades rättigheter

Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande infor- mation från den personuppgiftsansvarige. Informationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur personuppgift- erna kommer att användas. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnads- plikt (artikel 12–14).

Den informationsskyldighet som framgår av dataskyddsförord- ningen är betydligt mer omfattande än den som föreskrevs i data- skyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a. att om den personuppgiftsansvarige avser att behandla personupp- gifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig relevant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett samtycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska läm- nas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt data- skyddsdirektivet, att informationen ska lämnas vid tiden för regi- streringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kommu- nikationen med den registrerade (artikel 13 och 14).

48

SOU 2018:52

Gällande rätt

Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, be- griplig och lättillgänglig.

Den registrerade kan också begära registerutdrag med informa- tion om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få fel- aktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering eller rätten att bli bortglömd följer av artikel 17 och är betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirekti- vet. Det finns vissa undantag till bestämmelsen. Bland annat gäller den inte för behandling som sker med stöd av grunderna i arti- kel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt in- tresse eller som ett led i myndighetsutövning). Det finns också undantag för bl.a. arkivändamål.

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottagare (artikel 19).

Personuppgifter som den registrerade har tillhandahållit den per- sonuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, all- mänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myn- dighetsutövning som utförs av den personuppgiftsansvarige.

Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behand- lingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till data- skyddsdirektivet. Om den registrerade invänder mot behandling av personuppgifter får den personuppgiftsansvarige inte längre be- handla uppgifterna, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades in- tressen, rättigheter och friheter eller om det sker för fastställande,

49

Gällande rätt

SOU 2018:52

utövande eller försvar av rättsliga anspråk. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behand- ling av hans eller hennes personuppgifter. Detta gäller om inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i arti- kel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestäm- melser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.

En ytterligare rättighet för den registrerade är att slippa bli före- mål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt EU-rätt eller nationell rätt som också fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller om beslutet grundar sig på den registrerades uttryckliga samtycke.

Dataskyddsförordningen lämnar ett förhållandevis stort hand- lingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom be- stämmelser i sin lagstiftning begränsa omfattningen av de skyldig- heter och rättigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. nationell säkerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har

50

SOU 2018:52

Gällande rätt

samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller sta- tistiska ändamål, får det i EU-rätten eller i medlemsstaternas natio- nella rätt föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begräns- ning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av person- uppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett (artikel 89).

3.4.8Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter

Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fast- ställa sina respektive ansvarsområden om dessa inte fastställs genom rättslig reglering (artikel 26).

Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska hanteringen regleras genom avtal eller motsvarande rättsakt. Per- sonuppgiftsbiträdet får endast behandla personuppgifter på instruk- tion från den personuppgiftsansvarige, såvida en skyldighet att behandla uppgifter inte framgår av EU-rätten eller nationell rätt (artikel 28 och 29).

Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lär inte behöva uppfylla definitionen i artikel 4, men registret ska innehålla kontakt- uppgifter, upplysning om ändamål med behandlingen, en beskriv- ning av kategorier av registrerade och kategorier av personuppgifter, upplysning om eventuella mottagare av uppgifterna, eventuell över- föring till tredjeland, tidsfrister för radering och en allmän beskriv-

51

Gällande rätt

SOU 2018:52

ning av tekniska och organisatoriska säkerhetsåtgärder. Det är följ- aktligen inte längre dataskyddsombudets arbetsuppgift att upprätta en förteckning över behandlingar (jämför artikel 39 och personupp- giftsombudets tidigare uppgifter enligt artikel 18 i dataskyddsdirek- tivet).

Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till eventuella risker (arti- kel 32). Detta innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förut- sättning att EU-rätten eller nationell rätt inte ålägger personen att behandla uppgifterna.

En nyhet i dataskyddsförordningen är att personuppgiftsinci- denter inom 72 timmar ska anmälas till tillsynsmyndigheten. Den personuppgiftsansvarige är också skyldig att dokumentera alla person- uppgiftsincidenter (artikel 33). Även den registrerade ska i vissa fall få information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (arti- kel 34).

För att minska risker med behandling av personuppgifter inne- håller dataskyddsförordningen dessutom bestämmelser om konse- kvensbedömningar och förhandssamråd med tillsynsmyndigheten, som ska tillämpas om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35 och 36).

3.4.9Dataskyddsombud

Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, måste enligt dataskyddsförordningen utnämna dataskyddsombud (artikel 37). Kravet på att ha ett data- skyddsombud omfattar i vissa fall även andra personuppgiftsansva- riga och personuppgiftsbiträden. Ett dataskyddsombud ska i dessa fall utnämnas om en kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska också utnämnas om en kärn-

52

SOU 2018:52

Gällande rätt

verksamhet består av behandling i stor omfattning av känsliga person- uppgifter och personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Att det i vissa fall krävs att ett dataskyddsombud utses är en nyhet.

Ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra arbetsuppgif- terna. Arbetsuppgifterna ska utföras självständigt, utan instruktioner från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Som en följd av detta ska data- skyddsombudet också, när det gäller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfi- dentialitet. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Rapporteringen ska ske direkt till den högsta förvaltningsnivån (artikel 38).

Dataskyddsombudet ska informera och ge råd till berörda samt övervaka efterlevnaden av dataskyddsbestämmelser. Dataskydds- ombudet ska också samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet (artikel 39).

3.4.10Överföring av personuppgifter till tredjeland

Personuppgifter får överföras till tredjeland eller en internationell organisation endast under vissa förutsättningar. En sådan förut- sättning är om kommissionen har beslutat att tredjelandet, ett terri- torium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen säkerställer en adekvat skydds- nivå (artikel 45). I avsaknad av ett beslut från kommissionen får personuppgifter överföras till tredjeland eller en internationell orga- nisation efter att lämpliga skyddsåtgärder vidtagits och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga (artikel 46). Därutöver anges i data- skyddsförordningen ett antal förhållanden som kan grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49).

53

Gällande rätt

SOU 2018:52

3.4.11Tillsynsmyndigheter

Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillämp- ningen av dataskyddsförordningen (artikel 51). Tillsynsmyndigheten och dess ledamöter ska vara oberoende (artikel 52–54) och behörig- heten att utföra uppgifter ska vara begränsad till vad som framgår av dataskyddsförordningen (artikel 55–57). I form av utredningsbefog- enheter kan tillsynsmyndigheten bl.a. kräva information som behövs för att myndigheten ska kunna fullgöra sina uppgifter, genomföra undersökningar och få tillgång till lokaler. Tillsynsmyndigheten har också korrigerande befogenheter som bl.a. består av att utfärda var- ningar, reprimander, förelägganden, införa förbud mot behandling och påföra administrativa sanktionsavgifter. Dessutom kan tillsyns- myndigheter utfärda tillstånd och ge råd (artikel 58).

Tillsynsmyndigheter ska samarbeta med varandra, utbyta relevant information och ge varandra bistånd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).

3.4.12När uppgifter behandlas

i strid med dataskyddsförordningen

En registrerad som anser att behandling av personuppgifter avseende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad från vad som tidigare varit möjligt enligt dataskyddsdirek- tivet – kunna lämna klagomål till tillsynsmyndigheten och få ett överklagbart beslut (artikel 77 och 78). Den registrerade ska också kunna väcka talan i domstol mot den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 79).

Den som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till skadestånd (artikel 82). Ett skadeståndsanspråk kan, i likhet med vad som gäller enligt dataskyddsdirektivet, riktas mot den personuppgiftsansvarige. Under vissa förutsättningar kan dock skadeståndsanspråk begäras även av ett personuppgiftsbiträde, vilket är nytt i förhållande till vad som gällt tidigare.

Tillsynsmyndigheten ska enligt en annan nyhet i dataskyddsför- ordningen kunna påföra s.k. administrativa sanktionsavgifter (arti- kel 83). Två olika kategorier av överträdelser – uppdelade utifrån

54

SOU 2018:52

Gällande rätt

bestämmelser som föreskriver rättigheter och skyldigheter – föran- leder två olika maxbelopp (artikel 83.4 och 83.5). Medlemsstaterna får själva bestämma i vilken utsträckning myndigheter ska kunna på- föras administrativa sanktionsavgifter.

Medlemsstaterna ska vidare fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträdel- ser som inte är föremål för administrativa sanktionsavgifter (arti- kel 84).

3.4.13Konkurrens med andra rättigheter

Medlemsstaterna ska i lag förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska med- lemsstaterna fastställa undantag eller avvikelser från stora delar av dataskyddsförordningen om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2).

Personuppgifter i allmänna handlingar får lämnas ut av myndig- heter i enlighet med nationell rätt (artikel 86).

3.4.14Övrigt

Medlemsstaterna får själva bestämma hur ett nationellt identifika- tionsnummer (personnummer) får behandlas, med beaktande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen (artikel 87).

För behandling av personuppgifter i anställningsförhållanden, får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av anställdas rättigheter och friheter (arti- kel 88).

Dataskyddsförordningen innehåller också bl.a. bestämmelser om uppförandekoder och certifiering (artikel 40–43), mekanismer för en enhetlig tillämpning av dataskyddsförordningen (artikel 63–67) och Europeiska dataskyddsstyrelsens ställning och arbetsuppgifter (artikel 68–76).

55

Gällande rätt

SOU 2018:52

3.5Regeringsformen

3.5.1Skydd för den personliga integriteten

I regeringsformen finns grundläggande bestämmelser till skydd för den personliga integriteten. Redan i målsättningsstadgandet i 1 kap. 2 § regeringsformen slås fast att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Av 2 kap. 6 § andra stycket regeringsformen framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den per- sonliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden.

Uttrycket enskildas personliga förhållanden avses enligt för- arbetena ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Det innebär att regler- ingen i 2 kap. 6 § andra stycket regeringsformen kan komma att omfatta vitt skilda slag av information som är knuten till den en- skildes person, t.ex. uppgifter om namn och andra personliga identi- fikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av uttrycket. I enlighet med vad som framgår av förarbetena till 1980 års sekretesslag (1980:100) torde även en uppgift om en persons eko- nomi omfattas av uttrycket personliga förhållanden.1

Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt förarbetena inte dess huvudsakliga syfte utan vilken effekt åtgärden har.2 Som exempel anges att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, många gånger kan anses innebära kartläggning av enskildas förhållanden. Detta oaktat att avsikten med åtgärden inte är att kartlägga enskilda. Det konstateras vidare att det förekommer myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering inom i stort sett all statlig och kommunal förvalt- ning och att informationshanteringen i många fall finns särskilt reglerad. Enligt propositionen får uppgifterna i flertalet fall anses

1Prop. 2009/10:80 s. 177.

2Prop. 2009/10:80 s. 250.

56

SOU 2018:52

Gällande rätt

tillgängliga för myndigheterna på sådant sätt att lagringen och be- handlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.3 Som exempel på kartläggning angav Integritetskommittén i sitt betänkande hantering av uppgifter om den enskildes hälsa i pati- entjournaler och hälsodataregister eller inom ramen för forskning i det allmännas regi.4

Vad som utgör ett betydande intrång får enligt förarbetena av- göras utifrån bl.a. uppgifternas karaktär och omfattning. En hantering av känsliga uppgifter kan innebära ett betydande intrång i den per- sonliga integriteten även om det rör sig om ett fåtal uppgifter.

Åandra sidan kan mängden uppgifter i sig vara en betydelsefull faktor i sammanhanget. Även ändamålet med behandlingen är av vikt för att avgöra om det rör sig om ett betydande intrång. En hantering som syftar till att utreda brott anses i förarbetena normalt vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Omfattningen av utlämnande av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan också vara av bety- delse vid bedömningen.5

3.5.2Begränsning av skyddet för den personliga integriteten

Skyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut och kan under vissa förut- sättningar begränsas med hänsyn till andra motstående intressen. En begränsning måste dock enligt 2 kap. 20 § regeringsformen ske genom lag och får enligt 2 kap. 21 § regeringsformen göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbild- ningen såsom en av folkstyrelsens grundvalar. Begränsningen får

3Prop. 2009/10:80 s. 180 f. Det kan dock noteras att Informationshanteringsutredningen i SOU 2015:39 s. 198 ff. argumenterar för att det inte är helt självklart att bestämmelser i re- gisterförfattningar alltid måste anses utgöra sådan reglering som medför ett betydande intrång i den personliga integriteten.

4SOU 2008:3 s. 271.

5Prop. 2009/10:80 s. 183 f.

57

Gällande rätt

SOU 2018:52

inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Regleringen avser enligt förarbetena att understryka kravet på att lagstiftaren, när en fri- och rättighetsinskränkande lag beslutas, noga redovisar sina syften.6 Eftersom begränsningen inte får gå utöver vad som är nödvändigt med hänsyn till ändamålet, måste ett lagstift- ningsarbete som påverkar skyddet av den personliga integriteten inkludera en integritetsanalys. Det intrång som sker i den enskildes personliga integritet måste vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Det är endast tillåtet med lagar som inskränker integritetsskyddet om det inte finns några mindre integritetskänsliga alternativ och det intresse som ska tillgodoses är så starkt att det väger över intresset av skydd för den personliga integriteten. I förarbetena framfördes en förväntan på att kravet på att lagstiftaren tydligt redovisar vilka avvägningar som gjorts vid proportionalitetsbedömningen skulle medföra att avvägningarna i fråga om integritetsintrånget skulle bli mer ingående belysta och presenteras på ett sådant sätt att kvaliteten i lagstiftningen skulle höjas ytterligare.7

Det är således bara genom (svensk) lag som skyddet enligt 2 kap. 6 § andra stycket regeringsformen kan inskränkas. Den rätt att behandla personuppgifter som följer av den i Sverige direkt tillämp- liga dataskyddsförordningen gör alltså inte att myndigheter får be- handla personuppgifter i strid med 2 kap. 6 § andra stycket reger- ingsformen.

3.5.3Intrång i den personliga integriteten

Många förarbeten till författningar och enstaka bestämmelser rörande behandling av personuppgifter som beslutats före 2011, då 2 kap. 6 § andra stycket regeringsformen började gälla, innehåller inte en grund- lig analys av om regleringen kan förväntas orsaka ett betydande intrång i den personliga integriteten. Även om slutsatsen ofta är att regleringen av myndigheters behandling av personuppgifter ska ske i lag, är det resonemang som leder fram till det inte sällan summariskt och mynnar många gånger ut i en hänvisning till en överenskommelse

6Prop. 1975/76:209 s. 153.

7Prop. 2009/10:80 s. 177.

58

SOU 2018:52

Gällande rätt

mellan regering och riksdag från början av 1990-talet. Överens- kommelsen framgår av de förarbeten som följde på Data- och offentlighetskommitténs betänkande. Kommittén hade behandlat frågor om författningsreglering av personregister och med anledning av detta konstaterat att register med kvalificerat känsliga person- uppgifter kräver speciallagstiftning.8 I det efterföljande lagstiftnings- arbetet uttalade regeringen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras sär- skilt i lag.9 Konstitutionsutskottet ställde sig bakom detta ställnings- tagande.10 Dessa uttalanden har senare vid åtskilliga tillfällen åbe- ropats i lagstiftningsärenden som vägledande för att välja lagform för registerförfattningsreglering. Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndig- heters behandling av personuppgifter i stort.11

Ett exempel på ett lagstiftningsärende som regeringen ansett innefattat sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen är kustbevakningsdatalagen (2012:145). Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndig- hetsutövning som ingår i myndighetens uppdrag samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten, ansåg regeringen att stora delar av Kustbevakningens behandling av personuppgifter innefattar sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen.12

Även Utredningen om personuppgiftsbehandlingen vid ISF kom, i sitt betänkande med förslag till en lag om behandling av person- uppgifter inom verksamheten för Inspektionen för socialförsäk- ringen, fram till att regleringen skulle medföra en sådan kartläggning av enskildas personliga förhållanden och sådana betydande intrång i den personliga integriteten som enligt 2 kap. 6 § andra stycket och 20 § första stycket 2 regeringsformen behöver ha stöd i lag. Som skäl angavs dels arten av den verksamhet som Inspektionen för social- försäkringen bedriver, där det finns behov av att behandla ett stort

8SOU 1987:31 s. 161 f.

9Prop. 1990/91:60 s. 58.

10Bet. 1990/91:KU11 s. 11.

11Se t.ex. prop. 1997/98:44 s. 41, bet. 1997/98:KU18 s. 43, prop. 1999/2000:39 s. 78 och 2009/10:80 s. 183 f.

12Prop. 2011/12:45 s. 62.

59

Gällande rätt

SOU 2018:52

antal personuppgifter, inklusive känsliga sådana och personuppgifter om lagöverträdelser m.m., dels att personuppgifter behöver samman- kopplas och att dessa behandlingar normalt sker utan att den en- skilde själv får kännedom om dem eller kan lämna sitt godkännande. Till detta kom att personuppgifterna kan komma att sparas under avsevärd tid.13

Ett exempel på motsatt bedömning är när regeringen i förarbet- ena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering konstaterade att den behandling av personuppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har behov av att utföra för att fullgöra sitt uppdrag i sig inte kan anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag, särskilt mot bakgrund av att behandlingen till så stor del avser avidentifierade personuppgifter för forskningsändamål. Avgörande för att välja lag- form blev därför den överenskommelse mellan regering och riksdag som nämns ovan.14

En annan bedömning i förhållande till 2 kap. 6 § regeringsformen gjorde Informationshanteringsutredningen som i sitt betänkande med förslag till myndighetsdatalag menade att det är i rena undan- tagsfall som behandling av personuppgifter hos icke brottsbekämp- ande myndigheter kan anses innehålla några särskilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten och därför omfattas av grundlagsstadgan- det.15 Det kan noteras att Datainspektionen har ifrågasatt denna be- dömning.16

Innan man prövar om ett förslag till reglering utgör ett betydande intrång i den personliga integriteten och omfattas av grundlags- skyddet i 2 kap. 6 § andra stycket regeringsformen, kan det finnas skäl att analysera om de föreslagna bestämmelserna över huvud taget medför ett intrång. Behandling av personuppgifter med stöd av samtycke, som undantas i 2 kap. 6 § andra stycket regeringsformen, torde exempelvis inte anses utgöra samma integritetsintrång som behandling som sker utan att den registrerade tillfrågas. För att en

13SOU 2014:67 s. 89.

14Prop. 2011/12:176 s. 19 f.

15SOU 2015:39 s. 206 ff.

16Datainspektionens yttrande, dnr 1125-2015.

60

SOU 2018:52

Gällande rätt

reglering av behandling av personuppgifter ska anses utgöra ett intrång i den personliga integriteten måste regleringen rimligen avse en åtgärd som i någon mån inskränker den enskildes möjligheter att själv bestämma över sina personuppgifter. En reglerad skyldighet att behandla personuppgifter, exempelvis en föreskrift om att en myn- dighet ska föra ett visst register med personuppgifter eller att upp- gifter ska lämnas från en personuppgiftsansvarig till en annan får alltid anses medföra ett visst intrång i enskildas personliga integritet. Skyldigheten att behandla vissa personuppgifter innebär att den registrerade inte själv kan påverka behandlingen eller omfattningen av densamma. Även en tillåtande bestämmelse som innebär att en myndighet får möjlighet att utföra en viss behandling av personupp- gifter som annars skulle ha varit otillåten, får anses medföra ett intrång i enskildas personliga integritet. I och med att behandlingen av personuppgifter har gjorts tillåten, tvingas den enskilde finna sig i eventualiteten att hans eller hennes personuppgifter behandlas utan att samtycke först inhämtas.

Integritetsskyddskommittén, som lämnade förslaget till grundlags- bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i han- teringen handlar om hur uppgifter om enskilda får samlas in, ända- målet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl.17 Bestämmelser om direktåtkomst till personuppgifter hos en annan personuppgifts- ansvarig liksom de sekretessbrytande bestämmelser som krävs för att direktåtkomst ska kunna tillåtas, får genomgående anses medföra intrång i den personliga integriteten. Samma sak gäller bestämmelser som medger utökade befogenheter att sammanställa personupp- gifter. Bestämmelser som inte föranleder behandling av personupp- gifter utan i stället begränsar den personuppgiftsansvariges möjligheter att behandla personuppgifter, t.ex. i form av olika skyddsåtgärder, kan däremot inte i sig anses medföra intrång i den personliga integriteten. Bestämmelser om begränsning av åtkomst till person- uppgifter, krav på behörighetstilldelning och krav på pseudonymi- sering av personuppgifter skapar självständigt ingen möjlighet till

17SOU 2008:3 s. 272.

61

Gällande rätt

SOU 2018:52

behandling av personuppgifter utan utgör snarare regler om skydd för den enskildes personliga integritet.

3.6Personuppgiftslagen

Dataskyddsdirektivet genomfördes i Sverige genom personuppgifts- lagen (1998:204) och ett antal andra författningar som komplet- terade personuppgiftslagen eller innehöll särreglering i förhållande till personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 ok- tober 1998 och ersatte den tidigare gällande datalagen (1973:289). Per- sonuppgiftslagen upphävdes i anslutning till att dataskyddsförord- ningen började tillämpas den 25 maj 2018.

En redogörelse för bestämmelserna i personuppgiftslagen finns i utredningens första betänkande, SOU 2017:66.

3.7Dataskyddslagen

Lagen med kompletterande bestämmelser till EU:s dataskyddsförord- ning (2018:218), dataskyddslagen, trädde i kraft den 25 maj 2018. Vid samma tidpunkt upphävdes personuppgiftslagen.

Dataskyddsförordningen är direkt tillämplig i Sverige, vilket innebär begränsade möjligheter att införa och behålla nationella bestämmelser om dataskydd.18 Dataskyddsförordningen förutsätter och medger dock nationella bestämmelser som kompletterar och föreskriver undantag från förordningens regler. I vissa fall tillåter också dataskyddsförordningen att förordningens regler specificeras i nationell rätt. Svenska bestämmelser som kompletterar dataskydds- förordningen och är av generell karaktär har samlats i den nya övergripande dataskyddalagen. Termer och uttryck i dataskydds- lagen har samma betydelse som i dataskyddsförordningen.

Dataskyddslagen innehåller bestämmelser om utvidgad tillämp- ning av bestämmelserna i dataskyddsförordningen. Av 1 kap. 2 och 3 §§ dataskyddslagen framgår att bestämmelserna i dataskydds- förordningen och dataskyddslagen ska gälla även i verksamhet utan- för unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Undantag gäller

18Prop. 2017/18:105 s. 21 f.

62

SOU 2018:52

Gällande rätt

dock för verksamhet som omfattas av lagen (2007:258) om behand- ling av personuppgifter i Försvarsmaktens försvarsunderrättelse- verksamhet och militära säkerhetstjänst, lagen (2007:259) om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrätt- else- och utvecklingsverksamhet eller 6 kap. polisdatalagen (2010:361). Dataskyddslagen är dock subsidiär i förhållande till annan lag eller förordning (1 kap. 6 § dataskyddslagen). Det möjliggör avvikande bestämmelser i registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område. Dataskydds- lagens inledande kapitel innehåller också bestämmelser om lagens territoriella tillämpningsområde, förhållandet till tryck- och yttrande- friheten och tystnadsplikt för personuppgiftsombud.

I dataskyddslagens andra kapitel finns bestämmelser som förtyd- ligar när behandling av personuppgifter är laglig med stöd av data- skyddsförordningen. Av skäl 41 till dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden för behandling av personuppgifter inte måste fastställas i en av riksdagen beslutad lag, men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller arbetsuppgifter av allmänt intresse har preciserats i 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får person- uppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförord- ningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En bestämmelse som är ny i förhållande till tidigare lagstiftning är att ett barn som är minst 13 år kan samtycka till be- handling av personuppgifter i samband med användning av informa- tionssamhällets tjänster, t.ex. sociala medier.

I tredje kapitlet finns kompletterande bestämmelser om behand- ling av särskilda kategorier av personuppgifter. I dataskyddslagen benämns sådana uppgifter känsliga personuppgifter (3 kap. 1 § data- skyddslagen). Kapitlet innehåller också bestämmelser om behandling av personuppgifter som rör lagöverträdelser samt personnummer och samordningsnummer.

Användningsbegränsningar för personuppgifter som behandlas för arkivändamål och statistiska ändamål finns i 4 kap. dataskydds- lagen.

63

Gällande rätt

SOU 2018:52

Begränsningar av vissa rättigheter och skyldigheter i dataskydds- förordningen finns i dataskyddslagenslagens femte kapitel. Bestäm- melserna i artiklarna 13–15 i dataskyddsförordningen om informa- tion och rätt att få tillgång till personuppgifter gäller inte uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet gäller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretess- lagen (5 kap. 1 § dataskyddslagen). Bestämmelsen i dataskyddsför- ordningen om den registrerades rätt till tillgång till personuppgifter

m.m.gäller inte personuppgifter i löpande text som utgör utkast eller minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje part, om uppgifterna be- handlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller om de har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning (5 kap. 2 § dataskyddslagen). Regeringen får meddela ytterligare föreskrifter om begränsningar enligt dataskyddsförordningen (5 kap. 3 § dataskydds- lagen).

Dataskyddslagens sjätte kapitel innehåller bestämmelser om till- synsmyndighetens handläggning och beslut. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen gäller vid myndighetens tillsyn över att bestämmelserna i dataskyddslagen och andra före- skrifter som kompletterar förordningen följs. Det finns också närmare bestämmelser om sanktionsavgifter vid överträdelse av dataskydds- förordningen.

I det sjunde och avslutande kapitlet finns bestämmelseser som rör skadestånd och överklagande. Av 7 kap. 1 § dataskyddslagen framgår att rätten till ersättning från den personuppgiftsansvarige eller per- sonuppgiftsbiträdet enligt artikel 82 i dataskyddsförordningen gäller vid överträdelser av bestämmelser i dataskyddslagen och andra före- skrifter som kompletterar dataskyddsförordningen, dvs. även andra registerförfattningar.

64

Myndigheten för vård- och omsorgsanalys

SOU 2018:52

vissa funktionshindrade med flera författningar. I samband med att uppdraget utvidgades fick myndigheten sitt nuvarande namn.

Myndigheten för vård- och omsorgsanalys har enligt 1 § förord- ningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys till uppgift att ur ett patient-, brukar-, och med- borgarperspektiv följa upp och analysera verksamheter och förhåll- anden inom hälso- och sjukvård, tandvård och omsorg. Av 2 och 3 §§ samma förordning framgår att uppgiften mer specifikt innebär att myndigheten ska

•följa upp och analysera vårdens och omsorgens funktionssätt,

•effektivitetsgranska statliga åtaganden och verksamheter,

•inom sitt verksamhetsområde bistå regeringen med underlag och rekommendationer för effektivisering av statlig verksamhet och styrning,

•kontinuerligt utvärdera sådan information om vården och om- sorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet,

•på regeringens uppdrag bistå med utvärderingar och uppfölj- ningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt

•inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser.

Myndighetens uppgift beskrivs något mer utförligt i direktiven till den organisationskommitté som hade i uppdrag att förbereda och genomföra bildandet av myndigheten. I direktiven2 uttalade reger- ingen följande.

Den nya myndighetens ansvarsområde omfattar all offentligt finan- sierad hälso- och sjukvård (inklusive tandvård), oavsett huvudmanna- skap eller driftsform, samt den privat finansierade hälso- och sjukvår- den.

Utgångspunkten för myndighetens verksamhet ska vara att ur ett patient- och medborgarperspektiv följa upp, utvärdera, effektivitets- granska och redovisa förhållanden inom hälso- och sjukvården särskilt med fokus på verksamhetens kvalitet och effektivitet. Myndighetens uppgift är att följa upp hur väl hälso- och sjukvården totalt sett fungerar

2Dir. 2010:58.

66

SOU 2018:52

Myndigheten för vård- och omsorgsanalys

och analysera större satsningar och reformer ur ett patient- och med- borgarperspektiv. Centrala frågeställningar handlar om hur kvaliteten och effektiviteten i hälso- och sjukvården utvecklas och vilka effekter och konsekvenser som kan mätas till följd av olika satsningar och reformer. Det skulle exempelvis kunna röra sig om frågor som handlar om tillgängligheten till hälso- och sjukvården, patientsäkerhet, sam- verkan mellan sjukvårdshuvudmännen etc. Utvärderingar kan omfatta hela kedjan från lagstiftning, normering och tillsyn till tillämpning och utfall på regional och lokal nivå.

För patienternas och medborgarnas del handlar det om att underlätta deras möten med hälso- och sjukvården genom ökad kunskap, exem- pelvis genom att stärka deras möjligheter att göra informerade val.

För beslutsfattarna genereras underlag som kan ligga till grund för ett mer kunskapsbaserat beslutsstöd för framtida styrning, verksamhets- uppföljning, förbättringsarbete och prioriteringar i hälso- och sjuk- vården.

Uppföljning och utvärdering på hälso- och sjukvårdens makronivå underlättas ofta av jämförelser med andra länder. Internationella studier och jämförelser mellan Sverige och andra länder ska således vara en del av myndighetens verksamhet.

Som anges ovan omfattar myndighetens uppdrag numera även hela socialtjänstens område och de verksamheter som bedrivs med stöd av lagen med särskilda bestämmelser om vård av unga, lagen om vård av missbrukare i vissa fall och lagen om stöd och service till vissa funktionshindrade med flera författningar.

Myndigheten ska enligt 4 § i instruktionen senast den 1 februari varje år i en särskild analys- och granskningsplan ange vilken huvud- saklig inriktning verksamheten ska ha under året. Resultatet av så- dana analyser, granskningar, uppföljningar och utvärderingar som avses i 1–3 §§ ska enligt 12 § i instruktionen löpande redovisas till regeringen.

4.2Myndighetens verksamhet

4.2.1Egeninitierad verksamhet och regeringsuppdrag

Verksamheten vid Myndigheten för vård- och omsorgsanalys består av både egeninitierade analyser och genomförande av särskilda upp- drag från regeringen. När det gäller den egeninitierade verksamheten konkretiseras den breda arbetsuppgift som följer av instruktionen i den analysplan som myndigheten ska ta fram varje år. I analysplanen beskrivs ett antal analysområden som myndigheten avser att arbeta

67

Myndigheten för vård- och omsorgsanalys

SOU 2018:52

inom. Arbetet inom ett analysområde pågår i ett antal år. Exempel på områden som är med i 2018 års analysplan är en jämlik vård och omsorg utan omotiverade skillnader och effektiva vård- och om- sorgssystem för en god vård och omsorg. Inom varje analysområde utarbetas frågeställningar som ska besvaras. Utifrån analysplanen tar myndigheten fram en verksamhetsplan som konkretiserar vilka specifika projekt som ska bedrivas inom respektive analysområde under verksamhetsåret. Där preciseras också syfte, mål och fråge- ställningar samt budget och övergripande tidsplan. När verksam- hetsplanen har beslutats, tas projekten vidare inom ramen för myn- dighetens projektstyrningsmodell.

Vid sidan av analysområdena arbetar myndigheten även med det den kallar för ”Aktuell respons”. Inom den verksamheten kan myn- digheten med kort varsel initiera och genomföra avgränsade analyser av angelägna frågor med hög aktualitet. Projekten bedrivs normalt under kortare tid än övriga projekt.

Utöver den egeninitierade verksamheten får myndigheten sär- skilda uppdrag av regeringen antingen i myndighetens regleringsbrev eller genom särskilda regeringsbeslut. Regeringsuppdragen åtföljs som regel av särskild finansiering för att myndigheten ska ha möj- lighet att själv bestämma inriktningen på den egeninitierade verk- samheten. Regeringsuppdragen är ofta ganska omfattande och pågår under ett till två år.

4.2.2Arbetsmetoder

Analysverksamheten bedrivs i projektform. Det gäller oavsett om det är en återkommande undersökning som ska göras eller om det är en specifik fråga som ska besvaras vid ett tillfälle. Ett projekt är, enligt den definition myndigheten använder, en tidsbegränsad arbetsuppgift som ska genomföras inom bestämda ramar, exempelvis i fråga om tid, arbetsinsatser och ekonomi.

Arbetet inleds genom att det tas fram ett projektdirektiv som beskriver bakgrunden till att en analys bör genomföras, syfte, mål och övergripande resursbehov. Därefter utformas en detaljerad pro- jektplan som bl.a. innehåller syfte, mål, frågeställningar, omfattning, avgränsningar, bakgrund, intressenter, samverkan och beroenden till andra projekt, metod och beskrivning av datainsamling, aktivitets-

68

SOU 2018:52

Myndigheten för vård- och omsorgsanalys

och tidsplan, juridiska och etiska aspekter samt riskanalys. När pro- jektplanen är beslutad påbörjas arbetet. Projekten ska bedrivas i enlighet med myndighetens projektstyrningsmodell. Resultatet av analysarbetet presenteras i rapporter eller promemorior.

Myndigheten har inget uttryckligt uppdrag att bedriva och anser inte att dess verksamhet i dag utgör forskning. Det kan i detta sammanhang dock konstateras att merparten av myndighetens an- ställda är disputerade forskare och att myndigheten anlitar externa forskare som bedriver forskning på myndighetens uppdrag. Myn- digheten utgår också från vetenskapliga principer och metoder i sitt analysarbete. Som en del i detta använder den statistiska metoder. Myndigheten vinnlägger sig om att ha effektiva processer som till- godoser behovet av användbara kunskapsunderlag.

Varje projekt har en styrgrupp som består av generaldirektören, analyschefen, chefsjuristen samt enhetschefen (projektdirektören) för den enhet som håller i projektet. Styrgruppen fattar de mer avgörande besluten i projekten, medan det dagliga arbetet leds av en projektledare. Till projektet finns en arbetsgrupp knuten. Projekt- deltagarna har olika kompetens beroende på vad projektet handlar om. Vid myndigheten finns exempelvis hälsoekonomer, statsvetare, jurister och personer med medicinsk bakgrund. En stor andel av personalen på analysavdelningen är disputerad.

Personuppgifter samlas in i ett särskilt projekt i syfte att kunna besvara frågeställningarna i det specifika projektet. Myndigheten har alltså inte några egna databaser där insamlade uppgifter lagras i syfte att användas för olika ändamål i framtiden. När personuppgifterna har samlats in ersätts personnummer med löpnummer med hjälp av en kodnyckel. Det förekommer inte personnummer eller namn i de datafiler som används inom projektet. Endast ett fåtal personer har tillgång till kodnyckeln, som är krypterad och förvaras inlåst. Per- sonuppgifterna arkiveras senast när projektet avslutas. Om det skulle visa sig att personuppgifterna är nödvändiga att behandla i ett annat projekt, görs en bedömning av om den nya behandlingen av per- sonuppgifterna är tillåten och förenlig med finalitetsprincipen enligt dataskyddsförordningen och om uppgifterna kan lämnas ut till det andra projektet trots sekretessregleringen.

69

Myndigheten för vård- och omsorgsanalys

SOU 2018:52

4.3Rättsligt stöd för myndighetens behandling av personuppgifter

Myndigheten för vård- och omsorgsanalys behandlade tidigare per- sonuppgifter med stöd av personuppgiftslagen. För att myndigheten skulle kunna behandla personuppgifter måste därmed varje behand- ling föregås av en prövning enligt bl.a. 10 § personuppgiftslagen, där det föreskrevs att personuppgifter endast får behandlas om den registrerade har lämnat sitt samtycke till behandlingen eller om be- handlingen är nödvändig för vissa i paragrafen angivna syften. Be- handlingen kunde t.ex. vara tillåten om den ansågs nödvändig för att en arbetsuppgift av allmänt intresse skulle kunna utföras. Behand- lingen kunde också vara tillåten om den var nödvändig för att ett ändamål som rörde ett berättigat intresse hos den personuppgifts- ansvarige eller den till vilken personuppgifterna ska lämnas ut ska kunna tillgodoses, om detta intresse vägde tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Myndigheten för vård- och omsorgsanalys hade med denna re- glering endast möjlighet att behandla känsliga personuppgifter med stöd av den registrerades uttryckliga samtycke enligt 15 § person- uppgiftslagen. Myndigheten anser sig inte bedriva någon forskning, och behandling av känsliga personuppgifter kunde därför inte heller ske med stöd av undantaget avseende forskningsändamål i 19 § första stycket personuppgiftslagen.

Personuppgiftslagen upphävdes den 25 maj 2018 i anslutning till att dataskyddsförordningen började tillämpas. Eftersom Myndigheten för vård- och omsorgsanalys saknade särskild registerförfattning vid denna tidpunkt, måste myndigheten i stället enbart tillämpa data- skyddsförordningen och den kompletterande dataskyddslagen.

Redan i samband med att Myndigheten för vårdanalys bildades uppmärksammade organisationskommittén att myndigheten inte hade författningsstöd för att utföra all den behandling av person- uppgifter som behövdes. I den promemoria som togs fram kon- staterade kommittén att myndigheten i viss utsträckning skulle kunna utföra behandling av känsliga personuppgifter, t.ex. uppgifter om hälsa, med stöd av samtycke eller därför att den sker för statistik- ändamål. Någon mer omfattande behandling av känsliga person- uppgifter kunde enligt kommittén dock inte grundas på de undan- tagen. Kommittén gjorde därför bedömningen att det i normalfallet

70

SOU 2018:52

Myndigheten för vård- och omsorgsanalys

inte skulle vara möjligt för myndigheten att behandla känsliga per- sonuppgifter. Kommittén ansåg att myndigheten borde ges utökade möjligheter att behandla personuppgifter i syfte att ge myndigheten möjlighet att genomföra fler typer av analyser och därmed kunna få fram ytterligare resultat. Kommitténs slutsats var att frågan om myndighetens behov av att behandla personuppgifter krävde författ- ningsändringar som borde utredas särskilt.3

Myndigheten för vård- och omsorgsanalys har därefter, alltsedan myndigheten bildades, fört en dialog med Socialdepartementet angå- ende behovet av författningsstöd som möjliggör behandling av de personuppgifter som behövs i analysverksamheten.

4.4Behovet av att behandla personuppgifter

4.4.1Inledning

För att myndigheten ska kunna fullgöra sitt uppdrag enligt instruk- tionen behöver myndigheten behandla personuppgifter. Eftersom myndighetens verksamhet består i att följa upp och analysera vården och omsorgen ur ett patient-, brukar och medborgarperspektiv, är det ofta aktuellt att behandla känsliga personuppgifter om hälsa. Myndighetens projekt inkluderar dock även andra typer av person- uppgifter. Det kan röra sig om demografiska uppgifter om t.ex. ålder, kön, bostadsuppgifter, civilstånd och familj. Det finns också behov av att behandla socioekonomiska uppgifter om t.ex. utbild- ning, ekonomi, bidrag, sysselsättning och sysselsättningsgrad. Vidare kan det förekomma fall då det behövs uppgifter om socialförsäk- ringsförmåner. Uppgifter om vård- och omsorgsbehov samt vård- och omsorgsinsatser behöver behandlas och detsamma gäller upp- gifter om patienters och brukares upplevelser samt om medicinska resultat. Gemensamt för alla dessa behov är att utgångspunkten för undersökningarna är att fånga hälso- och sjukvården och omsorgen ur patienters, brukares och medborgares perspektiv.

I avsnitt 6.5 berörs frågan om sekretess för uppgifter hos Myn- digheten för vård- och omsorgsanalys.

3Promemoria av Utredningen om inrättande av en ny oberoende granskningsmyndighet med ansvar för uppföljning och utvärdering av hälso- och sjukvården (S 2010:05).

71

Myndigheten för vård- och omsorgsanalys

SOU 2018:52

4.4.2Behov av uppgifter från andra aktörer

Insamling av personuppgifter

Eftersom myndigheten är beroende av att inhämta samtycke för att kunna behandla känsliga personuppgifter (se avsnitt 4.3), är myndig- heten begränsad till vissa arbetssätt. Myndigheten kan rikta sig antingen till ett urval av befolkningen i allmänhet, till patientpaneler som finns hos undersökningsföretag och som har samtyckt till att bli tillfrågade om deltagande eller till vård- och omsorgspersonal för att samla in personuppgifter direkt från enskilda. Personerna till- frågas om de exempelvis har varit patienter under en viss tid och om de i så fall vill delta i en viss studie och samtycka till nödvändig behandling av personuppgifter. Uppgifterna samlas sedan in med stöd av samtycket genom enkäter eller intervjuer.

Att vända sig till ett urval av befolkningen i allmänhet är en framkomlig väg i många fall, särskilt när myndigheten undersöker breda populationers uppfattningar om något de flesta har erfarenhet av, exempelvis allmänhetens syn på primärvården eller apotekens verksamhet. I flera av myndighetens projekt, både de egeninitierade och i regeringsuppdragen, analyseras dock mer specifika frågor som rör exempelvis vården för personer med kronisk sjukdom, miss- bruksvården eller cancerläkemedel. Då rör det sig om mer specifika grupper av patienter, brukare eller medborgare som är berörda. Det kan gälla t.ex. patienter med cancer, personer med missbruk, perso- ner i en viss åldersgrupp, personer som lever under socioekonomiskt utsatta förhållanden eller personer som använder särskilt dyra eller nya läkemedel. Myndigheten har därför behov av att i vissa fall kunna nå specifika grupper för att genomföra enkätundersökningar eller intervjuer och på så sätt inhämta deras uppfattning om, inställning till eller erfarenhet av en viss fråga.

Många av de analyser Myndigheten för vård- och omsorgsanalys behöver utföra, såväl sådana som härrör från regeringsuppdrag som analyser för den egeninitierade verksamheten, förutsätter behand- ling av personuppgifter som samlas in från andra aktörer och inte enbart från den registrerade själv. Myndigheten har framför allt behov av att behandla personuppgifter som finns i Socialstyrelsens hälsodataregister, hos Statistiska centralbyrån samt i kvalitetsregister och databaser hos kommuner och landsting. Även uppgifter som finns hos andra aktörer kan behövas i vissa fall. Sekretess har

72

SOU 2018:52

Myndigheten för vård- och omsorgsanalys

åberopats som hinder för att lämna ut personuppgifterna till Myn- digheten för vård- och omsorgsanalys.

Som ett sätt att ändå lösa sina uppgifter har det förekommit att myndigheten tagit hjälp av externa forskare vid universitet och högskolor som utför forskning på de aktuella områdena och som har kunnat utföra studier åt myndigheten. Dessa forskare hade tidigare möjlighet att behandla personuppgifter med stöd av undantaget avseende forskningsändamål i 19 § första stycket personuppgifts- lagen under förutsättning att behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, etikprövningslagen. Enligt ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forskningsändamål kan behand- ling av personuppgifter ske direkt med stöd av artikel 6.1 dataskydds- förordningen. När det gäller behandling av känsliga personuppgifter kan behandling för forskningsändamål enligt bedömningen i utkastet ske med stöd av artikel 9.2 j i dataskyddsförordningen och 2, 3, 6 och 10 §§ etikprövningslagen.4 Det förekommer också att person- uppgifter som finns hos exempelvis Socialstyrelsen eller Statistiska centralbyrån avidentifieras och sammanställs till statistik och därefter lämnas ut till myndigheten.

Exempel på personuppgifter som finns hos andra aktörer

I syfte att åskådliggöra behoven av att behandla personuppgifter som finns hos andra aktörer ges nedan några exempel på regeringsupp- drag där frågan har aktualiserats.

Ett regeringsuppdrag handlade om att följa och utvärdera nyttan med ordnat införande av nya läkemedel. Uppdraget bestod bl.a. av att analysera om ordnat införande leder till en ordnad och jämlik tillgång till nya kostnadseffektiva läkemedel till de som behöver det oavsett t.ex. bostadsort, ålder, kön och socioekonomiska faktorer.5 För att kunna genomföra den analysen behövdes individuppgifter om läkemedelsanvändning och de bakgrundsfaktorer som nämns i uppdraget samlas in från olika myndigheter.

4Utkast till lagrådsremiss dnr U2018/01639/F s. 40 ff. och s. 79 f.

5Regeringens beslut dnr S2016/01693/FS (delvis).

73

Myndigheten för vård- och omsorgsanalys

SOU 2018:52

Ett liknande exempel är ett regeringsuppdrag som handlade om att ta fram ett kunskapsunderlag kring införande, användning och uppföljning av cancerläkemedel. Myndigheten skulle med anledning av uppdraget analysera vilka patienter som får tillgång till läkemedel och vilka hinder mot jämlik tillgång som finns.6 För att genomföra en sådan analys behövde myndigheten behandla personuppgifter från flera olika myndigheters register. Eftersom myndigheten inte hade författningsstöd för en sådan behandling av känsliga person- uppgifter, använde myndigheten i stället tidigare publicerade ana- lyser vilket medförde en begränsning när det gällde vilka frågor som var möjliga att undersöka.

Ytterligare ett exempel är ett regeringsuppdrag rörande primär- vårdens verksamhet där det angavs att myndigheten skulle göra en fördjupad analys av förutsättningarna för en jämlik och patient- centrerad primärvård. Utifrån befintliga data och kunskap om pri- märvårdens funktionssätt skulle primärvårdens förutsättningar att erbjuda en god vård efter behov analyseras.7 Uppdraget medförde att myndigheten behövde uppgifter från landstingen om hur befolk- ningen använder primärvården. Alla landsting kunde inte göra sådana utdrag ur sina databaser och de landsting som hade möjlighet att göra det bedömde att de inte kunde lämna ut personuppgifterna till myndigheten eftersom myndigheten saknade författningsstöd för att behandla sådana uppgifter. Landstingen kunde inte heller avsätta resurser för att sammanställa uppgifterna i sådan form att de inte längre var att betrakta som personuppgifter.

4.4.3Myndighetens egen bearbetning av personuppgifter

Myndigheten behöver inte bara kunna samla in personuppgifter från andra aktörer. För att utföra de analyser som ingår i myndighetens uppdrag behöver myndigheten också kunna bearbeta uppgifterna och analysera dem på egen hand.

Det finns behov av att analysera uppgifterna ur olika synvinklar, för att exempelvis se vilka parametrar som sticker ut, vilka förhåll- anden som verkar förekomma och hur de hänger ihop. Det är också nödvändigt att kunna gå tillbaka till materialet för att kontrollera att

6Regeringens beslut dnr S2017/00359/FS (delvis).

7Regeringens beslut dnr S2015/04519/RS och S2015/08135/RS (delvis).

74

SOU 2018:52

Myndigheten för vård- och omsorgsanalys

resultaten stämmer, är relevanta och tillräckligt säkra för att dra en viss slutsats eller därför att det i analysprocessen framkommit ny information och kunskap som inte var möjlig att förutse. Inget av detta är möjligt om myndigheten endast kan använda statistik som tagits fram av en annan aktör enligt hur beställningen formulerades initialt. Det finns en risk att den framtagna statistiken inte ger till- räckliga svar på frågeställningarna eller att myndigheten missar väsentliga resultat. Om myndigheten inte själv får behandla person- uppgifter är alltså riskerna att analyserna inte blir oberoende och att kvaliteten och omfattningen av analyserna blir begränsade.

Det är inte tillräckligt att myndigheten, av den aktör som har uppgifterna, får dem sammanställda i form av sådan statistik som innebär att det inte längre är fråga om personuppgifter. Myndig- heten har inte möjlighet att utföra en oberoende analys om den behöver förlita sig på sammanställningar av uppgifter som görs av de aktörer som myndigheten granskar. Det är inte heller möjligt för myndigheten att kvalitetssäkra en databearbetning som har utförts av en annan aktör.

Det finns dessutom en risk att myndigheten över huvud taget inte får tillgång till något underlag. Detta eftersom andra aktörer inte alltid har möjlighet att avsätta de resurser som krävs för att sam- manställa de uppgifter som myndigheten behöver på ett sätt som innebär att de inte längre utgör personuppgifter. I de fall en aktör avsätter tid för att hjälpa till tar det ofta lång tid för myndigheten att få del av sammanställningarna. Det har förekommit att handlägg- ningen av myndighetens begäran om uppgifter har tagit över ett år. Det är inte möjligt för myndigheten att vänta så länge. Detta innebär att vissa analyser inte kan genomföras på grund av att myndigheten över huvud taget inte får tillgång till uppgifterna.

För att kunna analysera personuppgifter som exempelvis finns i journaler hos hälso- och sjukvården och akter hos socialtjänsten och andra aktörer finns det ett behov av att kunna sammanställa, syste- matisera och strukturera uppgifterna. Personuppgifterna kan i vissa fall även behöva sambearbetas med personuppgifter som samlats in från annat håll.

Som ett exempel på ett uppdrag där behovet aktualiserats kan nämnas regeringsuppdraget att utvärdera PRIO-satsningen som var en handlingsplan för riktade insatser inom området psykisk ohälsa.8

8Regeringens beslut dnr S2012/4529/FS.

75

Myndigheten för vård- och omsorgsanalys

SOU 2018:52

Uppdraget innebar att myndigheten skulle undersöka om s.k. indi- viduella planer använts. Myndigheten hade endast möjlighet att samla in uppgifter om hur många planer som tagits fram. För att kunna mäta effekterna av planerna och bedöma dess innehåll hade myndigheten behövt ta del av planerna och strukturera den infor- mationen som fanns i planerna för att därefter kunna göra analyser. Överlag saknas på omsorgsområdet befintliga datakällor, vilket med- för att myndigheten har behov av att själv göra struktureringar och sammanställningar.

Myndigheten har även behov av att kunna genomföra återkom- mande undersökningar. Det kan t.ex. handla om att återkommande vända sig till en viss grupp för att följa utvecklingen av ett visst förhållande i vården. För att kunna utföra vissa av dessa återkom- mande undersökningar på ett ändamålsenligt sätt har myndigheten behov av att spara personuppgifter under en längre tid.

76

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

5.2Statskontoret

Statskontoret ska enligt förordningen (2007:827) med instruktion för Statskontoret genomföra utredningar, utvärderingar och upp- följningar av statlig och statligt finansierad verksamhet och av över- gripande frågor om den offentliga förvaltningens funktionssätt. Statskontoret är inte en statistikansvarig myndighet vilket innebär att lagen (2001:99) om den officiella statistiken, statistiklagen, inte är tillämplig.1 Det finns inte heller någon registerförfattning som reglerar myndighetens behandling av personuppgifter. Eventuell be- handling av personuppgifter sker därför med stöd av dataskydds- förordningen och dataskyddslagen.

5.3Ekonomistyrningsverket (ESV)

ESV ska enligt förordningen (2016:1023) med instruktion för Eko- nomistyrningsverket bl.a. utveckla och förvalta den ekonomiska styrningen av den statliga verksamheten. ESV är en statistikansvarig myndighet och ska vid behandling av personuppgifter vid framställ- ning av officiell statistik tillämpa statistiklagen och förordningen (2001:100) om den officiella statistiken, statistikförordningen. Vissa bestämmelser i statistiklagen gäller även vid framställning av annan statistik hos en statistikansvarig myndighet (1 kap. 1 § tredje stycket statistiklagen). Därutöver finns det inte någon registerförfattning som reglerar myndighetens behandling av personuppgifter. Even- tuell behandling av personuppgifter sker, i den mån behandlingen inte är reglerad i statistiklagen, med stöd av dataskyddsförordningen och den kompletterande dataskyddslagen.

5.4Brottsförebyggande rådet (Brå)

Brå har enligt förordningen (2016:1201) med instruktion för Brotts- förebyggande rådet i uppdrag att utveckla kunskap på det kriminal- politiska området genom att ansvara för den officiella kriminal- statistiken i enlighet med förordningen om den officiella statistiken och utveckla denna statistik samt annan relevant statistik, initiera och bedriva forsknings-, analys- och utvecklingsarbete, och årligen

1Se vidare om lagen om den officiella statistiken i avsnitt 6.4.1.

78

SOU 2018:52

Regleringen av andra analysmyndigheters behandling av personuppgifter

genomföra den nationella trygghetsundersökningen, årligen ta fram kunskap om hatbrott och minst vart tredje år genomföra skolunder- sökningen om brott.

När Brå behandlar känsliga personuppgifter i egenskap av stati- stikansvarig myndighet, sker behandlingen med stöd av statistik- lagen och statistikförordningen. Vissa bestämmelser i statistiklagen gäller även vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.

Enligt ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forskningsändamål kan de myndigheter som har en tydlig författningsreglerad uppgift att bedriva forskning behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e i dataskyddsförordningen, som avser behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse.2 Detta gäller således vid Brås behandling av personuppgifter för forskningsända- mål. Vidare kan Brå behandla känsliga personuppgifter för forskning med stöd av artikel 9.2 j som avser behandling som är nödvändig för vetenskapliga eller historiska forskningsändamål.3 Vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden i sådan verksamhet som avser forskning och utveckling ska behandlingen prövas och godkännas av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt 3 och 6 §§ etikprövningslagen.

Som anges i propositionen som föregick dataskyddslagen kan statistiska undersökningar vara en integrerad del av ett forsknings- projekt.4 I sådana fall ska behandling av personuppgifter som sker under forskarens ansvar bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål.5

I övrigt behandlar Brå personuppgifter med stöd av dataskydds- förordningen och den kompletterande dataskyddslagen. I den natio- nella trygghetsundersökningen inhämtas exempelvis uppgifter med

2Utkast till lagrådsremiss dnr U2018/01639/F s. 40 ff.

3Utkast till lagrådsremiss dnr U2018/01639/F s. 74 f.

4Prop. 2017/18:105 s. 124.

5Prop. 2017/18:107 s. 28.

79

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

stöd av samtycke6 och skolundersökningen om brott genomförs med hjälp av en enkät som eleverna fyller i anonymt7.

5.5Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU)

IFAU ska enligt förordningen (2007:911) med instruktion för Insti- tutet för arbetsmarknads- och utbildningspolitisk utvärdering främja, stödja och genom forskning genomföra uppföljningar, utvärderingar och studier. Behandling av personuppgifter vid IFAU sker således företrädesvis i samband med forskning. Sådan behandling omfattas av bestämmelserna i lagen (2012:741) om behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och den tillhörande förordningen (2012:742) om behand- ling av personuppgifter vid Institutet för arbetsmarknads- och utbild- ningspolitisk utvärdering.

Personuppgifter får enligt 5 § lagen om behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genom- föra studier, uppföljningar och utvärderingar. Personuppgifter som behandlas för dessa ändamål får enligt 6 § också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Därutöver är vidarebehandling som inte strider mot finalitetsprincipen tillåten (6 a §).

Enligt 7 § första stycket lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvär- dering får inte andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning behandlas för de ändamål som anges i lagen. Av andra stycket i samma paragraf framgår att forsk- ning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas enligt etikprövningslagen.

6Brottsförebyggande rådets rapport 2017:1 Nationella trygghetsundersökningen 2016

– Om utsatthet, otrygghet och förtroende, s. 17.

7Brottsförebyggande rådets rapport 2016:21 Skolundersökningen om brott 2015

– Om utsatthet och delaktighet i brott, s. 7.

80

SOU 2018:52

Regleringen av andra analysmyndigheters behandling av personuppgifter

För behandling av såväl känsliga som icke känsliga personupp- gifter gäller dessutom flera begränsningsregler i 10–12 §§. Person- uppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får t.ex. inte behandlas i syfte att röja en persons identitet (10 §). Vissa personuppgifter som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar får endast under vissa förutsättningar sambearbetas med varandra (11 §). Tillgången till personuppgifter ska dessutom begränsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter (12 §).

Sådan behandling av personuppgifter vid IFAU som inte är sär- skilt reglerad i lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och den tillhörande förordningen sker med stöd av dataskyddsförordningen och dataskyddslagen.

5.6Inspektionen för socialförsäkringen (ISF)

ISF har enligt förordningen (2009:602) med instruktion för Inspek- tionen för socialförsäkringen till uppgift att utöva systemtillsyn över och utföra effektivitetsgranskning inom socialförsäkringsområdet, i huvudsak av den verksamhet som bedrivs av Försäkringskassan, Pensionsmyndigheten, i de delar som inte står under Finansinspek- tionens tillsyn, och Skatteverket, i de delar som avser beslut om pen- sionsgrundande inkomst. Utredningen om personuppgiftsbehand- lingen vid ISF har i SOU 2014:67 lämnat förslag till en lag om behandlingen av personuppgifter inom ISF:s tillsyns- och gransk- ningsverksamhet. Förslaget har ännu inte lett till någon lagstiftning, så ISF behandlar i dag personuppgifter bara med stöd av dataskydds- förordningen och dataskyddslagen.

Personuppgifter ska enligt 6 § i den föreslagna lagen om be- handling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen få behandlas om det behövs för att fullgöra inspektionens uppdrag att vid sin systemtillsyn eller effektivitets- granskning genomföra undersökningar av rättstillämpning, hand- läggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, effekter av förändringar inom socialförsäkringsområdet och nyttjandet av

81

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

socialförsäkringen och av system som gränsar till socialförsäkringen. Personuppgifter ska även få behandlas om det behövs för att inspek- tionen vid sin systemtillsyn och effektivitetsgranskning ska kunna samverka med de tillsynsmyndigheter som berörs av inspektionens tillsyns- eller granskningsverksamhet. Personuppgifter föreslås också enligt 7 § få behandlas för att fullgöra ett utlämnande av uppgifter. Därutöver föreslås vidarebehandling som inte strider mot finalitets- principen vara tillåten.

Känsliga personuppgifter och uppgifter om lagöverträdelser får enligt 8 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.

I syfte att minska risken för intrång i den personliga integriteten föreslås i 9 § att det vid ISF ska finnas en integritetsskyddsfunktion. Funktionen ska ha till uppgift att lagra de uppgifter som lämnas till eller hämtas in av inspektionen på ett säkert sätt och förse uppgifter som är direkt hänförliga till enskilda med en beteckning. På så sätt får medarbetare som arbetar med tillsyns- och granskningsärenden normalt inte tillgång till personuppgifter som är direkt hänförliga till enskilda individer. Integritetsskyddsfunktionen ska också bereda ISF direktåtkomst till uppgifter i socialförsäkringsdatabasen och administrera behörigheter – bl.a. genom att styra åtkomsten för projektmedarbetare i tillsyns- eller granskningsärenden till uppgifter lagrade på inspektionens servrar och till socialförsäkringsdatabasen, när de befattningshavare hos ISF som har till uppgift att sköta integ- ritetsskyddsfunktionen (informationsansvariga) av administrativa skäl måste delegera en sådan åtkomst till en projektmedarbetare.8

Även vissa andra skyddsåtgärder föreslås, såsom tilldelning och begränsning av behörigheter samt kontroll av elektronisk åtkomst.9 Dessutom föreslås i 13 § att uppgifter i tillsyns- och gransknings- ärenden inte ska få sammanföras med varandra eller med andra uppgifter i syfte att ta reda på en enskild persons identitet.10

ISF bedömer att delar av myndighetens uppföljnings- och utvär- deringsverksamhet i praktiken faller inom ramen för forskning så som begreppet definieras i etikprövningslagen.11 Utredningen om

8SOU 2014:67 s. 128.

9SOU 2014:67 s. 137.

10SOU 2014:67 s. 183.

11SOU 2014:67 s. 108.

82

SOU 2018:52

Regleringen av andra analysmyndigheters behandling av personuppgifter

personuppgiftsbehandlingen vid ISF anser att ISF:s möjligheter att behandla känsliga personuppgifter och personuppgifter om lagöver- trädelser i första hand bör regleras genom den föreslagna register- lagen, inte genom etikprövningslagens regelsystem. Samtidigt konsta- terar dock samma utredning att ISF:s verksamhet i vissa avseenden bör anses utgöra forskning och att sådana projekt bör kunna genom- föras med stöd av ett godkännande från en etikprövningsnämnd.12

5.7Myndigheten för kulturanalys

Myndigheten för kulturanalys har enligt förordningen (2011:124) med instruktion för Myndigheten för kulturanalys till uppgift att göra utvärderingar, analyser och redovisningar inom kulturområdet. Myndigheten ska också ansvara för officiell statistik enligt förord- ningen om den officiella statistiken. För den delen av verksamheten som avser framställning av officiell statistik gäller statistiklagen och statistikförordningen. Vissa bestämmelser i statistiklagen gäller även vid framställning av annan statistik än officiell statistik hos myndig- heten. Därutöver gäller dataskyddsförordningen och dataskyddslagen.

5.8Myndigheten för tillväxtpolitiska utvärderingar och analyser (Tillväxtanalys)

Tillväxtanalys har enligt förordningen (2016:1048) med instruktion för Myndigheten för tillväxtpolitiska utvärderingar och analyser till uppgift att göra utvärderingar, analyser och redovisningar avseende nationell och regional tillväxt och näringslivsutveckling. Myndig- heten svarar också för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser fram- ställning av officiell statistik, och i vissa fall även vid framställning av annan statistik hos myndigheten, gäller statistiklagen och statistik- förordningen. Därutöver gäller dataskyddsförordningen och data- skyddslagen.

12SOU 2014:67 s. 122.

83

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

5.9Trafikanalys

Trafikanalys har enligt förordningen (2010:186) med instruktion för Trafikanalys till huvuduppgift att, med utgångspunkt i de transport- politiska målen, utvärdera och analysera samt redovisa effekter av föreslagna och genomförda åtgärder inom transportområdet. Vidare ska myndigheten ansvara för att samla in, sammanställa och sprida statistik på transportområdet. Trafikanalys får inom sitt verksam- hetsområde bedriva egen forskning utifrån statistiskt material. Myn- digheten svarar också för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser framställning av officiell statistik gäller statistiklagen och statistik- förordningen. Vidare är vissa bestämmelser i statistiklagen tillämp- liga vid framställning av annan statistik än officiell statistik hos Trafikanalys. Därutöver gäller dataskyddsförordningen och data- skyddslagen.

84

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

lämna författningsförslag som möjliggör nödvändigt uppgiftsläm- nande. Utredningen redogör därför i detta kapitel för den reglering som finns om utlämnande av personuppgifter från Socialstyrelsen och Statistiska centralbyrån.

6.2Myndighetens behov

6.2.1Myndighetens behov av att använda redan befintliga data som finns hos andra aktörer

I avsnitt 4.4.2 ges några exempel på regeringsuppdrag där frågan om behovet för Myndigheten för vård- och omsorgsanalys att behandla personuppgifter som finns hos andra aktörer aktualiserats. Andra exempel på frågeställningar som myndigheten genom regeringsupp- drag har fått i uppgift att analysera, och som kräver att personupp- gifter hämtas från andra myndigheter, är:

•Finns det socioekonomiska skillnader i tillgången till kirurgisk behandling av prostatacancer?

•Hur har vårdval inom den specialiserade vården påverkat vård- utnyttjandet mellan olika socioekonomiska grupper av patienter?

•Hur har fördelningen av antalet vårdkontakter i primärvården på olika socioekonomiska grupper utvecklats före och efter vård- valsreformen?

•Vem besöker första linjens vård, det vill säga primärvården, öppen specialistvård eller akutmottagning?

Sammanfattningsvis kan sägas att myndigheten behöver kunna in- hämta personuppgifter från andra aktörer och bearbeta uppgifterna på egen hand. Det är inte tillräckligt att myndigheten, av en annan aktör, får uppgifterna sammanställda i en form som innebär att det inte längre är fråga om personuppgifter.

Myndigheten för vård- och omsorgsanalys har angett tre huvud- sakliga skäl till det.

För det första bör Myndigheten för vård- och omsorgsanalys ges tillräckliga analysmässiga förutsättningar för att kunna genomföra uppdragen på bästa möjliga sätt. Syftet med att behandla person- uppgifterna är att nå ny kunskap. Uppgifterna bör analyseras ur olika

86

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

synvinklar, för att exempelvis se vilka parametrar som utmärker sig, vilka förhållanden som verkar förekomma och hur de hänger ihop. Utifrån initiala analyser kan man ta den nya kunskapen som fram- kommit vidare till nästa steg i analysen. Ibland finns det behov av att gå tillbaka till de ursprungliga uppgifterna för att kontrollera att resultaten stämmer, är relevanta och tillräckligt säkra för att dra en viss slutsats. Det är vanligt att det i analysprocessen framkommer ny information och kunskap som inte var möjlig att förutse, vilket gör att analysen behöver anpassas. Om myndigheten är hänvisad till att be en annan aktör om statistik, kan det innebära att myndigheten blir ”låst” av hur beställningen formulerades initialt, utan möjlighet till en undersökande analysprocess. Det kan medföra risk för att sammanställningen inte ger tillräckliga svar på den aktuella fråge- ställningen eller att väsentliga resultat förbises.

Vidare ska myndigheten göra en oberoende analys. Om myndig- heten behöver be den aktör som ska granskas att själv sammanställa sin egen data i statistikform åt myndigheten finns det risk för att analyserna, men även myndighetens verksamhet i stort, ifrågasätts.

För det tredje behöver Myndigheten för vård- och omsorgsanalys kunna säkra kvaliteten i analysen. Om en annan aktör utför bearbet- ningen av uppgifterna är det svårt att kvalitetssäkra den, och myn- digheten blir beroende av en annan aktörs kvalitetssäkringsmodell. I analyser som bygger på stora datamaterial är det svårt för den aktör som inte har utfört analysen att få en tillräcklig förståelse för data- material, resultaten, osäkerhet i olika moment och hur analysen genomförts. Samtidigt är det nödvändigt att Myndigheten för vård- och omsorgsanalys har sådan förståelse för materialet, för att kunna ta ansvar för vad som har gjorts och på vilket sätt.

6.2.2Myndighetens behov av att rikta sig direkt till patienter, brukare och andra specifika grupper

I Myndigheten för vård- och omsorgsanalys uppdrag ingår att följa upp och analysera vården, omsorgen och tandvården ur ett patient-, brukar-, och medborgarperspektiv. Det kan också anges i de speci- fika regeringsuppdragen att myndigheten ska göra analyserna ur ett patient- och medborgarperspektiv.

87

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

För närvarande löser myndigheten detta genom att vända sig till ett urval av befolkningen och fråga om någon i urvalsgruppen varit patient exempelvis under en viss tid, och om han eller hon i så fall vill delta i en studie. Det är en möjlig metod i många fall, särskilt när myndigheten undersöker breda populationers uppfattningar om något de flesta har erfarenhet av, till exempel allmänhetens syn på primär- vården eller på apotekens öppettider.

I flera av myndighetens uppdrag berörs dock specifika grupper av patienter och medborgare. Det kan till exempel röra sig om patienter med cancer, personer med missbruk, personer i en viss åldersgrupp, personer som lever under socioekonomiskt utsatta förhållanden eller som använder särskilt dyra eller nya läkemedel. Myndigheten för vård- och omsorgsanalys har anfört att för att göra de analyser som är nödvändiga behöver myndigheten i vissa fall nå dessa grupper direkt med exempelvis enkäter för att inhämta deras uppfattning om, inställning till eller erfarenhet av en viss fråga eller för att fråga om deltagande i intervjuer. Uppgifter om vilka personer som tillhör de aktuella målgrupperna finns till exempel i Socialstyrelsens hälsodata- register eller Statistiska centralbyråns datakällor.

Ett exempel på ett regeringsuppdrag som aktualiserar frågan om kontakt med specifika grupper avser analys av de samlade insatserna som genomförs under perioden 2015–2019 inom förlossningsvården, övrig hälso- och sjukvård, primärvård samt mammografin.1 Uppdra- get omfattar även analys av införandet av kostnadsfria preventiv- medel för personer under 21 år. Myndigheten ska särskilt granska insatserna utifrån ett patient- och medborgarperspektiv. De insatser som ska utvärderas riktar sig bl.a. till socioekonomiskt utsatta grupper. För att genomföra denna analys hade det varit lämpligt om myndig- heten hade kunnat kontakta specifika målgrupper t.ex. patienter som varit i förlossningsvården, patienter som genomgått mammografi eller unga kvinnor.

För att nå en specifik grupp personer vänder sig myndigheten i dag, som anges i det föregående, till allmänheten och frågar om de exempelvis varit patienter med viss diagnos och vill delta i den specifika studie det är fråga om. Den enskilde kan därigenom lämna sitt samtycke, som också utgör stöd för behandlingen av person- uppgifter. Myndigheten för vård- och omsorgsanalys har gjort gällande att detta tillvägagångssätt inte är möjligt i vissa fall, då

1S2016/06724/FS.

88

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

myndigheten inte på ett ändamålsenligt sätt kan nå de grupper av individer som är aktuella. Med den nuvarande metoden finns det en risk för att urvalet blir för litet för att kunna ge ett tillförlitligt resultat. Det finns också en risk för att ”fel” individer svarar då det inte går att säkerställa individers diagnos, socioekonomiska förhåll- anden och andra omständigheter utifrån vad de själva uppger. Vidare innebär detta tillvägagångssätt att myndigheten belastar långt fler personer än vad som är nödvändigt. Det kan leda till sämre svars- frekvens, något som redan är ett stort problem, vilket också begränsar vilka slutsatser som kan dras av undersökningarna.

Med det vidgade uppdrag Myndigheten för vård- och omsorgs- analys fick 2015 krävs analyser även på exempelvis socialtjänstens område. Enligt myndigheten är det svårt att genom att vända sig till en större del av befolkningen hitta ett tillräckligt antal personer som får insatser från socialtjänsten.

6.2.3Myndighetens behov av att rikta sig till personal

I vissa undersökningar behöver Myndigheten om vård- och omsorgs- analys vända sig till olika personalgrupper för att ställa frågor om deras syn på förhållanden inom vården, tandvården och omsorgen. Det rör sig då om frågor utifrån deras anställning eller utbildning och rör inte deras hälsa eller andra typer av känsliga personuppgifter. Urvalet kan då göras med hjälp av aktörer som har tillgång till upp- gifter om anställda personer. De största begränsningarna för denna typ av undersökningar är tillgången till information om vilka perso- ner som ingår i olika personalgrupper.

6.2.4Myndighetens behov av att följa utveckling över tid

Som beskrivs i avsnitt 4.2.2 bedrivs analysverksamheten vid Myn- digheten får vård- och omsorgsanalys i projektform. Ett projekt är, enligt myndighetens definition, en tidsbegränsad arbetsuppgift som ska genomföras inom bestämda ramar, exempelvis i fråga om tid, arbetsinsatser och ekonomi. Även om de flesta projekt är tids- begränsade har myndigheten anfört att det i vissa fall kan finnas behov av att återkommande kunna vända sig till en viss grupp för att följa utvecklingen över tid. Det kan röra sig om utvärderingar där

89

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

myndigheten behöver återkomma till samma individer med samma typer av frågor för att följa deras syn på utvecklingen kring vissa förhållanden i vården. Ett annat exempel är att myndigheten åter- kommande vänder sig till personer som tillhör en grupp med samma frågor, t.ex. verksamhetschefer i hälso- och sjukvården. Vidare ska myndigheten enligt sin instruktion kontinuerligt utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet. Även i sådana fall kan det vara värdefullt att efter en tid vända sig till samma personer för synpunkter. Myndigheten har också haft ett återkommande regeringsuppdrag att fånga samma frågor i en internationell jämförande studie.

6.3Uppgiftslämnande mellan myndigheter och sekretess

6.3.1Uppgiftslämnande mellan myndigheter

Enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelser om sekretess finns i offentlighets- och sekretesslagen och offentlighets- och sekre- tessförordningen (2009:641). Med sekretess avses enligt 3 kap. 1 § offentlighets- och sekretesslagen ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.

Som huvudregel gäller föreskriven sekretess även mellan myndig- heter. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en upp- gift för vilken sekretess gäller inte röjas för andra myndigheter, om inte annat anges i lagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till.

90

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

6.3.2Sekretessbestämmelsernas uppbyggnad

Offentlighets- och sekretesslagen innehåller undantag från offent- lighetsprincipen och sekretess ska därför gälla bara om det finns ett särskilt skyddsvärt intresse. För att klargöra sekretessens omfatt- ning är sekretessbestämmelserna som regel utformade med hjälp av tre olika slags rekvisit. Rekvisiten anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.2

Med föremålet för sekretessen avses vilket slags uppgift som sekre- tessregleringen avser, t.ex. uppgift om enskilds personliga och eko- nomiska förhållanden.

Sekretessens räckvidd anger inom vilken verksamhet eller i vilken typ av ärenden sekretessbestämmelsen gäller. I vissa fall hänvisas till en viss bestämd myndighet. Om inget annat anges, är bestämmelsen tillämplig inom hela den offentliga förvaltningen.

Sekretessens styrka anges genom ett skaderekvisit. Det finns i huvudsak två olika typer av skaderekvisit, det raka och det omvända. Vid ett rakt skaderekvisit är utgångspunkten offentlighet. Det ut- trycks i lagtexten genom att sekretess gäller om det kan antas att en viss skada inträffar om uppgiften röjs. Vid ett omvänt skaderekvisit finns det en presumtion för att uppgifterna omfattas av sekretess. Sekretessen uttrycks i dessa fall genom att sekretess gäller om det inte står klart att uppgiften kan röjas utan skada och men.

I vissa fall innehåller sekretessbestämmelsen inte något skade- rekvisit. Sekretessen är i sådana fall absolut, vilket innebär att någon sekretessprövning inte ska göras och att uppgiften inte kan lämnas ut.

6.3.3Primär och sekundär sekretess

Det är en grundläggande princip i sekretessregleringen att sekretess inte automatiskt överförs mellan myndigheter.3 En sekretessbestäm- melse som gäller för en uppgift hos en myndighet blir inte utan särskild reglering tillämplig hos en annan myndighet när uppgiften lämnas dit. Detta har i förarbetena motiverats med att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset, utan måste i varje sammanhang vägas mot

2Prop. 1979/80:2 Del A s. 72 f. och SOU 2003:99 s. 78 f.

3Prop. 2008/09:150 s. 315.

91

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

intresset av insyn i myndigheternas verksamhet.4 Kravet på offent- lighet kan innebära att vissa uppgifter, som betraktas som hemliga hos en myndighet, är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myndigheten.

För att en uppgift ska omfattas av sekretess gäller som huvudregel att det ska finnas en primär sekretessbestämmelse. Med en primär sekretessbestämmelse avses enligt 3 kap. 1 § offentlighets- och sekre- tesslagen en sekretessbestämmelse som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar viss verksamhetstyp eller ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter hos myndigheten. Ett alternativ är att det finns en särskild överföringsbestämmelse som medför att sekretessen sprids utanför sitt ursprungliga tillämpnings- område, en sekundär sekretess. Enligt definitionen i offentlighets- och sekretesslagen är en sekundär sekretessbestämmelse en bestäm- melse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess (3 kap. 1 § offentlighets- och sekretesslagen).

6.4Sekretess för uppgifter hos Socialstyrelsen och Statistiska centralbyrån

För att kunna utföra sitt uppdrag i enlighet med sin instruktion har Myndigheten för vård- och omsorgsanalys gjort gällande att myn- digheten behöver kunna hämta och behandla personuppgifter från bland annat Socialstyrelsen och Statistiska centralbyrån. Skälet till att myndigheten inte kan få tillgång till data i den omfattning och av den sort som behövs för vissa av myndighetens uppdrag är att uppgifterna är skyddade av så kallad statistiksekretess hos Social- styrelsen och Statistiska centralbyrån. Nedan följer en kort redogör- else för regleringen av statistikansvariga myndigheter och vad den får för konsekvenser för möjligheten för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten får vård och omsorgsanalys.

4Prop. 1979/80:2 Del A s. 75 f.

92

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

6.4.1Lagen om den officiella statistiken och statistikansvariga myndigheter

Den officiella statistiken regleras i lagen om den officiella statistiken (2001:99), statistiklagen, och förordningen (2001:100) om den offi- ciella statistiken, statistikförordningen. Statistiklagen innehåller be- stämmelser som kompletterar dataskyddsförordningen vid behandling av personuppgifter vid framställning av officiell statistik. Vid be- handling av personuppgifter med stöd av statistiklagen gäller data- skyddslagen och föreskrifter som har meddelats med stöd av lagen, om inte annat följer av statistiklagen eller föreskrifter som meddelats i anslutning till lagen. Av 1 kap. 1 § tredje stycket statistiklagen fram- går att vissa bestämmelser i lagen är tillämpliga även vid framställning av annan statistik än officiell statistik hos en statistikansvarig myn- dighet.

Enligt 3 § statistiklagen ska officiell statistik finnas för allmän information, utredningsverksamhet och forskning. Den ska vara objektiv och allmänt tillgänglig (3 a § statistiklagen). I lagen anges också vilka kvalitetskriterier som ska tillämpas när den officiella statistiken utvecklas, framställs och sprids.

Ansvaret för den officiella statistiken är fördelat på ett antal stat- liga myndigheter. Regeringen beslutar inom vilka områden det ska finnas officiell statistik och vilka myndigheter som ska ansvara för denna, s.k. statistikansvariga myndigheter. Vilka de statistikansvariga myndigheterna är och vilka ansvarsområden respektive myndighet har regleras i en bilaga till statistikförordningen.

Statistiska centralbyrån är den dominerande statistikproducenten och svarar för en stor del av den officiella statistiken. Myndigheten ansvarar bl.a. för officiell statistik inom områdena arbetsmarknad, befolkning, hushållens ekonomi och levnadsförhållanden.

Socialstyrelsen ansvarar för officiell statistik som rör hälsa och sjukdomar, hälso- och sjukvård, dödsorsaker, individ- och familje- omsorg, äldre- och handikappomsorg samt stöd och service till funktionshindrade.

Av 14 § statistiklagen framgår att en statistikansvarig myndighet får behandla personuppgifter för framställning av statistik, om inte annat följer av 15 §. Av den senare paragrafen framgår att känsliga personuppgifter och personuppgifter som rör fällande domar i brott-

93

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

mål och överträdelser eller därmed sammanhängande säkerhets- åtgärder (artiklarna 9.1 och 10 i dataskyddsförordningen) får behand- las om det följer av föreskrifter som regeringen meddelar. I en bilaga till statistikförordningen anges för vilka ändamål de statistikansva- riga myndigheterna får behandla känsliga personuppgifter och per- sonuppgifter som avser brott, domar i brottmål och straffprocessuella tvångsmedel och vilka kategorier av sådana personuppgifter som får behandlas.

Vid framställning av annan statistik än officiell statistik får känsliga personuppgifter och personuppgifter som rör fällande domar i brott- mål och överträdelser eller därmed sammanhängande säkerhets- åtgärder också behandlas om behandlingen är nödvändig för sta- tistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Per- sonuppgifterna får också behandlas om de ingår i ett forsknings- projekt och behandlingen har godkänts enligt etikprövningslagen (15 § andra stycket statistiklagen). Bestämmelserna i dataskydds- förordningen om rätten till rättelse och rätten till begränsning av behandling av personuppgifter (artiklarna 16 och 18) gäller inte vid behandling av personuppgifter som är tillåten enligt statistiklagen (15 a § statistiklagen).

När en statistikansvarig myndighet lämnar ut personuppgifter som inte direkt kan hänföras till en enskild, får myndigheten i sam- band med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnum- mer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna (16 § statistiklagen). En sådan åtgärd får vidtas om den som uppgifterna lämnas ut till ska använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna. I 17 § statistiklagen förtydligas att personuppgifter som lämnats ut med stöd av 16 § endast får behandlas för forskning och statistik hos mottagaren.

94

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

6.4.2Statistiksekretess

I sådan särskild verksamhet hos en myndighet som avser framställ- ning av statistik gäller sekretess för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Det framgår av 24 kap.8 § offentlighets- och sekretess- lagen. Bestämmelsen reglerar sekretessen för den statistikproduk- tion som sker vid statistikansvariga myndigheter, statistiksekretessen.

Motsvarande sekretess gäller enligt 24 kap. 8 § andra stycket offentlighets- och sekretesslagen bl.a. vid annan jämförbar under- sökning som utförs av en myndighet i den utsträckning regeringen meddelar föreskrifter om det.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.

6.4.3Vad är statistik?

Statistiksekretess gäller i sådan särskild verksamhet som avser fram- ställning av statistik. Vad som avses med statistik anges inte i stati- stiklagen eller statistikförordningen.

I motiven till statistiklagen anges att statliga myndigheter fram- ställer statistik för olika ändamål.5 Först nämns sådan statistik som tas fram genom sammanställning och bearbetning av uppgifter som myndigheterna förfogar över för att följa upp, bedöma och utvärdera sin egen verksamhet, s.k. driftstatistik. Statistiklagens reglering avser emellertid sådan statistik som framställs av Statistiska centralbyrån och vissa andra myndigheter, och som har ett vidare syfte. Denna statistik bygger på uppgifter som antingen samlas in direkt från enskilda fysiska eller juridiska personer eller inhämtas från admini- strativa källor. Denna typ av statistik, den officiella statistiken, får inte påverkas av ovidkommande faktorer och den får inte heller utformas för att tjäna vissa syften. Det ska vara en grundläggande statistisk information inom olika samhällsområden för samhälls- planering, forskning, allmän information och för internationell rapportering. Statistiska metoder ska användas som garanterar att statistiken inte kan ifrågasättas ur sådana synvinklar. Statistiken ska

5Prop. 1991/92:118 s. 12 f. och 22 f.

95

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

också offentliggöras på sådant sätt att den är enkelt åtkomlig för de behov som ska tillgodoses.

I propositionen som föregick de senaste ändringarna i bestäm- melserna om statistiksekretess diskuteras begreppet statistik.6 Det konstateras att uttrycket statistik inte definieras i offentlighets- och sekretesslagen eller i någon annan lagstiftning. I allmänt språkbruk används statistik huvudsakligen i två olika betydelser. Den ena bety- delsen av statistik är såsom en beteckning på en vetenskaplig disciplin. Ursprungligen menades med statistik en vetenskap som handlade om rådande förhållanden, i synnerhet politiska, sociala och eko- nomiska förhållanden, inom en stat eller olika stater. Statistiken som vetenskaplig disciplin kom senare att även inom fler områden handla om metoder för insamling, bearbetning, redovisning och analys av data.

Statistik kan även avse sammanställningar av data, vanligen i tabeller eller liknande, sammanställningar som ofta åstadkoms med de olika metoder för insamling, bearbetning, redovisning och analys som utvecklats inom den statistiska vetenskapen.

I propositionen dras slutsatsen att med statistik avses i 24 kap. 8 § offentlighets- och sekretesslagen den senare av de nämnda betydel- serna, dvs. sammanställning av data. Statistik framställs i många olika sammanhang. All statistikframställning omfattas emellertid inte av bestämmelserna om statistiksekretess. Det beror inte på att ut- trycket statistik har någon särskild betydelse i offentlighets- och sekretesslagen. Det beror i stället på att bestämmelsen bara är tillämp- lig i viss verksamhet som avser framställning av statistik. Det gäller dels särskild statistikverksamhet hos myndigheter, dels vissa under- sökningar hos myndigheter.

6.4.4Särskild statistikverksamhet

Bestämmelsen om statistiksekretess är tillämplig i ”särskild verk- samhet för framställning av statistik”. Av förarbetena till den tidi- gare sekretesslagen (1980:100) framgår att en och samma uppgift hos en myndighet kan vara offentlig när den används hos en hand- läggande avdelning, men sekretessreglerad hos en avdelning som

6Prop. 2013/14:162 s. 8.

96

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

framställer statistik.7 För statistiksekretessens räckvidd är det således inte avgörande varifrån uppgifterna kommer eller hur de har kommit till myndigheten, utan i vilken verksamhet de förekommer. Det är en allmänt utredande verksamhet utan anknytning till något särskilt ärende som avses. Ett typexempel är den verksamhet som avser framställning av den officiella statistiken.

Bestämmelsen om statistiksekretess är inte tillämplig i all verk- samhet som avser framställning av statistik, utan endast ”särskild verksamhet”. Med särskild verksamhet avses verksamhet som är skild från annan verksamhet hos myndigheten. Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande. Vid bedömningen av frågan om en särskild verksamhet är en verksamhet för framställning av statistik måste en helhetsbedömning göras av verksamheten.8 Om den särskilda verksamhetens huvudsakliga syfte är att framställa statistik är bestämmelsen om statistiksekretess tillämplig. Bestämmelsen är inte tillämplig i en verksamhet som har något annat än statistikframställning som sitt främsta syfte, även om det i den verksamheten skulle förekomma insamling eller bearbet- ning av uppgifter med hjälp av statistiska metoder. Vidare är det, för att en särskild verksamhet ska bedömas som en verksamhet för framställning av statistik, inte nödvändigt att verksamheten leder till en slutlig statistikprodukt. Det kan vara tillräckligt att det inom verksamheten samlas in uppgifter som bearbetas, analyseras och redovisas vidare i en annan myndighets särskilda verksamhet. En förut- sättning är dock att den andra myndighetens särskilda verksamhet kan karaktäriseras som en verksamhet för framställning av statistik.

6.4.5Annan jämförbar undersökning

Vissa undersökningar omfattas av statistiksekretess trots att de ge- nomförs utanför en särskild verksamhet för framställning av statistik eller avser något annat än statistik. Det gäller enligt 24 kap. 8 § andra stycket offentlighets- och sekretesslagen annan jämförbar under- sökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan

7Prop. 1979/80:2 del A s. 263.

8Prop. 1979/80:2 del A s. 265 och prop. 2013/14:162 s. 8.

97

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

myndighet i den utsträckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen har regeringen föreskrivit att statistiksekretess ska gälla hos vissa angivna myndig- heter, avseende de undersökningar som anges och för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detta gäller t.ex. Myndigheten för vårdanalys, se avsnitt 6.5. I vissa fall anges särskilda begränsningar i sekretessen.

I lagens förarbeten nämns som exempel på annan med statistik jämförlig undersökning som utförs av myndighet undersökningar som har till syfte att belysa flygsäkerhetsrisker, angående trivseln i arbetet och inställning till överordnande eller rör konstruktionen av mätinstrument inom psykologi och andra beteendevetenskaper. Vidare nämns kriminologiska undersökningar för forskningsändamål och enkäter som görs av kommittéer. Dessa och liknande undersök- ningar kan enligt förarbetena inte alltid sägas ske för statistiska ända- mål.9

6.4.6Uppgift om enskilds personliga eller ekonomiska förhållande

Statistiksekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Härigenom skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även andra uppgifter som på något sätt kan hänföras till en viss enskild.10

6.4.7Absolut sekretess

Bestämmelsen om statistiksekretess innehåller inte något skaderekvi- sit. Statistiksekretessen är således absolut och det är som huvudregel förbjudet att lämna ut några som helst uppgifter. Skälen till den starka sekretessen för uppgifter i statistikverksamhet diskuteras i förarbetena till den tidigare sekretesslagen. I propositionen anges att

9Prop. 1979/80: 2 Del A s. 263.

10Prop. 1979/80:2 Del A s. 263.

98

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

det i fråga om statistikuppgifter finns en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial och hän- synen till den enskildes integritet.11 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset i detta sammanhang framstår som förhållandevis svagt, medan integritetsintresset däremot är påtagligt. Registeruppgifter från exempelvis Statistiska centralbyrån är visserligen var för sig tämligen harmlösa, men en sammanställning av sådana uppgifter är ofta integritetskänslig. Behovet av ett starkt sekretesskydd beträffande statistiken beror också, enligt proposi- tionen, på att statistikkvaliteten blir dålig om inte den enskilde upp- giftslämnaren är säker på att hans eller hennes uppgifter inte kom- mer ut.

Skälen för det starka sekretesskyddet utvecklas vidare i förarbet- ena till den senaste ändringen av bestämmelsen om statistiksekre- tess.12 Ett motiv som anges är att uppgiftslämnarna ska kunna lita på att de uppgifter de lämnar inte används för andra ändamål än de har samlats in för. Det anförs också att det i en statistikverksamhet ofta förekommer uppgifter som hämtats in på olika sätt och som det är praktiskt svårt att hålla åtskilda. Uppgiftslämnarnas förtroende för att uppgifterna endast används för de ändamål de har samlats in för är en av de grundläggande förutsättningarna för framställning av statistik av god kvalitet. Om uppgiftslämnarna skulle misstänka att uppgifterna kan komma att spridas eller användas för andra ändamål än de som uppgifterna samlats in för, finns det en risk att uppgifts- lämnarna lämnar felaktiga uppgifter, snedvridna svar eller helt avstår från att lämna uppgifter.

I 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen an- ges vissa undantag från den absoluta sekretessen. De som bör tas upp i detta sammanhang är undantaget för uppgift som behövs för forsk- nings- och statistikändamål och uppgift som inte är direkt hänförlig till den enskilde.

11Prop. 1979/80:2 Del A s. 262.

12Prop. 2013/14:162 s. 13.

99

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

6.4.8Undantaget för uppgift för forsknings- och statistikändamål

Inledning

Enligt 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen får uppgift som behövs för forsknings- eller statistikändamål trots sekretessreglering lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Det omvända skaderekvisitet innebär att det finns en presumtion för sekretess.

Möjligheten till utlämnande för forsknings- och statistikändamål är avsedd att tillämpas mycket restriktivt.13 Utlämnande till andra statistikansvariga myndigheter bör i realiteten endast komma i fråga för sådana som själva tillämpar statistiksekretess. Då blir skyddet lika starkt som hos de myndigheter som lämnar ut uppgifterna.

Forskningsändamål

Vad som avses med forskningsändamål anges inte närmare i offent- lighets- och sekretesslagen eller förarbetena till lagen. Undantags- bestämmelsen om utlämnande av uppgifter för forskningsändamål motiveras i förarbetena med att det finns behov av att genombryta sekretessen i vissa särskilda fall, såsom för forskning om yrkessjuk- domar.14

I förarbetena till den senaste ändringen av 24 kap. 8 § offentlig- hets- och sekretesslagen anförs att vad som avses med forsknings- ändamål till viss del klargjorts genom domstolarnas tillämpning av undantagsbestämmelsen.15 I propositionen hänvisas till två rättsfall.

I RÅ 1992 not. 456 begärde en utredare med uppdrag hos Statens jordbruksverk att hos Statistiska centralbyrån få ut en förteckning av målnummer och respektive tingsrätt avseende brotten djurplågeri och brott mot djurskyddslagen. Uppgifterna lämnades inte ut. Upp- gifterna medgav direkt identifiering av de personer som målen gällde och det ändamål som uppgifterna hade begärts ut för ansågs snarare vara att hänföra till ett bestämt utredningsuppdrag än vetenskapligt studium.

13Prop. 1994/95:200 s. 28 och 38.

14Prop. 1979/80:2 del A s. 264.

15Prop. 2013/14:162 s. 10.

100

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

I rättsfallet RÅ 2004 ref. 9 begärde en medicinklinik att från Socialstyrelsens dödsorsaksregister få uppgift om dödsorsak beträff- ande vissa namngivna före detta patienter. Uppgifterna skulle samman- ställas i statistiska tabeller och användas för kvalitetsuppföljning inom vården. Erfarenheter från vården av tidigare, sedermera avlidna patienter skulle användas vid vården av levande patienter. Regerings- rätten (numera Högsta förvaltningsdomstolen) konstaterade att vad som avses med forskningsändamål inte har preciserats i lagtexten och att inte heller förarbetena ger någon ledning för fastställande av innebörden av begreppet forskningsändamål. Efter en genomgång av 2 § etikprövningslagen och 3 § lagen (1998:543) om hälsodataregister i deras dåvarande lydelser samt vissa förarbetsuttalanden uttalade Regeringsrätten att den åtskillnad som i olika sammanhang görs mellan forskning å ena sidan och uppföljning, utvärdering och kvali- tetssäkring å andra sidan bör upprätthållas även vid tillämpning av den nu aktuella bestämmelsen. Uppgifterna kunde därför inte lämnas ut med hänvisning till att de skulle behövas för forskningsändamål.

Statistikändamål

Sedan en lagändring 1995 får även uppgifter som behövs för stati- stikändamål lämnas ut efter en skadeprövning. Syftet med lagänd- ringen var att säkra tillgången till uppgifter för framställning av statistik, framför allt den officiella statistiken, även i de fall det inte finns bestämmelser om uppgiftsskyldighet som bryter statistiksekret- essen.16

I förarbetena till den senaste ändringen av bestämmelsen om statistiksekretess konstateras att det inte anges i lagtexten och inte heller explicit uttrycks i förarbetena vad som avses med statistik- ändamål.17 Det anförs att det, mot bakgrund av lagstiftningens syfte, är rimligt att tolka uttrycket statistikändamål så att det endast om- fattar användning av uppgifterna för framställning av statistik utan anknytning till något särskilt ärende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt ärende, kan de således inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål.

16Prop. 1994/95:200 s. 28.

17Prop. 2013/14:162 s. 11.

101

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

6.4.9Undantaget för uppgifter som inte är direkt hänförliga till den enskilde

Uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock bara ske under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Även här gäller således ett omvänt skaderekvisit. Undantaget infördes för att tillgodose behovet av detaljerad stati- stik.18 Bestämmelsen avser inte bara utlämnande för forsknings- och statistikändamål, utan är generellt tillämplig. Med likande förhåll- ande avses enligt förarbetena exempelvis telefonnummer eller fastig- hetsbeteckning. Begreppet enskild omfattar också avliden.19

6.5Sekretess för uppgifter hos Myndigheten för vård- och omsorgsanalys

Regeringen har med stöd av 24 kap. 8 § andra stycket offentlighets- och sekretesslagen meddelat föreskrifter om sekretess i 7 § offent- lighets- och sekretessförordningen. I bestämmelsen regleras sekre- tess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden hos ett antal myndigheter avseende vissa särskilda under- sökningar.

Hos Myndigheten för vård- och omsorgsanalys gäller sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i två typer av undersökningar, dels sådana som rör vårdens och omsorgens funktionssätt samt om effektiviteten i stat- liga åtaganden och verksamheter inom vård och omsorg, dels utvär- deringar av information om vård och omsorg som lämnas till enskilda samt av statliga reformer och andra statliga initiativ inom vård och omsorg.

18Prop. 1979/80:2 Del A s. 264.

19Prop. 1979/80:2 Del A s. 264.

102

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

I dessa typer av undersökningar och utvärderingar gäller således som huvudregel absolut sekretess för uppgifter som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Undantag från den absoluta sekretessen gäller enligt 24 kap. 8 § tredje stycket första meningen, dvs. för uppgift som behövs för forsknings- och statistikändamål och uppgift som inte är direkt hänförlig till den enskilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser enskildas personliga förhållan- den, och annars i högst tjugo år.

6.6Möjligheterna för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys

Som anges i det föregående är den sekretess som föreskrivs i 24 kap.

8§ offentlighets- och sekretesslagen absolut. Det innebär att uppgift som avser enskilds personliga eller ekonomiska förhållanden som huvudregel inte får lämnas ut. Sekretess gäller i regel även mellan myndigheter, dvs. även mellan Socialstyrelsen och Statistiska central- byrån i förhållande till Myndigheten för vård- och omsorgsanalys. Frågan är om något av de undantag från statistiksekretessen som redovisas ovan är tillämpliga i de fall Myndigheten om vård- och omsorgsanalys begär ut personuppgifter från Socialstyrelsen eller Statistiska centralbyrån för att använda i sin analysverksamhet.

6.6.1Undantaget för uppgift som behövs för forskningsändamål

Som redovisats i det föregående har Myndigheten för vård- och omsorgsanalys till uppgift att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Myndigheten ska vidare följa upp och analysera vårdens och om- sorgens funktionssätt, effektivitetsgranska statliga åtaganden och verksamheter samt bistå regeringen med underlag och rekommen- dationer för effektivisering av statlig verksamhet och styrning. Till

103

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

myndighetens arbetsuppgifter hör också att utvärdera sådan infor- mation om vården och omsorgen som lämnas till den enskilde, bistå med utvärderingar och uppföljningar av beslutade eller genomförda statliga reformer och andra statliga initiativ samt att bedriva om- världsbevakning och genomföra internationella jämförelser. I myn- dighetens uppdrag ingår således inte uttryckligen forskning, och som anges i avsnitt 4.2.2 anser myndigheten inte att dess verksamhet i dag utgör forskning. Merparten av myndighetens anställda är dock disputerade forskare och myndigheten anlitar externa forskare som bedriver forskning på myndighetens uppdrag. Myndigheten tillämpar vidare vetenskapliga principer och metoder i sitt analysarbete.

Myndigheten för vård- och omsorgsanalys har till regeringen lämnat in en begäran om ändring av myndighetens instruktion som innebär att en del av myndighetens verksamhet ska kvalificeras som forskning. Någon sådan ändring har inte genomförts. Det är inte heller säkert att en ändring av instruktionen är tillräckligt för att uppgifter ska kunna lämnas från Socialstyrelsen och Statistiska centralbyrån till Myndigheten för vård- och omsorgsanalys med stöd av undantagsbestämmelsen. Det krävs också att de utlämnande myn- digheterna gör bedömningen att de särskilda projekt eller den verk- samhet som uppgifterna ska användas i bedöms som forskning i det konkreta fallet.

6.6.2Undantaget för uppgift som behövs för statistikändamål

Myndigheten för vård- och omsorgsanalys är inte en statistikansva- rig myndighet. Vid utlämnande av uppgifter från Socialstyrelsen och Statistiska centralbyrån med stöd av undantaget för uppgifter som behövs för statistikändamål är det emellertid inte nödvändigt att den mottagande myndigheten är en statistikansvarig myndighet. Social- styrelsen och Statistiska centralbyrån gör en prövning av samtliga omständigheter i det enskilda fallet för att bedöma om undantags- bestämmelsen är tillämplig.

Enligt uppgift från Socialstyrelsen är det ovanligt att myndig- heten får anledning att fundera kring skillnaden mellan den verksam- het som utförs av statistikansvariga myndigheter och verksamhet i annan med statistik jämförlig undersökning som utförs av myndig- het, eftersom utlämnande vanligtvis sker till andra statistikansvariga

104

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

myndigheter. Generellt kan dock sägas att Socialstyrelsen bara läm- nar ut uppgifter från hälsodata- och socialtjänstregistren när upp- gifterna hos mottagaren också omfattas av absolut statistiksekretess. Myndigheten gör en helhetsbedömning av verksamheten, med stöd av de riktlinjer som anges i offentlighets- och sekretesslagens förarbeten (se avsnitt 6.4.4 och 6.4.5) för att avgöra om det rör sig om en sådan särskild verksamhet för framställning av statistik eller annan jämförbar undersökning som avses i undantagsbestämmelsen.

Hos myndigheten för vård- och omsorgsanalys gäller statistik- sekretess för vissa särskilda undersökningar (se avsnitt 6.5). Det innebär emellertid inte att Socialstyrelsen utan vidare prövning kan lämna ut personuppgifter till myndigheten. En förutsättning är att undantaget för statistikändamål från den absoluta sekretessen är tillämpligt i det enskilda fallet. Med utgångspunkt i förarbetena till offentlighets- och sekretesslagen prövar Socialstyrelsen om person- uppgifterna ska användas i undersökningar för att framställa statistik i ett allmänt utredande syfte, utan samband med något särskilt ärende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt ärende, kan de inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål.20

Inte heller Statistiska centralbyrån har några i förväg uppställda kriterier som ska vara uppfyllda för att en verksamhet ska anses innefatta sådan statistikproduktion som innebär att undantaget för statistik i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen blir tillämpligt. Bedömningen är beroende av om uppgifterna behövs för statistikändamål hos mottagaren. Utlämnandefrågor avgörs emellertid inte bara på den grunden att det är statistik som ska produceras med det material som myndigheten lämnar ut. I bedöm- ningen är flera omständigheter av betydelse. Statistiska centralbyrån beaktar om det organ som begär ut uppgifterna har en avgränsad statistikverksamhet. Det är av betydelse om uppgifterna ska lämnas ut till en myndighet och om statistiksekretess gäller för uppgifterna hos den mottagande myndigheten. Vissa mottagare har tidigare prövats och bedömts lämpliga att få ut uppgifter med stöd av undantags- bestämmelsen, t.ex. vissa kommuner och regioner, och kan få ut uppgifter igen. Den som begär ut uppgifter kan också visa att det

20Jämför prop. 2013/14:162 s. 9 och 11.

105

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

finns stöd för ett utlämnande av annat skäl, till exempel på grund av ett särskilt uppdrag från regeringen.

Hittills har utlämnande av uppgifter från Socialstyrelsen och Statistiska centralbyrån till Myndigheten för vård och omsorgs- analys inte skett med stöd av undantagsbestämmelsen för uppgifter som behövs för statistikändamål.

6.6.3Undantaget för uppgift som inte är direkt hänförlig till den enskilde

Undantaget för uppgifter som inte genom namn, annan identitets- beteckning eller därmed jämförbart förhållande är direkt hänförliga till den enskilde är generellt tillämpligt, och gäller inte enbart vid utlämnande för forskning- och statistikändamål. Anonymiserade upp- gifter kan således lämnas ut från Socialstyrelsen eller Statistiska centralbyrån trots statistiksekretess, om myndigheterna vid skade- prövningen bedömer att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Eftersom uppgifter som omfattas av statistiksekretess har ett så starkt skydd, innebär ett utlämnande som medför att uppgifterna kommer att omfattas av ett svagare sekretesskydd i sig en risk för skada.21 Även om användningen av uppgifterna hos mottagaren inte medför någon skada, kan det svagare sekretesskyddet hos mottag- aren medföra att uppgifterna lämnas vidare på ett sätt som medför skada. Vid den utlämnande myndighetens skadeprövning är det så- ledes av betydelse vilket sekretesskydd uppgifterna kommer att ha hos den mottagande myndigheten.

När det gäller skadeprövningen i samband med utlämnande av uppgifter till Myndigheten för vård och omsorgsanalys kan det kon- stateras att absolut sekretess gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i undersökningar som rör vårdens och omsorgens funktionssätt samt om effektivi- teten i statliga åtaganden och verksamheter inom vård och omsorg. Sådan sekretess gäller också vid utvärderingar av information om vård och omsorg som lämnas till enskilda samt av statliga reformer och andra statliga initiativ inom vård och omsorg. Sekretesskyddet hos Myndigheten för vård- och omsorgsanalys är, när det gäller

21Prop. 2013/14:162 s. 12.

106

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

sådana undersökningar och utvärderingar som anges ovan, således det samma som i statistikverksamheten hos Socialstyrelsen och Statistiska centralbyrån. Vid utlämnande av uppgifter från Social- styrelsen och Statistiska centralbyrån till sådana undersökningar och utvärderingar hos Myndigheten för vård- och omsorgsanalys lär skade- prövningen resultera i att uppgifter kan lämnas ut.

Uppgifter, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförliga till den enskilde kan användas för vissa typer av analyser och undersökningar hos Myndigheten för vård- och omsorgsanalys. Som beskrivits i avsnitt 4.4.2 har myndigheten emellertid i vissa fall behov av att rikta sig direkt till en viss grupp av patienter, brukare och andra grupper. I sådana projekt är det inte tillräckligt att få tillgång till anonymi- serade uppgifter från Socialstyrelsen och Statistiska centralbyrån.

Myndigheten har också behov av att återkommande vända sig till en viss grupp individer för att följa utvecklingen över tid. Även för sådana utvärderingar och uppföljningar krävs uppgifter på individ- nivå för att kunna identifiera en viss grupp och återkomma till samma personer efter en viss tid. I 16–17 §§ statistiklagen finns det särskilda bestämmelser om att en statistikansvarig myndighet i sam- band med utlämnande av uppgifter som inte är direkt hänförliga till en enskild kan förse uppgifterna med en beteckning som hos den utlämnande myndigheten kan kopplas till personnummer eller mot- svarande. Bestämmelserna är avsedda att tillämpas vid longitudinella studier, det vill säga mätning av utvecklingen över tiden av en och samma företeelse, och sådana likartade studier.22 En sådan åtgärd får emellertid bara vidtas om den som uppgifterna lämnas ut till ska använda dem för forskning eller statistik (17 § statistiklagen).

6.7Sekretessbrytande bestämmelser

Huvudregeln är att sekretess gäller även mellan myndigheter. Det har dock ansetts att sekretessregleringen inte bör hindra myndig- heter från att utväxla uppgifter i de fall där intresset av att upp- gifterna lämnas ut bör ha företräde framför det intresse som sekre- tessen ska skydda. Ett antal sekretessbrytande bestämmelser och

22Prop. 2000/01:27 s. 52 f.

107

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

SOU 2018:52

undantag från sekretessen har därför införts i offentlighets- och sekretesslagen.

Bestämmelser som endast bryter sekretess enligt en viss bestäm- melse eller enligt några få bestämmelser finns i anslutning till be- rörda sekretessbestämmelser i lagens fjärde och femte avdelningar. Om det inte finns någon särskild sekretessbrytande regel, får en bedömning göras om någon av de generella sekretessbrytande bestäm- melserna i lagens tionde kapitel är tillämplig. Exempelvis hindrar inte sekretess att en uppgift lämnas till en annan enskild eller till en myndighet om den enskilde samtycker till det (10 kap. 1 § offentlig- hets- och sekretesslagen). Enligt den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Den bestämmelsen gäller dock uttryckligen inte i fråga om bl.a. statistiksekretess enligt 24 kap. 8 § offentlighets- och sekre- tesslagen (10 kap. 27 § andra stycket offentlighets- och sekretess- lagen).

6.7.1Uppgiftslämnande på grund av lag eller förordning

Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en annan myndighet om upp- giftsskyldighet följer av lag och förordning. En uppgiftsskyldighet i en lag eller förordning ska således gälla före en sekretessbestämmelse för samma uppgift. På detta sätt kan man reglera skyldighet för myndigheter att lämna ut uppgifter av ett visst slag, en viss myndig- hets rätt att ta del av uppgifter i allmänhet eller reglera en myndig- hets skyldighet att lämna ut uppgifter till andra myndigheter. Det följer t.ex. av 6 § statistikförordningen att statliga myndigheter har skyldighet att till statistikansvariga myndigheter lämna de uppgifter som behövs för framställning av officiell statistik.

108

SOU 2018:52

Utlämnande av personuppgifter till Myndigheten för vård- och omsorgsanalys

6.7.2Sekretessbrytande bestämmelse för uppgifter hos Socialstyrelsen och Statistiska centralbyrån

Utlämnande av uppgifter från Socialstyrelsen och Statistiska central- byrån kan som huvudregel inte ske på grund av statistiksekretess. I detta sammanhang kan dock övervägas om det finns skäl att i lag eller förordning föreskriva en skyldighet för dessa myndigheter att lämna vissa uppgifter till Myndigheten för vård- och omsorgsanalys. Frågan är om det skulle kunna vara ett sätt att tillförsäkra Myndig- heten för vård- och omsorgsanalys tillgång till uppgifter som myn- digheten behöver för att utföra sitt uppdrag.

Inför införandet av en sekretessbrytande bestämmelse krävs vissa överväganden. I detta fall ska behovet av ett starkt skydd för upp- gifter om enskilda hos de statistikansvariga myndigheterna beaktas. Som anförs i avsnitt 6.4.7 är ett skäl för den absoluta sekretessen för uppgifter hos statistikansvariga myndigheter att uppgiftslämnarna ska kunna lita på att de uppgifter de lämnar inte används för andra ändamål än de har samlats in för. Uppgiftslämnarnas förtroende för att uppgifterna bara används för de ändamål de har samlats in för är en av de grundläggande förutsättningarna för framställning av stati- stik av god kvalitet. Dessa skäl ska vägas mot Myndigheten om vård- och omsorgsanalys behov av snabb och effektiv analys för att kunna fullgöra sitt uppdrag från regeringen. Av betydelse är också att Myndigheten för vård- och omsorgsanalys ska ha möjlighet att fram- ställa korrekta och ändamålsenliga analyser som kan vara till nytta för patienter, brukare och andra medborgare.

För det fall avvägningen resulterar i att uppgiftsskyldighet bör införas för Socialstyrelsen och Statistiska centralbyrån krävs det för att en sådan bestämmelse ska beaktas att den har en viss grad av konkretion. Det bör t.ex. övervägas om bestämmelsen ska ålägga myndigheterna att lämna ut vissa uppgifter eller vissa kategorier av uppgifter. Det bör också beaktas om det i bestämmelsen ska anges om uppgifterna, för att det ska finnas uppgiftsskyldighet, ska användas för särskilda ändamål hos Myndigheten får vård- och omsorgsanalys.

109

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

7.1.2Behandling med stöd av samtycke

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys har möjlighet att behandla personuppgifter med stöd av samtycke enligt artikel 6.1 a i dataskyddsförordningen.

Behandling av personuppgifter får enligt artikel 6.1 a i dataskydds- förordningen ske om den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4 punkt 11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig vilje- yttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. I artikel 7 i dataskydds- förordningen finns ytterligare bestämmelser om samtycke, som är nya i förhållande till dataskyddsdirektivet och personuppgiftslagen. Där anges bl.a. att den personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt. En begäran om samtycke ska göras i en begriplig och lätt tillgänglig form med användande av klart och tydligt språk och kunna särskiljas från andra frågor. Samtycket kan när som helst tas tillbaka.

Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp- giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Någon motsvarande skrivning fanns inte i skälen till data- skyddsdirektivet. Det kan alltså inte uteslutas att kraven på samtycke i vissa situationer när samtycke utgör den rättsliga grunden för behandling av personuppgifter har skärpts något i förhållande till vad som gällde innan dataskyddsförordningen började tillämpas. I skäl 171 till dataskyddsförordningen finns också skrivningar som verkar förut- sätta att ett samtycke enligt dataskyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen. Där anges nämligen att om behandling grundar sig på samtycke enligt dataskyddsdirektivet behöver den registrerade inte lämna ett nytt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen efter det att dataskyddsförordningen har börjat tillämpas, om det sätt på

114

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

vilket samtycket gavs överensstämmer med villkoren i dataskydds- förordningen.

Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden avseende dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I yttrandet anges att typen av registeransvarig kan vara avgörande för valet av rättslig grund för behandling av personupp- gifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av personuppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbets- uppgift av allmänt intresse. Att använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har offi- ciella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vård- situation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt. Artikel 29-gruppen menar dock att sam- tycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är tillräckligt frivilligt.1

Myndigheten för vård- och omsorgsanalys är en offentlig myn- dighet där behandlingen av personuppgifter många gånger är knuten till utförandet av en arbetsuppgift av allmänt intresse. Det finns därför skäl att analysera om ett samtycke kan lämnas frivilligt och därmed utgöra stöd för behandling av personuppgifter.

I egenskap av att vara en oberoende analysmyndighet har myndig- heten ett mycket renodlat uppdrag bestående i analys och uppfölj- ning på övergripande nivå. Den hanterar inte enskilda personers ärenden och har alltså inte någon möjlighet att påverka utfallet i enskilda ärenden. Myndigheten analyserar över huvud taget inte enskilda fall som rör individer, utan gör analyser på övergripande nivå, generellt sett nationellt. Enskilda personer och fall saknar i den bemärkelsen betydelse.

Inte heller fördelar myndigheten ekonomiska bidrag eller har någon direkt inverkan på resursfördelning, som skulle kunna påverka enskilda personers situation. Myndigheten har inget tillsynsuppdrag

1Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13–14 och 16–17.

115

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

och utför inga inspektioner. Den har inte heller i övrigt några makt- befogenheter. Analysobjekt anges i rapporter endast på en över- gripande nivå och i sådan form att det inte går att härleda uppgifterna till någon enskild, även när det rör sig om s.k. goda exempel.

Det sagda innebär att myndigheten är helt fristående från den verksamhet som analyseras. De personer som tillfrågas om samtycke, såväl patienter och brukare som personal vid exempelvis vårdinrätt- ningar, har ingen relation till myndigheten i övrigt, varför myn- digheten inte kan utöva någon påtryckning mot de registrerade. Det bör även tilläggas att genom att myndigheten har ett renodlat upp- drag förhåller det sig alltid så att myndigheten inte har någon sådan överordnad roll i förhållande till enskilda personer. Vissa andra myndigheter kan ha mer uppdelade uppdrag, där myndighetsutöv- ning sker på viss avdelning och analys på annan. I de fallen kan det möjligen vara svårare för den enskilde att förstå vems frågor den svarar på. I Myndigheten för vård- och omsorgsanalys fall är det dock inte så.

Sammantaget bedömer utredningen att registrerade som exempelvis medverkar i en enkätundersökning som ingår i ett analysprojekt inte kan sägas befinna sig i en sådan beroendeställning i förhållande till myndigheten att kravet på frivillighet inte kan uppfyllas. Samtycke kan således i de allra flesta fall lämnas frivilligt och därmed utgöra grund för behandling av personuppgifter i Myndigheten för vård- och omsorgsanalys verksamhet. Myndigheten måste dock göra en bedömning av om kravet på frivillighet är uppfyllt i varje enskilt fall. För det fall kravet på frivillighet bedöms vara uppfyllt när det gäller en viss behandling av personuppgifter som myndigheten utför måste även de övriga kraven på samtycke i dataskyddsförordningen följas.

Av praktiska skäl är det inte möjligt att stödja all behandling som myndigheten behöver utföra på samtycke. Som anges i avsnitt 4.4.2 är det vid genomförande av analyser, som innebär att en större mängd personuppgifter samlas in från andra aktörer än den registrerade själv, inte hanterbart att inhämta samtycke från samtliga registrerade. Sådan behandling av personuppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hälsoegenskap kan inte heller ske med samtycke, eftersom samtycke kan lämnas först när kontakt har tagits.

116

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

7.1.3Behandling för att utföra en arbetsuppgift av allmänt intresse

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys har möjlighet att behandla personuppgifter med stöd av den rättsliga grunden arbetsuppgift av allmänt intresse i arti- kel 6.1 e i dataskyddsförordningen.

Arbetsuppgift av allmänt intresse

Behandling av personuppgifter får enligt artikel 6.1 e i dataskydds- förordningen ske om den är nödvändig för att utföra en arbets- uppgift av allmänt intresse. Vad som är ett allmänt intresse definieras varken i dataskyddsförordningen eller i dataskyddsdirektivet. Inne- börden av begreppet allmänt intresse i dataskyddsregleringen har ännu inte heller närmare utvecklats av EU-domstolen.

Hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i enlighet med vad som anges i skäl 45 till dataskyddsförordningen i allmän- intresset.

Datalagskommittén har som exempel på arbetsuppgifter som kan vara av allmänt intresse nämnt arkivering, forskning, framställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar och registrering som sker av personer som har fått allmänt erkända utmärkelser, t.ex. Nobelpris.2 I andra förarbeten har det ansetts vara ett viktigt allmänt intresse t.ex. att Rättsmedicinalverket kan upprätthålla och förbättra kvaliteten och enhetligheten i sitt arbete med uppföljning, utvärdering och kvali- tetssäkring3, att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredsställande sätt4 och att Inspektionen för socialförsäk- ringen får behandla känsliga personuppgifter vid sin tillsyn och granskning.5 Datainspektionen har bl.a. ansett att förbättrande av

2SOU 1997:39 s. 361.

3Prop. 1998/99:72 s. 38.

4Prop. 2000/01:80 s. 144.

5SOU 2014:67 s. 112.

117

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

kvaliteten inom hälso- och sjukvården är en verksamhet av allmänt intresse.6

I förarbetena till dataskyddslagen anges att rent språkligt kan be- greppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse.7 Utöver en hän- visning till vad som anges i skäl 45 till dataskyddsförordningen, konstateras i propositionen att begreppet förekommer i motsvar- ande bestämmelser i artikel 7 e dataskyddsdirektivet och 10 § d per- sonuppgiftslagen och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Vidare anges att, när personuppgiftslagen var tillämplig, nödvän- dig behandling av personuppgifter i t.ex. myndigheternas verksam- het kunde ske efter en intresseavvägning enligt 10 § f personupp- giftslagen. Den motsvarande bestämmelsen i dataskyddsförord- ningen, artikel 6.1 f, gäller dock inte för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade är också fortfarande begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt (skäl 43). För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse.8

Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är, enligt propositionen, av allmänt intresse.9 Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste, enligt propositionen, gälla även i dataskydds- förordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse. Begreppet upp- gifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i data- skyddsförordningen behöver den personuppgiftsansvarige inte vara

6Datainspektionens rapport 2002:1 Nationella kvalitetsregister, s. 9.

7Prop. 2017/18:105 s. 55 f.

8Prop. 2017/18:105 s. 56.

9Prop. 2017/18:105 s. 56 f.

118

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig.

I propositionen konstateras alltså att den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grun- den i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.10

När det gäller behandling av personuppgifter för statistiska ändamål anges i propositionen att den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse.11 Personuppgifter kan således samlas in och i övrigt behandlas för detta statistiska ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen. Detsamma bör, enligt propositionen, gälla vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i uppdraget. I dataskydds- förordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nöd- vändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av person- uppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson.

Regeringen har genom myndighetsinstruktionen gett Myndig- heten för vård- och omsorgsanalys i uppdrag att bedriva uppföljnings- och analysarbete ur ett patient-, brukar- och medborgarperspektiv. Vid inrättandet av myndigheten angavs att en av målsättningarna med myndigheten var att stärka patienternas och medborgarnas ställning och inflytande genom att följa upp, utvärdera och effektivitets- granska hälso- och sjukvården samt offentliggöra resultaten för patienter, medborgare och andra aktörer inom hälso- och sjuk- vården.12 Uppdraget har därefter utvidgats till att även omfatta hela

10Prop. 2017/18:105 s. 57.

11Prop. 2017/18:105 s. 122 f.

12Dir. 2010:58.

119

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

socialtjänstens område. Verksamheten består huvudsakligen i att ta fram kunskapsunderlag och rekommendationer till beslutsfattare rörande vårdens och omsorgens funktionssätt och styrning. Syftet med myndighetens verksamhet är att bidra till att förbättra och effektivisera vården, tandvården och omsorgen samt stärka patient- ernas och brukarnas ställning. Att olika aspekter av verksamheten inom hälso- och sjukvård, tandvård och omsorg på detta sätt följs upp och utvärderas av en oberoende myndighet i syfte att effektivi- sera och förbättra verksamheten får anses vara av stort samhälleligt intresse.

Det kan också konstateras att delar av Myndigheten för vård- och omsorgsanalys analysverksamhet väl överensstämmer med data- skyddsförordningens definition av en verksamhet med ett statistiskt ändamål. Resultatet av myndighetens behandling består inte av personuppgifter, utan av aggregerade personuppgifter, och resultatet används inte till stöd för åtgärder eller beslut som avser en särskild person. Myndigheten för vård- och omsorgsanalys är inte en stati- stikansvarig myndighet, men de statistiska åtgärder som myndig- heten vidtar är i vissa fall nödvändig för att myndigheten ska kunna utföra sitt fastställda uppdrag. Mot bakgrund av dataskyddsför- ordningens definition av statistiska ändamål och uttalandena i pro- positionen angående behandling av personuppgifter för statistiska ändamål gör utredningen bedömningen att den statistikverksamhet som myndigheten utför för att utföra sitt fastställda uppdrag är en arbetsuppgift av allmänt intresse. Sammanfattningsvis är det således utredningens uppfattning att den verksamhet som Myndigheten för vård- och omsorgsanalys bedriver med stöd av sin instruktion, utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Nödvändighetskravet

För att behandlingen av personuppgifter ska vara tillåten måste den vara nödvändig för att utföra arbetsuppgiften av allmänt intresse. Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. Enligt EU-domstolen har begreppet nödvändigt i dataskyddsdirektivet en unionsrättslig innebörd. Kravet

120

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

på nödvändighet enligt dataskyddsdirektivet har inte ansetts inne- bära att det ska vara omöjligt att utföra arbetsuppgiften om inte personuppgifter behandlas. Trots att en arbetsuppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behand- lingen anses nödvändig om den innebär effektivitetsvinster.13

Enligt förarbetena till dataskyddslagen bör EU-domstolens praxis om nödvändighetskravet i dataskyddsdirektivet kunna utgöra stöd även vid tolkning av dataskyddsförordningen.14 Enligt proposi- tionen bör det t.ex. i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed be- handla personuppgifter på automatisk väg, eftersom manuell infor- mationshantering inte utgör ett realistiskt alternativ.

Myndigheten för vård- och omsorgsanalys måste alltså inför en planerad behandling göra en bedömning av om behandlingen är nödvändig. Om personuppgifter inte behövs i det aktuella projektet eller om en arbetsuppgift kan utföras nästan lika enkelt och till nästan samma kostnad utan att personuppgifter behandlas, är nöd- vändighetskravet inte uppfyllt och behandlingen därmed inte tillåten.

Grunden ska vara rättsligt fastställd

Grunden för sådan behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse måste enligt arti- kel 6.3 i dataskyddsförordningen fastställas i nationell rätt eller EU- rätt.

I skäl 45 till dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgifts- ansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av orda- lydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den behandling av person- uppgifter som ska ske med stöd av dessa rättsliga grunder. Det som

13EU-domstolens dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724.

14Prop. 2017/18:105 s. 47.

121

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myn- dighet.15

I propositionen betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § regerings- formen, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riks- dagen har beslutat, utan även andra författningar och t.ex. sedvane- rätt.16 Legalitetsprincipen innebär alltså att myndigheternas makt- utövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.17

Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EU- domstolen och Europadomstolen. Även detta är, enligt proposi- tionen, ett uttryck för legalitetsprincipen och utgör således inte någon nyhet inom den svenska offentliga förvaltningen.18 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. be- handling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§ regerings- formen.

15Prop. 2017/18:105 s. 49 f.

16KU 1973:26 s. 59.

17Prop. 2017/18:105 s. 50.

18Prop. 2017/18:105 s. 51.

122

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses inte, enligt propositionen, att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag.19 Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Sam- manfattningsvis konstateras i propositionen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmel- ser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.

När det gäller frågan om nationell reglering av behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen konstateras i propositionen att det framgår direkt av dataskydds- förordningen att för en laglig behandling krävs det att, förutom att den arbetsuppgift som den personuppgiftsansvarige utför ska vara av allmänt intresse, också att arbetsuppgiften ska vara fastställd i enlig- het med unionsrätten eller den nationella rätten samt att behand- lingen ska vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften. Någon ytterligare reglering på nationell nivå behövs således inte i detta avseende.20 Enligt propositionen krävs det dock en bestämmelse i dataskyddslagen som tydliggör hur en uppgift av allmänt intresse ska fastställas för att kunna utgöra en grund för behandling av personuppgifter. I 2 kap. 2 § 1 dataskyddslagen finns därför en upplysningsbestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författ- ning.

Myndigheten för vård- och omsorgsanalys arbetsuppgifter fram- går som nämnts av myndighetens instruktion. Arbetsuppgifterna är således fastställda i förordning. Den övergripande arbetsuppgiften att ur ett patient-, brukar-, och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg i enlighet med 1 § i instruktionen preciseras i

19Prop. 2017/18:105 s. 51 f.

20Prop. 2017/18:105 s. 61 f.

123

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

de följande bestämmelserna. Av 2–3 §§ framgår att uppdraget inne- bär att myndigheten ska följa upp och analysera vårdens och om- sorgens funktionssätt, effektivitetsgranska statliga åtaganden och verksamheter, inom sitt verksamhetsområde bistå regeringen med underlag och rekommendationer för effektivisering av statlig verk- samhet och styrning, kontinuerligt utvärdera sådan information om vården och omsorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglig- het, på regeringens uppdrag bistå med utvärderingar och uppfölj- ningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt inom sitt verksamhetsområde bedriva omvärlds- bevakning och genomföra internationella jämförelser. För de sär- skilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad varje analys eller uppföljning ska omfatta.21 Myndigheten ska även, enligt 4 § i instruktionen, varje år i en särskild analys- och granskningsplan ange vilken huvudsaklig inriktning verksamheten ska ha under året. I den planen specificeras, förutom regeringsuppdragen, även de pro- jekt som myndigheten avser att initiera på egen hand.22

I de verksamheter som myndigheten har i uppdrag att analysera behandlas ett stort antal personuppgifter, även känsliga sådana, vilket torde vara tydligt för de registrerade. Att myndigheten behöver behandla en betydande mängd personuppgifter för att fullgöra sitt uppdrag att på olika sätt analysera dessa verksamheter är därmed förutsägbart. Myndighetens uppdrag anges i förordning och preci- seras genom regeringsuppdrag och analysplaner. Utredningen är därför av uppfattningen att regleringen av myndighetens uppdrag är tillräckligt tydlig, precis och förutsägbar för att kunna utgöra en rättslig fastställelse av arbetsuppgiften av allmänt intresse. Grunden för behandlingen är således fastställd på det sätt som krävs enligt dataskyddsförordningen.

21Se t.ex. regeringens beslut dnr S2016/07779/RS.

22Se t.ex. Myndigheten för vård- och omsorgsanalys analysplan för 2017 s. 25–41.

124

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Syftet med behandlingen ska vara nödvändigt

Vid behandling av personuppgifter med stöd av artikel 6.1 e i data- skyddsförordningen måste dessutom syftet med behandlingen enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda arbetsuppgiften och riktar sig till den som bestämmer ändamålen för behandlingen, dvs. som regel den personuppgiftsansvarige. Det innebär alltså att den speci- fika behandlingen måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra arbetsuppgiften av allmänt intresse. En bedömning av detta måste göras av myndig- heten i samband med varje behandling.

Kravet på att syftet ska vara nödvändigt ska enligt förarbetena till dataskyddslagen inte tolkas som att arbetsuppgiften av allmänt in- tresse måste vara avgränsad så att den bara kan utföras på ett sätt.23 Den metod som den personuppgiftsansvarige väljer för att utföra sin arbetsuppgift måste dock – som all offentlig förvaltning – vara ända- målsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss arbetsuppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken behandling av personuppgifter som kan aktualiseras. Om ett upp- drag i stället har reglerats på en mer övergripande och resultat- inriktad nivå, kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse inne- bär alltså i sig en spärr mot helt onödig behandling av personupp- gifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.

Proportionalitet och mål av allmänt intresse

Unionsrätten eller den nationella rätt som utgör den rättsliga grun- den för behandlingen av personuppgifter enligt artikel 6.1 e i data- skyddsförordningen måste enligt artikel 6.3 andra stycket sista

23Prop. 2017/18:105 s. 60 f.

125

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

meningen i dataskyddsförordningen också uppfylla ett mål av all- mänt intresse och vara proportionell mot det legitima mål som efter- strävas. Det finns därmed en gräns för vilka arbetsuppgifter som över huvud taget kan läggas till grund för behandling av personuppgifter.

Bestämmelsen om att unionsrätten eller medlemsstaternas natio- nella rätt ska uppfylla ett mål av allmänt intresse och vara proportio- nell med det legitima mål som eftersträvas motsvarar, enligt för- arbetena till dataskyddslagen, det krav som Europakonventionen ställer på lagstiftaren i en rättsstat.24 Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § regerings- formen att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör, enligt propositionen, utgångs- punkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Den personuppgiftsansvarige behöver därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden och följa de grundläggande principerna i artikel 5. Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet.25

Utredningen har ovan konstaterat att den uppföljnings- och ana- lysverksamhet som Myndigheten för vård- och omsorgsanalys be- driver enligt instruktionen utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Av samma skäl får regleringen av myndighetens arbetsuppgifter anses uppfylla ett mål av allmänt intresse.

Myndighetens arbetsuppgifter, inklusive den behandling av per- sonuppgifter som uppdraget medför, synes väl avvägda i förhållande till syftet med myndighetens verksamhet. Dessutom måste myndig- heten i sin verksamhet beakta skyddet mot betydande intrång i den

24Prop. 2017/18:105 s. 50.

25Se 5 § förvaltningslagen (2017:900). Lagen träder i kraft den 1 juli 2018.

126

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

personliga integriteten enligt 2 kap. 6 § andra stycket regerings- formen. Utredningen är mot denna bakgrund av uppfattningen att regleringen av myndighetens arbetsuppgifter med råge når upp till dataskyddsförordningens proportionalitetskrav. Kraven enligt arti- kel 6.3 andra stycket sista meningen i dataskyddsförordningen är därmed uppfyllda.

7.1.4Inget behov av nationell reglering av rättslig grund för myndighetens behandling

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys har möjlighet att stödja behandling av personuppgifter som inte är känsliga direkt på bestämmelserna i dataskyddsförord- ningen. Det behövs därmed inte någon särskild nationell reglering av rättslig grund för behandlingen av personuppgifter vid Myn- digheten för vård- och omsorgsanalys.

Myndigheten för vård- och omsorganalys har, som utredningen konstaterat i avsnitt 7.1.2 och 7.1.3, möjlighet att behandla person- uppgifter med stöd av de rättsliga grunderna samtycke och arbets- uppgift av allmänt intresse. Myndigheten synes alltså ha goda möjlig- heter att behandla sådana personuppgifter som inte är känsliga och som behövs i verksamheten enbart med stöd av regleringen i data- skyddsförordningen. Någon särskild författningsreglering i syfte att utgöra stöd för behandling av personuppgifter som inte är känsliga verkar därför inte behövas. För behandling av känsliga personupp- gifter ställer dock dataskyddsförordningen särskilda krav, se avsnitt 7.2 nedan.

När myndigheten behandlar personuppgifter med stöd av någon av de ovan angivna grunderna måste givetvis dataskyddsförord- ningens reglering i övrigt tillämpas. Myndigheten måste alltså bl.a. se till att de grundläggande principerna i artikel 5 i dataskyddsför- ordningen iakttas, de säkerhetsåtgärder som dataskyddsförordningen kräver vidtas och den registrerades rättigheter tillgodoses.

Även om myndigheten har stöd i dataskyddsförordningen för en behandling av personuppgifter, måste myndigheten, som när person- uppgiftslagen upphävts inte har stöd i svensk lag för behandling av personuppgifter, se till att behandlingen inte strider mot 2 kap. 6 §

127

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

andra stycket regeringsformen om skydd mot betydande intrång i den personliga integriteten som sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden.

7.2Behandling av känsliga personuppgifter

7.2.1Regleringen i dataskyddsförordningen

För att känsliga personuppgifter ska få behandlas är det inte tillräck- ligt att det finns en rättslig grund enligt artikel 6 i dataskyddsför- ordningen. Vid sådan behandling måste även artikel 9 i dataskydds- förordningen beaktas. Av artikel 9.1 i dataskyddsförordningen fram- går att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter.

I 3 kap. dataskyddslagen finns kompletterande bestämmelser om behandling av känsliga personuppgifter. Enligt 3 kap. 1 § dataskydds- lagen avses med känsliga personuppgifter sådana uppgifter som avses i artikel 9.1 i dataskyddsförordningen. Enligt propositionen är motivet till att använda det tidigare begreppet känsliga personuppgifter i lagen att det begreppet är väl inarbetat, även på EU-nivå, och att det är språkligt enklare att använda och förstå, inte minst i författ- ningstext.26 Utredningen använder därför också begreppet känsliga personuppgifter för de kategorier av uppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen.

Förbudet mot att behandla känsliga personuppgifter komplet- teras av ett antal undantag i artikel 9.2 i dataskyddsförordningen, som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas. Några av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske.

26Prop. 2017/18:105 s. 75.

128

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Av artikel 9.2 a i dataskyddsförordningen följer att känsliga per- sonuppgifter får behandlas med stöd av ett uttryckligt samtycke från den registrerade. Om behandlingen sker på grundval av EU-rätten eller medlemsstaternas nationella rätt, kan känsliga personuppgifter också behandlas bl.a. av hänsyn till ett viktigt allmänt intresse (9.2 g), i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (9.2 h och 9.3) och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (9.2 j).

Nedan berörs enbart de undantag som bedöms relevanta för Myndigheten för vård- och omsorgsanalys att tillämpa.

7.2.2Undantag för behandling med stöd av samtycke

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys har möjlighet att behandla känsliga personuppgifter med stöd av ett uttryckligt samtycke enligt artikel 9.2 a i dataskydds- förordningen.

Känsliga personuppgifter får med stöd av artikel 9.2 a i dataskydds- förordningen behandlas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av personuppgifterna för ett eller flera specifika ändamål.

I propositionen till dataskyddslagen konstateras att bestämmel- sen motsvarar artikel 8.2 a i dataskyddsdirektivet.27 Vid införandet av personuppgiftslagen ansåg regeringen att det inte fanns något integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om.28 Det infördes därför varken någon sådan bestäm- melse i lag eller någon möjlighet för regeringen eller Datainspek- tionen att föreskriva om förbud mot behandling trots den regi- strerades samtycke. Regeringen anser att det inte heller nu med anledning av dataskyddsförordningen bör införas ett förbud mot behandling trots den registrerades samtycke.29 Den registrerades

27Prop. 2017/18:105 s. 76.

28Prop. 1997/98:44 s. 69.

29Prop. 2017/18:105 s. 76.

129

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

uttryckliga samtycke medför alltså även fortsättningsvis att känsliga personuppgifter får behandlas.

De krav på samtycke som redovisats i avsnitt 7.1.2 gäller även för samtycke enligt den nu aktuella artikeln. Av samma skäl som anges i det avsnittet förefaller det i många fall vara möjligt för Myndig- heten för vård- och omsorgsanalys att stödja behandling av känsliga personuppgifter på samtycke. Som anges i det ovan nämnda avsnittet finns det dock praktiska svårigheter med att använda samtycke som grund för all behandling av personuppgifter myndigheten behöver utföra.

7.2.3Undantag för viktiga allmänna intressen

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys kan inte stödja behandling av känsliga personuppgifter direkt på undantaget för ett viktigt allmänt intresse i artikel 9.2 g i dataskyddsförordningen. Inte heller de generella nationella undan- tagen kan tillämpas.

Känsliga personuppgifter får enligt artikel 9.2 g i dataskyddsför- ordningen behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller med- lemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är inte definierat i dataskyddsdirektivet eller dataskydds- förordningen och begreppets innebörd har inte heller utvecklats närmare av EU-domstolen. I förarbetena till dataskyddslagen kon- stateras att det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse.30 Enligt propositionen torde det dock stå klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det också anses utgöra ett viktigt

30Prop. 2017/18:105 s. 83 f.

130

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.

Utredningen har i avsnitt 7.1.3 konstaterat att den uppföljnings- och analysverksamhet som Myndigheten för vård- och omsorgs- analys bedriver utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Av samma skäl får myndighetens arbetsuppgifter anses utgöra ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen.

Ytterligare en förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt är att behandlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Enligt propositionen som föregick data- skyddslagen innebär detta att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen.31 Att grun- den för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär inte ett krav på att själva behand- lingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, arbetsuppgiften av allmänt intresse respektive myndig- hetsutövningen som ska ha stöd i rättsordningen.

För att behandling av känsliga personuppgifter ska få ske ställs särskilda krav på det rättsliga stödet.32 Detta måste vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. I propositionen konsta- teras att dessa krav på det rättsliga stödet motsvarar kraven för att begränsa de rättigheter som skyddas av EU:s stadga om de grund- läggande rättigheterna. I artikel 52 i stadgan anges att varje begräns- ning i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter.

31Prop. 2017/18:105 s.48 f. och s. 84.

32Prop. 2017/18:105 s. 84.

131

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

Vad som utgör det väsentliga innehållet i rätten till dataskydd definieras inte i dataskyddsförordningen. Det anförs i propositionen att det är svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd.33 Om grunden för behandlingen inte är förenlig med det väsentliga inne- hållet i rätten till dataskydd lär den inte utgöra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara upp- fyllda vid all behandling av personuppgifter i allmänt intresse. Däremot tillkommer, enligt propositionen, ett krav på att gällande rätt inne- håller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Detta krav överensstämmer med det som har gällt även enligt dataskyddsdirek- tivet och innebär således ingen ny begränsning av möjligheten att behandla känsliga personuppgifter. Det innebär inte heller att undan- taget i sig måste genomföras i svensk rätt för att vara tillämpligt.

Utredningen bedömer att det inte helt klart framgår av arti- kel 9.2 g i dataskyddsförordningen att ett undantag avseende be- handling av känsliga personuppgifter måste regleras i nationell rätt. Den nationella regleringen ska i vart fall omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Att tolka bestämmelsen som att det utöver reglering av skyddsåtgärder är tillräckligt att verksamheten i sig är reglerad skulle innebära en betydande utvidg- ning av möjligheten att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse jämfört med vad som gällde enligt dataskyddsdirektivet. Där angavs nämligen i artikel 8.4 att medlems- staterna i sin nationella lagstiftning fick besluta om undantag från förbudet mot att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse. Det var också enligt artikeln tillåtet med nationell lagstiftning som gav tillsynsmyndigheten möjlighet att besluta om undantag. Det är inte troligt att en utvidgning, som innebär att det inte längre ska krävas något nationellt författnings- stöd för själva behandlingen, har varit avsedd. Härtill kommer att det är svårt att förstå vad kravet på proportionalitet i artikel 9.2 g i data- skyddsförordningen skulle avse om det inte hänför sig till den

33Prop. 2017/18:105 s. 84.

132

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

reglering som tillåter behandlingen av hänsyn till ett viktigt allmänt intresse.

Även om det alltså inte är helt klart vad skrivningen om nationell rätt i artikel 9.2 g i dataskyddsförordningen innebär gör utredningen bedömningen att det är sannolikt att EU-domstolen vid en pröv- ning, av de skäl som anges ovan, skulle komma fram till att stöd i nationell rätt för själva behandlingen krävs. Utredningen är därför av uppfattningen att behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys direkt med stöd av arti- kel 9.2 g i dataskyddsförordningen och den skyddsåtgärd som gäll- ande sekretessreglering kan sägas innebära inte bör komma i fråga.

I dataskyddslagen finns det för myndigheter ett generellt undan- tag från förbudet mot att behandla känsliga personuppgifter. Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker enbart med stöd av den bestämmelsen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

I propositionen konstateras att för att myndigheter ska kunna bedriva sin verksamhet är det ofta nödvändigt att behandla känsliga personuppgifter, och i många fall sker behandlingen i den registrerades eget intresse.34 Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndig- heterna. I många fall finns sådana bestämmelser i sektorsspecifika författningar om behandling av personuppgifter. Det finns också bestämmelser som tillåter behandling av känsliga personuppgifter på ett mer indirekt sätt, t.ex. i form av bestämmelser som anger att uppgifter eller handlingar ska överlämnas till andra myndigheter eller till enskilda som begär det. Det behov av att behandla känsliga personuppgifter som därutöver finns hos myndigheter var på per- sonuppgiftslagens tid tillgodosett genom att viss behandling var tillåten genom den s.k. missbruksregeln i 5 a § personuppgiftslagen och enligt 8 § personuppgiftsförordningen. Dataskyddsdirektivets

34Prop. 2017/18:105 s. 84 f.

133

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

krav på skyddsåtgärder har i svensk rätt ofta ansetts tillgodosett genom att personuppgifterna omfattas av bestämmelser om sekre- tess. Det har också ansetts utgöra en skyddsåtgärd att bara tillåta behandling av känsliga personuppgifter som inte innefattar ett miss- bruk av personuppgifterna.35

Enligt 8 § personuppgiftsförordningen fick känsliga personupp- gifter behandlas av en myndighet i löpande text, om uppgifterna hade lämnats i ett ärende eller var nödvändiga för handläggningen av det. Här avsågs sådan behandling som var oundviklig i en myn- dighets verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) krav, såsom krav på diarieföring och skyldighet att ta emot e-post.36 Bestämmelsen möjliggjorde t.ex. att känsliga personuppgifter fick finnas i skälen till ett beslut, när det krävdes för att uppfylla kraven på att beslut ska innehålla de skäl som bestämt utgången. Dessutom har bestämmelsen ansetts ge stöd för att personuppgifter behandlas i ärendehanteringssystem, då de förekommer i handlingar med löpande text.37 Den formulering som användes i 8 § personuppgifts- förordningen har däremot inte ansetts omfatta s.k. faktisk verksam- het som en myndighet bedriver, t.ex. rådgivning och annan service, uppföljning eller olika former av samverkan utan ärendeanknyt- ning.38 Vid faktisk verksamhet var det således bara 5 a § personupp- giftslagen som kunde tillämpas, om sektorsspecifik reglering sak- nades. Det kan enligt propositionen inte råda något tvivel om att det är ett viktigt allmänt intresse att myndigheterna kan sköta sina uppdrag på ett korrekt, rättssäkert och effektivt sätt. Det gäller även i den faktiska verksamheten. Missbruksregeln i 5 a § personupp- giftslagen har dock ingen motsvarighet i dataskyddsförordningen. Det kan inte heller tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personupp- gifter ska få behandlas. Enligt propositionen krävs det därför sär- skilda bestämmelser i dataskyddslagen som är tillämpliga för alla

35Prop. 2005/06:173 s. 34.

36Prop. 2017/18:105 s. 86.

37SOU 2015:39 s. 306.

38Jämför Lagrådets yttrande över förslaget till lag om behandling av personuppgifter inom socialtjänsten, prop. 2000/01:80 s. 272.

134

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

myndigheter och som uppfyller kraven i artikel 9.2 g i dataskydds- förordningen.39

Myndigheten för vård och omsorgsanalys har behov av att be- handla känsliga personuppgifter utöver vad som krävs när uppgifter har lämnats till myndigheten och behandling krävs enligt lag. I be- stämmelsen avses sådan behandling som är en direkt följd av exem- pelvis offentlighets- och sekretesslagens och förvaltningslagens40 krav, dvs. den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar.41

Enligt det andra undantaget får känsliga personuppgifter behand- las av en myndighet med stöd av artikel 9.2 g dataskyddsförord- ningen om behandlingen är nödvändig för handläggningen av ett ärende. I förarbetena till bestämmelsen anförs att begreppet ärende används som avgränsning för förvaltningslagens område, och enligt regeringens mening bör det användas även i den aktuella bestäm- melsen. Kännetecknande för ett ärende är enligt förarbetena att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet.42 Ett ärende avslutas genom ett beslut av något slag. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Myn- digheten för vård- och omsorgsanalys kan inte sägas utföra sådan ärendehandläggning som avses i bestämmelsen när myndigheten genomför sina analyser. Myndigheten kan således inte stödja sin behandling av känsliga personuppgifter i analysverksamheten på denna bestämmelse.

Enligt de tredje undantaget i 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den personliga integriteten. Här avses sådan behandling av känsliga personuppgifter som utförs inom ramen för myndighetens faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden.43 Det kan t.ex. röra sig om att myn- digheten besvarar en fråga från en medborgare som via e-post uppgett

39Prop. 2017/18:105 s. 80 ff.

40En ny förvaltningslag (2017:900) träder i kraft den 1 juli 2018.

41Prop. 2017/18:105 s. 86 f.

42Prop. 2017/18:105 s. 87 samt prop. 2016/17:180 s. 23–25 och 286.

43Prop. 2017/18:105 s. 88.

135

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

känsliga personuppgifter eller att känsliga personuppgifter fram- kommer vid kommunikationen mellan skola och föräldrar eller inom en myndighet i samband med utvärdering av den egna verksamheten.

Enligt personuppgiftslagen var sådan behandling tillåten med stöd av missbruksregeln i 5 a § personuppgiftslagen, om behandlingen inte innebar en kränkning av den registrerades personliga integritet. Regeringen anser, mot bakgrund av vikten av att samhällets funk- tioner upprätthålls, att dataskyddslagen på ett likartat sätt bör ge myndigheterna ett visst utrymme för behandling av känsliga person- uppgifter även i den faktiska verksamheten.

Bestämmelsen är avgränsad till behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Det utgör ett ytterligare villkor utöver det som gällde enligt missbruksregeln i 5 a § person- uppgiftslagen.44 Den närmare innebörden av begreppet viktigt all- mänt intresse bör enligt propositionen överlämnas till rättstillämp- ningen att utveckla. Bestämmelsen är avsedd att användas restriktivt. Genom formuleringen ”i annat fall” förtydligas att bestämmelsen tar sikte på sådan behandling av känsliga personuppgifter som inte omfattas av övriga bestämmelser i dataskyddslagen om behandling av känsliga personuppgifter för viktiga allmänna intressen.

Bestämmelsen innehåller vidare ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet.45 Detta krav motverkar att känsliga personuppgifter be- handlas slentrianmässigt i den löpande verksamheten, utan att annat författningsstöd finns. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebär inte att den personuppgifts- ansvarige måste göra en bedömning i förhållande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla upp- gifterna är, desto större är dock sannolikheten för att de regi- strerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt. Vid bedömningen av de registrerades intresse bör vikt läggas vid sådana aspekter som uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma

44Prop. 2017/18:105 s. 89.

45Prop. 2017/18:105 s. 89 f.

136

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

att få och risken för vidarebehandling för andra ändamål än insam- lingsändamålet. Den närmare betydelsen av begreppet otillbörligt intrång bör dock också ges utrymme att utvecklas i rättstillämp- ningen. I propositionen påpekas att det vid behandling som innebär betydande intrång i den personliga integriteten och innebär övervak- ning eller kartläggning av den enskildes personliga förhållanden krävs särskilt lagstöd enligt 2 kap. 6 och 20 §§ regeringsformen.

Behandlingen av känsliga personuppgifter hos Myndigheten för vård- och omsorgsanalys behöver ske i större omfattning än vad det tredje undantaget i 3 kap. 3 § dataskyddslagen medger. Inte heller denna bestämmelse kan således ge stöd för behandling av känsliga personuppgifter i myndighetens analysverksamhet.

Enligt 3 kap. 3 § andra stycket dataskyddslagen är det förbjudet att enbart med stöd av första stycket utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet omfattar alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.46 Sökförbudet har dock begränsats till att avse de fall då behandlingen sker enbart med de generella myndighetsundantagen som grund. Förbudet gäller endast vid sådan behandling av känsliga personuppgifter som utförs med stöd av de särskilda bestämmelser som gäller för myndigheter enligt 3 kap. 3 § dataskyddslagen med hänsyn till viktiga allmänna intressen. Sökbegränsningarna gäller således inte vid behandling som sker med stöd av bestämmelser i en registerförfattning. Avvikande bestäm- melser i lag eller i förordning kan således enligt propositionen införas, förutsatt att det finns andra lämpliga och särskilda skydds- åtgärder för den registrerade.

Inget av de undantag från förbudet att behandla känsliga person- uppgifter med hänsyn till ett viktigt allmänt intresse som finns i 3 kap. 3 § dataskyddslagen kan tillämpas som stöd för Myndigheten för vård- och omsorgsanalys behandling av känsliga personuppgifter i myndighetens analysverksamhet. Vidare kan myndigheten ha be- hov av att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, framför allt på uppgifter om hälsa. Myndigheten för vård- och omsorgsanalys kan således inte, enligt utredningens bedömning, stödja sin behandling av känsliga personuppgifter direkt på undantaget för ett viktigt allmänt intresse

46Prop. 2017/18:105 s. 90 f.

137

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

i artikel 9.2 g i dataskyddsförordningen eller de generella nationella undantagen.

7.2.4Undantag för hälso- och sjukvård samt social omsorg

Utredningens bedömning: Undantaget för hälso- och sjukvård samt social omsorg i artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen kan utgöra grund för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgs- analys.

Behandling av känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diag- noser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälso- området. En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten är att uppgifterna enligt artikel 9.3 i data- skyddsförordningen behandlas av eller under ansvar av en yrkes- utövare eller annan person som omfattas av tystnadsplikt. I 3 kap. 5 § dataskyddslagen finns, i syfte att tydliggöra regleringen, mot- svarande undantag.

Undantaget för hälso- och sjukvård har justerats något i jämförelse med motsvarande bestämmelse i dataskyddsdirektivet. Bland annat har social omsorg lagts till. Vad som avses med social omsorg framgår inte av dataskyddsförordningen. I propositionen anges att det sanno- likt är arbetsuppgifter som utförs inom socialtjänsten som avses, men att det i avsaknad av praxis är svårt att närmare avgränsa inne- börden av begreppet.47 Utredningen instämmer i den bedömningen och anser att social omsorg innefattar sådan verksamhet som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom social- tjänsten.

47Prop. 2017/18:105 s. 93.

138

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Begreppet administration av hälso- och sjukvård har ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. Med förvaltning av tjänster för hälso- och sjukvård, social omsorg och deras system avses enligt skäl 53 till dataskyddsförordningen bl.a. behandling som utförs av förvaltningen och centrala nationella hälso- vårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg. I propositionen till data- skyddslagen anförs att det av skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt. Detta innebär för svenskt vidkommande, enligt propositionen, att bestämmelsen även omfattar den verksamhet som bedrivs av bl.a. Socialstyrelsen, Inspektionen för vård och omsorg, Folkhälso- myndigheten och Myndigheten för vård- och omsorgsanalys.48

Myndigheten för vård- och omsorgsanalys skulle möjligen i vissa fall kunna sägas bedriva kvalitetskontroll. Myndigheten kan inte anses ingå i förvaltningen av hälso- och sjukvården eller den sociala omsorgen och är inte en hälsovårdsmyndighet. Myndigheten bedri- ver inte heller någon tillsyn. Mot bakgrund av regeringens bedöm- ning att verksamheten vid Myndigheten för vård- och omsorgsanalys omfattas av hälso- och sjukvårdsundantaget i dataskyddsförord- ningen får det dock anses att myndigheten får behandla känsliga personuppgifter i sin analysverksamhet med stöd av artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen. De per- soner som arbetar med myndighetens analysverksamhet omfattas av tystnadsplikt (se avsnitt 6.5) på det sätt som krävs.

Bestämmelserna i 3 kap. 5 § dataskyddslagen utgör ett sådant lagstöd som tillåter betydande intrång i den personliga integriteten (2 kap. 6 § och 20 §§ regeringsformen).

48Prop. 2017/18:105 s. 93.

139

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

7.2.5Undantag för statistikändamål

Utredningens bedömning: Undantaget för behandling för sta- tistiska ändamål i artikel 9.2 j dataskyddsförordningen och 3 kap. 7 § dataskyddslagen kan utgöra grund för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys.

Enligt artikel 9.2 j i dataskyddsförordningen är behandling av känsliga personuppgifter tillåten om behandlingen är nödvändig för bl.a. statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförord- ningen, på grundval av unionsrätten eller medlemsstaternas natio- nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Med statistiska ändamål avses varje åtgärd som vidtas för den insam- ling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resul- tat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller personuppgift- erna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson.

Bestämmelsen i artikel 9.2 j i dataskyddsförordningen aktuali- seras både vid insamling av känsliga personuppgifter för statistiska ändamål och vid vidarebehandling av känsliga personuppgifter för sådana ändamål. Kravet på lämpliga och särskilda åtgärder överens- stämmer med det som gäller för behandling av känsliga personupp- gifter med hänsyn till andra viktiga allmänna intressen enligt arti- kel 9.2 g i dataskyddsförordningen.49 Dessa krav motsvarar i sin tur det krav på skyddsåtgärder som ställs i dataskyddsdirektivet om viktiga allmänna intressen, som legat till grund för personuppgifts- lagens bestämmelser om behandling av personuppgifter för statistiska ändamål. Detta innebär att förutsättningarna för att det ska vara tillåtet att behandla känsliga personuppgifter för statistiska ändamål i huvudsak är desamma som enligt dataskyddsdirektivet.

49Prop. 2017/18:105 s. 123.

140

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Enligt 19 § andra stycket personuppgiftslagen fick känsliga per- sonuppgifter behandlas för statistikändamål, om behandlingen var nödvändig på sätt som angavs i 10 § personuppgiftslagen och om samhällsintresset av det statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas person- liga integritet som behandlingen kunde innebära. I 19 § tredje stycket personuppgiftslagen angavs att förutsättningarna enligt andra stycket skulle anses uppfyllda om behandlingen hade godkänts av en forskningsetisk kommitté, dvs. ett sådant särskilt organ för pröv- ning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. I förarbetena till 19 § andra stycket personuppgiftslagen anges att viss statistik är så viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke.50 Ibland tar samhällsintresset över intresset av att skydda enskildas personliga integritet. Vidare framgår att det mot bakgrund av att det finns många olikartade statistikprojekt, vilka som regel pågår bara under en begränsad tid, förefaller lämpligare att göra en avvägning i varje särskilt fall än att i lag införa generella regler om vilken statistik som ska tillåtas. Vid en sådan individuell avväg- ning kan olika faktorer kring projektet, t.ex. hur pass viktig den kunskap är som projektet kan ge, vägas mot intrånget i den enskildes personliga integritet.

Även i förarbetena till dataskyddslagen görs bedömningen att det inte är lämpligt att genom lagstiftning på förhand avgöra exakt i vilka fall behandling av känsliga personuppgifter ska få ske för statistiska ändamål.51 I 3 kap. 7 § dataskyddslagen har det därför införts en avvägningsnorm motsvarande den som fanns i 19 § andra stycket personuppgiftslagen. Behandling av känsliga personuppgifter för statistiska ändamål ska således få ske om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behand- lingen kan innebära. Detta villkor för behandling utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i dataskydds- förordningen. Den praxis som finns avseende 19 § andra stycket personuppgiftslagen bör, enligt propositionen, kunna tjäna som

50Prop. 1997/98:44 s. 71.

51Prop. 2017/18:105 s. 124.

141

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

vägledning även för tillämpningen av bestämmelsen i dataskydds- lagen. För att bestämmelsen ska aktualiseras förutsätts att insam- lingen av personuppgifter är tillåten med stöd av någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen eller att behand- lingen utgör en tillåten vidarebehandling av för andra ändamål insam- lade personuppgifter.

Som konstateras i avsnitt 17.3 kan stora delar av den analysverk- samhet som Myndigheten för vård- och omsorgsanalys ägnar sig åt anses motsvara statistisk verksamhet. Personuppgifter kan, enligt propositionen, med stöd av artikel 6.1 e i dataskyddsförordningen samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myn- dighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag.52 Utredningen bedömer därför att Myndigheten för vård- och omsorgsanalys kan stödja viss del av behandlingen av känsliga personuppgifter på arti- kel 9.2 j i dataskyddsförordningen och 3 kap. 7 § dataskyddslagen.

Bestämmelserna i 3 kap. 7 § dataskyddslagen utgör ett sådant lag- stöd som tillåter betydande intrång i den personliga integriteten (2 kap. 6 och 20 §§ regeringsformen).

7.3Behandling av uppgifter om lagöverträdelser

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys har möjlighet att behandla uppgifter om lagöverträdelser under förutsättning att det finns en rättslig grund för behand- lingen enligt artikel 6.1 i dataskyddsförordningen.

Av artikel 10 i dataskyddsförordningen framgår att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträd- elser som innefattar brott eller därmed sammanhängande säkerhets- åtgärder enligt artikel 6.1 i dataskyddsförordningen endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

52Prop. 2017/18:105 s. 122 f.

142

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Det framgår också att ett fullständigt register över brottmålsdomar endast får föras under kontroll av en myndighet.

Personuppgifter om lagöverträdelser får således behandlas av en myndighet under förutsättning att det finns lagligt stöd för behand- lingen enligt artikel 6.1 i dataskyddsförordningen. Det innebär att Myndigheten för vård- och omsorgsanalys har samma möjligheter att behandla uppgifter om lagöverträdelser som myndigheten har att behandla andra personuppgifter som inte är känsliga, se avsnitt 7.1.

143

Behovet av en reglering

SOU 2018:52

Som framgått av kapitel 7 har Myndigheten för vård- och omsorgs- analys, på grund av regleringen i dataskyddsförordningen och data- skyddslagen, möjlighet att i sin analysverksamhet behandla person- uppgifter, även känsliga sådana. Den allmänna lagstiftningen om behandling av personuppgifter ger således ett stöd för behandlingen.

Det finns emellertid, såsom redogjorts för i avsnitt 3.5.3, en överenskommelse mellan regering och riksdag om att myndighets- register med ett stort antal registrerade och ett särskilt känsligt inne- håll ska regleras särskilt i lag, dvs. inte bara av den allmänna lagstift- ningen om behandling av personuppgifter. Utredningen bedömer att behandlingen av personuppgifter i myndighetens analysverksamhet är sådan att den faller under den överenskommelsen. Därför och då behandlingen bör kringgärdas av mer specifika restriktioner och skyddsåtgärder än som följer av den allmänna dataskyddsregleringen, bör enligt utredningens bedömning behandlingen regleras särskilt i lag. Med en särskild lagreglering blir det tydligt under vilka förut- sättningar myndigheten får behandla personuppgifter.

Den särskilda lagen för analysverksamheten vid Myndigheten för vård- och omsorgsanalys tar, enligt 1 kap. 6 § dataskyddslagen, över de generella bestämmelserna i dataskyddslagen. Det innebär att myn- digheten inte kan åberopa t.ex. bestämmelserna i 3 kap. 5 och 7 §§ dataskyddslagen som stöd för behandling av personuppgifter i ana- lysverksamheten, utan stödet måste i princip finnas i den särskilda lagen; se dock undantag för behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i vissa fall, avsnitt 11.4.2 och

12.2.2.På motsvarande sätt är det med bestämmelserna i dataskydds- förordningen. Myndigheten kan alltså inte på de punkter som regleras i den särskilda lagen i stället åberopa dataskyddsförordningens bestäm- melser. En annan sak är att den särskilda lagen bara bör komplettera dataskyddsförordningen och dataskyddslagen och att bestämmelser i den lagstiftningen blir tillämpliga i den utsträckning något inte är reglerat i den särskilda lagen (se avsnitt 9.4).

146

En ny lag om behandling av personuppgifter

SOU 2018:52

Eftersom den föreslagna lagen inte innehåller några ändamåls- bestämmelser, förefaller det onödigt att ha en uttrycklig bestäm- melse om att Myndigheten för vård- och omsorgsanalys är person- uppgiftsansvarig för den behandling myndigheten utför enligt lagen. Det framgår tillräckligt tydligt redan av definitionen av person- uppgiftsansvarig i artikel 4 i dataskyddsförordningen.

Viss behandling som behöver utföras i myndighetens uppfölj- nings- och analysverksamhet kan innebära ett sådant intrång som avses i 2 kap. 6 § andra stycket regeringsformen. För sådan behand- ling krävs det enligt 2 kap. 20 § regeringsformen ett lagstöd. Som kommer att framgå i det följande föreslår utredningen ett lagstöd för behandling av personuppgifter i uppföljnings- och analysprojekt om projektet har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor (kapitel 10–13). I de allra flesta fall ska behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, som inte sker med stöd av samtycke, enligt förslaget bara vara tillåten om det finns ett sådant godkännande. Om sådana personuppgifter får behandlas i ett godkänt projekt, ska enligt förslaget även andra personuppgifter få behandlas i projektet. Det innebär att all behandling av personuppgifter i projekt som god- känts vid en etisk prövning har ett lagstöd som innebär att behand- lingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

I de allra flesta av myndighetens projekt som kräver att person- uppgifter behandlas utan samtycke från den registrerade lär det, med hänsyn till myndighetens inriktning på hälso- och sjukvård och socialtjänst, behövas vissa känsliga personuppgifter eller uppgifter om lagöverträdelser. Det kan emellertid inte helt uteslutas att myn- digheten i ett projekt behöver behandla bara sådana personuppgifter som inte är känsliga personuppgifter eller uppgifter om lagöver- trädelser men som ändå innebär ett sådant betydande intrång i den personliga integriteten utan samtycke som avses i 2 kap. 6 § andra stycket regeringsformen.

Därför bör det, enligt utredningens mening, finnas en möjlighet att i undantagsfall få behandla sådana personuppgifter i ett viktigt projekt trots 2 kap. 6 § andra stycket regeringsformen, om projektet

148

SOU 2018:52

En ny lag om behandling av personuppgifter

har prövats och godkänts av Etikprövningsmyndigheten eller Över- klagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor. Det kan inte vara fråga om många fall och prövningsmöjligheten är begränsad till fall där integri- tetsskyddsintresset tydligt står på spel. I kapitel 13 föreslår utred- ningen därför en sådan möjlighet.

I kapitel 16 redovisas en samlad bedömning av tillåtligheten enligt regeringsformen av de föreslagna undantagen från skyddet enligt 2 kap. 6 § regeringsformen.

Givetvis måste tillämpliga bestämmelser i dataskyddsförordningen följas även när behandlingen på det beskrivna sättet tillåtits i svensk lag. Ett exempel är att det kan vara nödvändigt att myndigheten före behandlingen och ansökan om prövning av Etikprövningsmyndig- heten alternativt av ett annat särskilt organ för prövning av etiska frågor gör en konsekvensbedömning avseende dataskydd enligt arti- kel 35 i dataskyddsförordningen. Den möjlighet som finns enligt artikel 35.10 i dataskyddsförordningen att i stället göra konsekvens- bedömningen avseende dataskydd i samband med antagandet av nationell lagstiftning kan nämligen, enligt utredningens bedömning, inte användas när det såsom i detta fall i lagstiftningen inte närmare anges vilken behandling som tillåts utan detta överlämnas till en sär- skild prövningsinstans att avgöra.

9.2Nationella bestämmelser som kompletterar dataskyddsförordningen

Utredningens bedömning: Bestämmelser som syftar till att Myn- digheten för vård- och omsorgsanalys ska kunna bedriva sin verk- samhet enligt sin instruktion, som medför en begränsning av rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen och är tillåtna enligt 2 kap. 21 § regeringsformen, är också tillåtna enligt dataskyddsförordningen.

Det är tillåtet att införa krav på skyddsåtgärder hos Myndig- heten för vård- och omsorgsanalys utöver vad som gäller enligt dataskyddsförordningen och att inskränka myndighetens möjlig- heter till behandling.

149

En ny lag om behandling av personuppgifter

SOU 2018:52

Förtydligande bestämmelser som anger vad som är tillåten behandling enligt den direkt tillämpliga dataskyddsförordningen är förenliga med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig och dess bestämmelser är tvingande. Enligt artikel 6.2 i dataskyddsförordningen får med- lemsstaterna dock behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförord- ningen när det gäller behandling av personuppgifter som är nödvän- dig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning, dvs. sådan behandling som avses i artikel 6.1 c och e i dataskyddsförordningen. Den rättsliga grund för behandlingen som enligt artikel 6.3 i dataskyddsförord- ningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka regi- strerade som berörs, de enheter till vilka personuppgifterna får läm- nas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Den rättsliga regleringen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Av avsnitt 7.1.3 framgår att det är utredningens uppfattning att den verksamhet som Myndigheten för vård- och omsorgsanalys bedriver med stöd av sin instruktion utgör en sådan arbetsuppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Bestämmelser som syftar till att myndigheten på ett ändamålsenligt sätt ska kunna bedriva den verksamhet som anses vara av ett allmänt intresse får också anses uppfylla ett mål av allmänt intresse och är därmed tillåtna under förutsättning att de uppfyller kravet på pro- portionalitet.

Rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen får enligt 2 kap. 21 § regeringsformen begränsas endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och

150

SOU 2018:52

En ny lag om behandling av personuppgifter

inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begräns- ningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Även enligt regeringsformen krävs således en proportionalitetsbedömning. I den mån den förslagna regleringen medför en begränsning av rätten till skydd för den per- sonliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen som är tillåten enligt 2 kap. 21 § regeringsformen, är regleringen enligt utredningens bedömning därför även tillåten enligt dataskydds- förordningen, dvs. regleringen klarar då också det proportionali- tetskrav dataskyddsförordningen uppställer. Det kan tilläggas att det även av 2 kap. 19 § regeringsformen och Europakonventionen följer ett krav på att lagstiftning som begränsar rätten till skydd för privatlivet ska vara proportionerlig. I kapitel 16 redovisas utredningens bedömning av de föreslagna reglernas förenlighet med regerings- formens bestämmelser.

Möjligheten att begränsa myndigheters behandling av person- uppgifter och utöka deras skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen är i enlighet med den bedömning utredningen har gjort i det första betänkandet inte begränsad till att avse behandling som sker med stöd av de grunder som anges i artikel 6.1 c och e i dataskyddsförordningen. Dataskyddsförordningen innebär inte en skyldighet att behandla personuppgifter i de fall det är tillåtet annat än när det föreskrivs en sådan skyldighet, t.ex. när det gäller uppfyllandet av den registrerades rättigheter exempelvis avseende registerutdrag. Dataskyddsförordningen innebär inte heller ett förbud mot att en personuppgiftsansvarig väljer att gå utöver sina skyldigheter enligt dataskyddsförordningen och t.ex. lämna regi- strerade mera information än vad som krävs. I den utsträckning personuppgiftsansvariga har en sådan valrätt enligt dataskyddsför- ordningen, är det utredningens bedömning att medlemsstaterna utan hinder av dataskyddsförordningen genom nationell rätt kan disponera över den valrätten för sina egna myndigheter. Det kan därför i nationell rätt föreskrivas att Myndigheten för vård- och omsorgsanalys ska ha mer begränsade möjligheter att behandla personuppgifter eller utökade skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen. Det är t.ex. möjligt att i natio- nell lagstiftning införa krav på begränsande åtgärder i form av skyddsåtgärder. Däremot är det förstås inte tillåtet att i nationell rätt

151

En ny lag om behandling av personuppgifter

SOU 2018:52

föreskriva att myndigheten får göra eller slipper göra något annat än när detta är tillåtet enligt dataskyddsförordningen.

Det är också tillåtet att i viss utsträckning införliva dataskydds- förordningens bestämmelser i nationell rätt. Av skäl 8 till dataskydds- förordningen framgår att om dataskyddsförordningen föreskriver för- tydliganden eller begränsningar av bestämmelserna i dataskyddsförord- ningen genom den nationella rätten kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. I betänkandet föreslås några bestämmelser som anger vad som är tillåten behandling enligt den direkt tillämpliga dataskyddsför- ordningen. Bestämmelserna är enligt utredningens mening sådana förtydligande bestämmelser som är förenliga med EU-rätten, med beaktande av skäl 8 till dataskyddsförordningen.

9.3Lagens tillämpningsområde

Utredningens förslag: Lagen ska gälla vid behandling av per- sonuppgifter i verksamhet vid Myndigheten för vård- och omsorgs- analys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen ska endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

I vissa delar ska lagen även gälla uppgifter om avlidna personer.

9.3.1Verksamhet som bör omfattas av lagen

Tillämpningsområdet för den nya lagen bör utgå från Myndigheten för vård- och omsorgsanalys huvudsakliga uppdrag såsom det är formulerat i 1 § förordningen med instruktion för Myndigheten för vård- och omsorgsanalys (2010:1385). Utredningen föreslår därför att lagen ska vara tillämplig i den del av myndighetens verksamhet som består i att följa upp och analysera verksamheter och förhållanden

152

SOU 2018:52

En ny lag om behandling av personuppgifter

inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Tillämpningsområdet kommer på så sätt att omfatta hela myndighetens uppdrag inklusive hur detta preciseras i 2 och 3 §§ i myndighetens instruktion.

Myndigheten behandlar också personuppgifter i den interna admi- nistrationen vid hantering av exempelvis personal- och lokalfrågor och ekonomiadministration. Behandlingen av personuppgifter i den administrativa verksamheten har inte någon närmare koppling till fullgörandet av de arbetsuppgifter som myndigheten är ålagd att göra inom ramen för dess kärnverksamhet. Den behandling av per- sonuppgifter som sker inom den administrativa verksamheten skiljer sig inte heller nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag och föranleder därför inte något behov av särreglering. Myndighetens behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av den nya lagen. I stället ska, förutom dataskyddsförordningen, data- skyddslagen tillämpas inom den verksamheten.

9.3.2Automatiserad behandling och manuella register

Den nya lagen bör omfatta helt eller delvis automatiserad behandling av personuppgifter och annan behandling om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kri- terier (register). Tillämpningsområdet ansluter därmed till dataskydds- förordningens, dataskyddslagens och flertalet andra registerförfatt- ningars tillämpningsområde. Manuell behandling av personuppgifter som inte ingår i en uppgiftssamling som är strukturerad för sökning eller sammanställning, såsom minnesanteckningar från intervjuer som enbart förs på papper, kommer således inte att omfattas av den nya lagen.

9.3.3Uppgifter om avlidna personer

Dataskyddsförordningen är inte tillämplig på uppgifter om avlidna personer. Medlemsstaterna är dock oförhindrade att låta nationell lagstiftning som kompletterar dataskyddsförordningen ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen. Att

153

En ny lag om behandling av personuppgifter

SOU 2018:52

medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter om avlidna personer framgår dessutom av skäl 27 till dataskyddsförordningen.

Myndigheten för vård- och omsorgsanalys har behov av att behandla bl.a. uppgifter om livslängd i förhållande till olika diag- noser. Om uppgifterna om avslutad livslängd kan hänföras till en- skilda, är uppgifterna sådana som avser avlidna personer. Regeringen har i förarbetena till patientdatalagen (2008:355) konstaterat att det i hälso- och sjukvårdens verksamhet förekommer en mängd upp- gifter om avlidna patienter samt att dessa uppgifter kan vara integri- tetskänsliga.1 Sådana uppgifter omfattas därför av patientdatalagens bestämmelser om behandling av personuppgifter i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna. Tillämpningsområdet har även för vissa andra registerförfattningar utsträckts till att gälla behandling av uppgifter om avlidna personer.2 Däremot omfattas avlidna personer inte av tillämpningsområdet för lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Eftersom Myndigheten för vård- och omsorgsanalys till stor del hanterar uppgifter som kommer från vården, finns det skäl att göra samma bedömning som regeringen har gjort i förhållande till patient- uppgifter. Myndigheten för vård- och omsorgsanalys hanterar dess- utom till övervägande del uppgifter som inte är direkt hänförliga till en enskild och har därmed svårt att, om inte uppgiften i sig indikerar att personen avlidit, särskilja uppgifter om avlidna från uppgifter om levande personer. Att låta samtliga uppgifter om personer omfattas av samma regler framstår därför även som praktiskt motiverat.

Det kan dock inte anses motiverat att kravet på prövning och godkännande av Etikprövningsmyndigheten eller Överklagande- nämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor, även ska gälla projekt med enbart upp- gifter om avlidna. Kravet på etikprövning för forskningsprojekt enligt etikprövningslagen omfattar endast projekt med uppgifter om levande personer. Däremot kommer naturligtvis uppgifter om avlidna

1Prop. 2007/08:126 s. 52.

2Se t.ex. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och

114kap. socialförsäkringsbalken.

154

SOU 2018:52

En ny lag om behandling av personuppgifter

att inkluderas i prövningen om projektet även medför behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser om lev- ande personer.

9.4Förhållandet till annan reglering

Utredningens förslag: Lagen ska innehålla en upplysning om att den kompletterar dataskyddsförordningen.

Dataskyddslagen ska gälla, om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av den.

Vid forskning ska lagen (2003:460) om etikprövning av forsk- ning som avser människor gälla.

9.4.1Dataskyddsförordningen

Dataskyddsförordningen är direkt tillämplig och har företräde fram- för nationell lagstiftning. Den nya lagen om behandling av person- uppgifter i Myndigheten för vård- och omsorgsanalys verksamhet kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör den föreslagna lagen innehålla en bestäm- melse som upplyser om att dataskyddsförordningen gäller. Bestäm- melser bör formuleras på samma sätt som i andra registerlagar inom Socialdepartementets verksamhetsområde som har anpassats till data- skyddsförordningen.3

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tid- punkt gällande lydelsen. Lagrådet har uttalat att en konsekvens- analys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs.4 Eftersom dataskyddsförord- ningen är direkt tillämplig och syftet med hänvisningen i det här

3Prop. 2017/18:171 s. 74.

4Prop. 2015/16:156 s. 34.

155

En ny lag om behandling av personuppgifter

SOU 2018:52

fallet endast är att upplysa om att dataskyddsförordningen gäller, framstår det som mest lämpligt att hänvisningen dit görs dynamisk.

Att dataskyddsförordningen är direkt tillämplig innebär alltså att Myndigheten för vård- och omsorgsanalys, förutom bestämmel- serna i den nya lagen, även ska tillämpa dataskyddsförordningens bestämmelser. En redogörelse för huvuddragen i dataskyddsförord- ningen finns i avsnitt 3.4. Som exempel på bestämmelser som ska tillämpas kan nämnas bestämmelserna om de grundläggande princip- erna för behandling av personuppgifter, den registrerades rättigheter samt den personuppgiftsansvariges skyldigheter att vidta säkerhets- åtgärder och göra konsekvensbedömningar före behandlingar som kan innebära en hög integritetsrisk.

9.4.2Dataskyddslagen

Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen ska den be- stämmelsen tillämpas. Dataskyddslagen är alltså subsidiär i förhåll- ande till annan lagstiftning om behandling av personuppgifter. De flesta registerförfattningar var, när personuppgiftslagen gällde, konstruerade så att de endast kompletterade eller ersatte person- uppgiftslagen i frågor som var specifika för de verksamheter som omfattades av särregleringen. Sedan dataskyddsförordningen började tillämpas kompletterar eller gäller sådana registerförfattningar i stället för dataskyddslagen. Detta innebär att den personuppgiftsansvarige, utöver dataskyddsförordningen, måste beakta såväl den särskilda registerförfattningen som den generella nationella regleringen i data- skyddslagen. Alternativet var tidigare att heltäckande reglera all behandling av personuppgifter i en viss verksamhet i registerför- fattningen. Så skedde också undantagsvis på det område som nu omfattas av dataskyddsförordningen, bl.a. i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, som innehöll hänvisningar till de bestämmelser i personuppgifts- lagen som skulle gälla. I samband med anpassningen till dataskydds- förordningen frångicks den lagstiftningstekniken och numera anges att registerförfattningen kompletterar dataskyddsförordningen och

156

SOU 2018:52

En ny lag om behandling av personuppgifter

att dataskyddslagen gäller om inte annat följer av registerförfatt- ningen eller anknytande föreskrifter.5

Inom Socialdepartementets verksamhetsområde var registerförfatt- ningarna tidigare konstruerade så att de gällde utöver personupp- giftslagen och bara innehöll de särbestämmelser som ansågs nöd- vändiga på det aktuella området. Utredningen föreslog i det första betänkandet att författningarna, när dataskyddsförordningen hade börjat tillämpas, skulle gälla utöver dataskyddslagen. I den efter- följande propositionen anförs att den regleringstekniken, dvs. att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter, kan och bör behållas.6 Eftersom dataskyddslagen som nämnts är subsidiär, behövs ingen materiell bestämmelse för att uppnå detta. Registerförfattningarna innehåller dock ändå ofta en bestämmelse om förhållandet till den generella lagen. Normalt är det en upplysning om att den generella lagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedöm- ningar som gjorts när sådana bestämmelser införts, är det enligt propositionen lämpligt att uttryckligen upplysa om att registerför- fattningen kompletterar dataskyddsförordningen och att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Registerförfattningarna bör därför, enligt propositionen, innehålla en sådan upplysning.

Den nya lagen bör endast reglera frågor som är specifika för den verksamhet som bedrivs av Myndigheten för vård- och omsorgs- analys. De särregler som behövs i förhållande till den generella regleringen är förhållandevis få. Registerlagen bör endast innehålla de från ett ändamåls- eller integritetsskyddsperspektiv viktigaste särbestämmelserna i förhållande till dataskyddsförordningens och dataskyddslagens bestämmelser. Utredningen gör därför bedöm- ningen att det är lämpligt att låta även den nya lagen gälla utöver dataskyddslagen. Alternativet, att i registerlagen heltäckande reglera vilka bestämmelser i dataskyddslagen och anknytande föreskrifter som ska gälla, kan möjligen passa för verksamheter där det behövs ett stort antal undantag och särregler i förhållande till den generella

5Prop. 2017/18:95 s. 51 ff.

6Prop. 2017/18:171 s. 173.

157

En ny lag om behandling av personuppgifter

SOU 2018:52

regleringen. Ett sådant sätt att reglera framstår dessutom som mindre lämpligt mot bakgrund av att även bestämmelserna i den direkt tillämpliga dataskyddsförordningen ska tillämpas.

Eftersom dataskyddslagen är subsidiär, behövs ingen materiell bestämmelse för att den nya lagen ska gälla utöver dataskyddslagen. Av tydlighetsskäl innehåller dock flertalet registerförfattningar en bestämmelse om förhållandet till den generella regleringen. Utred- ningen föreslår därför en bestämmelse som innebär att dataskydds- lagen gäller vid behandling av personuppgifter enligt den föreslagna lagen, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämp- lig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordnings- bestämmelser om undantag från dataskyddslagens tillämplighet gäller.

Bestämmelsen om förhållandet till dataskyddslagen bör formu- leras som i andra registerlagar inom Socialdepartementets verksam- hetsområde som har anpassats till dataskyddsförordningen.7

9.4.3Etikprövningslagen

Lagen om etikprövning av forskning som avser människor, etik- prövningslagen, innehåller bestämmelser om etikprövning av forsk- ning som avser människor. I dag ska lagen tillämpas bl.a. på forsk- ning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden enligt 21 § personupp- giftslagen. Lagen ska dock enligt ett remitterat utkast till lagråds- remiss anpassas till dataskyddsförordningen och från och med 2019 tillämpas bl.a. på forskning som innefattar behandling av personupp- gifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening, genetiska uppgifter, biometriska uppgifter för att entydigt

7Prop. 2017/18:171 s. 74.

158

SOU 2018:52

En ny lag om behandling av personuppgifter

identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Av dessa kategorier av uppgifter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell lägg- ning nya i förhållande till vad som gällde innan dataskyddsförord- ningen började tillämpas. När det gäller uppgifter om lagöverträd- elser föreslås inte någon ändring beträffande vilka uppgifter som ska omfattas.8

Med forskning avses enligt 2 § etikprövningslagen vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund.9 Forskning som omfattas av etikprövningslagens tillämpningsområde får enligt 6 § utföras bara om den godkänts vid en etikprövning.

Myndigheten för vård- och omsorgsanalys bedömer att dess verk- samhet, trots många likheter med forskning, i dag inte utgör någon forskning (se avsnitt 4.3). Utredningens förslag i kapitel 10–12 om att det för viss behandling av personuppgifter i analysverksamheten ska krävas en prövning och godkännande av Etikprövningsmyndig- heten eller Överklagandenämnden för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor avser således inte sådan verksamhet som utgör forskning. Om myndigheten i något fall ändå skulle bedriva forskning, bör den lyda under samma regler som all annan forskning när det gäller behandling av personuppgifter och inte under den av utredningen föreslagna specialregleringen. En bestämmelse som förtydligar att etikprövningslagen ska tillämpas vid forskning bör därför införas. Med forskning av ses detsamma som enligt etikprövningslagen.

8Utkast till lagrådsremiss dnr U2018/01639/F s. 73 och 87 f.

9Förslag på ny definition av begreppet forskning har lämnats i SOU 2017:104.

159

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

konkretiserar i sin verksamhet med uppföljning och analys fråge- ställningarna på motsvarande sätt som vid forskning och använder samma metoder som vid forskning för att besvara dessa.

Vid forskning är problemet, när det gäller känsliga personupp- gifter och uppgifter om lagöverträdelser, numera löst genom systemet med etikprövning som innebär att en extern instans med expert- kompetens enligt ganska konkreta avvägningsnormer i varje enskilt fall bedömer om integritetsintrånget är försvarligt med hänsyn till intresset av behandlingen.

På datalagens tid löstes problemet genom att det krävdes tillstånd av Datainspektionen för att få föra ett forskningsregister och att inspektionen kunde förena tillståndet med skräddarsydda villkor. När personuppgiftslagen infördes 1998 avskaffades tillståndssystemet för nya behandlingar. Behandling av känsliga personuppgifter för forsk- ningsändamål var enligt den ursprungliga lydelsen av personupp- giftslagen tillåten med samtycke eller efter en kvalificerad intresse- avvägning.1 Behandlingen var tillåten om den var nödvändig och om samhällsintresset av det forskningsprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas person- liga integritet som behandlingen kunde innebära. Det betonades att det behövde göras en prövning i varje enskilt fall och att den som regel skulle göras av någon oberoende instans. Därför infördes också en bestämmelse om att förutsättningarna enligt den kvalificerade intresseavvägningen skulle anses uppfyllda om behandlingen hade godkänts av en forskningsetisk kommitté. Med forskningsetisk kommitté avsågs ett sådant särskilt organ för prövning av forsk- ningsetiska frågor som hade företrädare för såväl det allmänna som forskningen och som var knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierade forskning.

Genom införandet 2004 av etikprövningslagen avskaffades möj- ligheten för den personuppgiftsansvarige att själv avgöra om och under vilka förutsättningar behandling utan samtycke av känsliga personuppgifter (och uppgifter om lagöverträdelser) för forsknings- ändamål var tillåten. Den prövningen anförtroddes åt de då nyinrätt- ade oberoende etikprövningsnämnderna, med en person med domar- kompetens som ordförande och i övrigt ledamöter med vetenskaplig

1SOU 1997:39 s. 294 ff. och prop. 1997/98:44 s. 70 ff.

162

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

kompetens och ledamöter som företräder allmänna intressen. I etik- prövningslagen infördes också mer precisa bestämmelser om hur prövningen och den kvalificerade intresseavvägningen skulle gå till. Sedan 2008 ska också forskning som sker med samtycke prövas av etikprövningsnämnd.

Myndigheten för vård- och omsorgsanalys har behov av att behandla vissa känsliga personuppgifter, uppgifter om lagöverträdel- ser och att i vissa fall behandla personuppgifter i sådan omfattning att det, med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och behovet av att koppla samman uppgifterna, innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen (särskilt riskfyllda behandlingar). Det är utredningens slutsats att det bästa sättet att tillfredsställande reglera när Myndigheten för vård- och omsorgsanalys ska få utföra särskilt riskfyllda behand- lingar är att föreskriva att det i varje enskilt fall ska göras en be- dömning av en oberoende och kompetent instans. I kapitel 11–13 redogörs närmare för vilka särskilt riskfyllda behandlingar som Myndigheten för vård- och omsorgsanalys behöver utföra och som bör prövas av en oberoende och kompetent instans.

En del av de analyser Myndigheten för vård- och omsorgsanalys utför sker till följd av uttryckliga uppdrag från regeringen. Om analysprojekten underställs en extern prövning av ett annat organ innebär det en risk för att myndigheten, om ett godkännande inte lämnas, inte kan utföra uppdraget. Lämpligheten i en sådan kon- struktion kan därför diskuteras. Det är dock bara den metod för uppdragets utförande som varit underställd prövningen som inte kan användas om ett godkännande inte lämnas. I många fall kommer myndigheten att kunna anpassa uppläggningen av projektet på ett sätt som gör att regeringsuppdraget ändå kan utföras, exempelvis genom att den del som innefattar särskilt känslig behandling av personuppgifter utgår eller justeras.

Forskningsdatautredningen har övervägt om kravet på etikpröv- ning i etikprövningslagen bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål i stället för att som i dag endast omfatta behandling av känsliga personuppgifter och upp- gifter om lagöverträdelser. En sådan utvidgning skulle innebära att

163

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

även behandling av personuppgifter som inte innebär någon integri- tetsmässig risk skulle omfattas av kravet på etikprövning. Vid be- handling av personuppgifter som inte innebär risk för kränkning av den personliga integriteten finns det dock enligt Forskningsdata- utredningen inte något behov av etikprövning. En utvidgning av etikprövningslagens tillämpningsområde till att omfatta all behand- ling av personuppgifter för forskningsändamål skulle därför, enligt Forskningsdatautredningen, undergräva syftet med etikprövnings- lagen och riskera att urholka förtroendet för systemet. Forsknings- datautredningen har av den anledningen gjort bedömningen att tillämpningsområdet för etikprövningslagen inte bör omfatta all behandling av personuppgifter för forskningsändamål.2 I ett remitterat utkast till lagrådsremiss om behandling av personuppgifter för forsk- ningsändamål görs samma bedömning.3

Mot denna bakgrund anser utredningen att det inte är lämpligt att införa ett krav på en extern prövning av alla myndighetens pro- jekt. Detta kan inte heller anses nödvändigt av integritetsskyddsskäl eller annars.

10.2Någon extern prövning behövs inte vid samtycke

Utredningens förslag: Behandling av personuppgifter med stöd av den registrerades samtycke ska inte omfattas av kravet på pröv- ning av en extern instans.

Etikprövningslagen är i dag som nämnts tillämplig på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser även om behandlingen sker med den registrerades samtycke. Utredningen har därför övervägt om det bör uppställas ett krav på extern prövning också för sådana projekt i vilka myn- digheten behandlar personuppgifter med stöd av samtycke.

Som anges i avsnitt 7.2.2 har Myndigheten för vård- och omsorgs- analys i många fall möjlighet att behandla känsliga personuppgifter med stöd av bestämmelsen om uttryckligt samtycke i artikel 9.2 a i dataskyddsförordningen. Vid enkätundersökningar som riktar sig till ett slumpmässigt urval av befolkningen kan myndigheten tillfråga

2SOU 2017:50 s. 346 ff.

3Utkast till lagrådsremiss U2018/01639/F s. 71 f.

164

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

personerna om de vill delta i en viss studie och om de samtycker till behandling av känsliga personuppgifter. Samma sak gäller vid använd- ning av patientpaneler som finns hos undersökningsföretag, där patienterna på förhand samtyckt till att personuppgifterna behandlas i syfte att kontakta dem om olika enkäter. I dessa situationer har den registrerade möjlighet att aktivt ta ställning till frågan om dennes känsliga personuppgifter ska få behandlas av myndigheten. Den registrerade kan då själv göra en bedömning av hur känsliga de efter- frågade uppgifterna är och vilka integritetsrisker behandlingen av personuppgifterna medför. Behandling som grundas på den regi- strerades uttryckliga samtycke innebär därför som regel inte samma integritetsintrång som behandling som sker utan att den registrerade tillfrågas.

Det har inte framkommit att de studier som i dag sker med stöd av den registrerades samtycke medför sådana integritetsrisker att det är nödvändigt med en extern prövning. Den oberoende prövningen kan i dessa fall sägas ske genom den enskildes egna överväganden. Behandling av personuppgifter som sker med samtycke omfattas inte heller av skyddet mot betydande intrång i den personliga integri- teten enligt 2 kap. 6 § andra stycket regeringsformen.4 Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör därför inte omfattas av ett krav på extern prövning. Är det fråga om behandling av känsliga personuppgifter, krävs enligt artikel 9.2 a i dataskyddsförordningen att samtycket är uttryckligt. Som anges i avsnitt 7.1.2 måste myndigheten i varje enskilt fall ta ställning till om det är möjligt att grunda en behandling på samtycke.

I sammanhanget bör noteras att sådan behandling av person- uppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hälsoegenskap, såsom personer med en viss diag- nos, för att kunna tillfråga dem om samtycke till behandling av känsliga personuppgifter inte kan ske med uttryckligt samtycke. Eftersom kontaktuppgifterna i ett sådant fall avser personer med viss hälsoegenskap, utgör redan behandlingen av kontaktuppgifterna en behandling av känsliga personuppgifter, som inte kan ske med ut- tryckligt samtycke. Det innebär att projekt som förutsätter att per- soner med sådana egenskaper som är känsliga personuppgifter eller uppgifter om lagöverträdelser söks fram måste genomgå en extern

4Prop. 2009/10:80 s. 178 f.

165

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

prövning, även om behandlingen av personuppgifter för själva ana- lysen eller uppföljningen avses ske med uttryckligt samtycke.

10.3Vilken oberoende instans ska göra prövningen?

10.3.1Inledning

Det är en etisk prövning som behöver göras där det bedöms om det i det enskilda fallet är försvarligt att utsätta människor för den aktu- ella behandlingen. Därför bör den instans som gör prövningen helst ha vana att göra etiska bedömningar.

Prövningen bör förstås ske sakligt och opartiskt och det är en fördel om instansen har tillgång till kompetens i fråga om ärende- handläggning. Därför bör den prövande instansen vara eller ingå i en myndighet, som vid fullgörandet av offentliga förvaltningsuppgifter ska iaktta saklighet och opartiskhet (1 kap. 9 § regeringsformen). Med hänsyn till att Myndigheten för vård- och omsorgsanalys är en statlig myndighet med ett rikstäckande uppdrag bör bara statliga myndigheter komma i fråga.

Det är samhällets intresse och behov av den kunskap som det aktuella analysprojektet kan ge som kan motivera integritetsintrånget; i nästa avsnitt redogörs närmare för den avvägningsnorm som bör tillämpas. Därför bör personer som företräder det allmänna ingå i den instans som gör prövningen. Till exempel riksdagsledamöter eller andra ledande företrädare för riksdagspartier är väl skickade att bedöma samhällets intresse och behov. De har också goda förut- sättningar att bedöma hur stort ett visst integritetsintrång kan sägas vara.

Det kan inte vara försvarligt att göra ett integritetsintrång för att få fram viss kunskap som samhället i och för sig har behov av, om den kunskapen redan finns eller om den kan tas fram utan eller med ett mindre integritetsintrång. Därför bör personer med vetenskaplig kompetens också ingå i den instans som gör prövningen. Dugliga forskare på det aktuella området har en kunskapsöverblick och goda förutsättningar för att bedöma vilka metoder som finns för att få fram kunskap.

166

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

10.3.2Etikprövningsmyndigheten är den naturliga instansen

Utredningens förslag: Etikprövningsmyndigheten, eller Överklag- andenämnden för etikprövning, ska göra den externa prövningen av de projekt som bedrivs av Myndigheten för vård- och omsorgs- analys.

I dag finns det regionala etikprövningsnämnder och en central nämnd för etikprövning som har till arbetsuppgift att pröva ansökningar om etikprövning enligt etikprövningslagen. Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning. Med forskning avses enligt 2 § etikprövningslagen vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund.5

Etikprövningslagen ska enligt ett utkast till lagrådsremiss från och med 2019 tillämpas på bl.a. forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller personuppgifter om lagöverträd- elser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden (3 §).6 Även behandling som sker med den registrerades samtycke omfattas numera av etik- prövningslagens tillämpningsområde.7

Forskning får enligt 6 § utföras bara om den godkänts vid en etikprövning. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser bara om behandlingen har godkänts vid etikprövningen.

Utgångspunkterna för etikprövningen regleras i 7–11 §§ etik- prövningslagen. Av bestämmelserna följer bl.a. att etikprövnings- nämnden vid sin prövning ska göra en intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde.

5I SOU 2017:104 föreslås att definitionen av begreppet forskning ska ändras.

6Utkast till lagrådsremiss U2018/01639/F s.10.

7Prop. 2007/08:44 s. 21 ff.

167

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

I etikprövningslagen regleras även etikprövningsnämndernas verk- samhet och sammansättning. Från och med 2019 ändras organisa- tionen.8 De regionala etikprövningsnämnderna ersätts av Etikpröv- ningsmyndigheten och den centrala nämnden för etikprövning döps om till Överklagandenämnden för etikprövning. Etikprövningsmyn- digheten ska vara indelad i verksamhetsregioner (25 § etikprövnings- lagen). Varje verksamhetsregion ska ha en eller flera avdelningar. En avdelning ska pröva ärenden inom vissa forskningsområden. Avdel- ningen ska bestå av en ordförande och femton övriga ledamöter, varav tio ska ha vetenskaplig kompetens och fem företräda allmänna intressen. Ordföranden och ersättare för ordföranden ska vara eller ha varit ordinarie domare.

Etikprövningmyndighetens beslut överklagas till Överklagande- nämnden för etikprövning. Vidare kan en avdelning inom Etikpröv- ningsmyndigheten som är oenig om utgången av etikprövningen lämna över ärendet för avgörande till Överklagandenämnden för etikprövning (29 § etikprövningslagen). Överklagandenämnden för etikprövning har också till uppgift att utöva tillsyn och att pröva vissa frågor i samband med inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. Överklag- andenämnden för etikprövning ska bestå av en ordförande, som ska vara eller ha varit ordinarie domare, och sex övriga ledamöter. Av de övriga ledamöterna ska fyra ha vetenskaplig kompetens och två före- träda allmänna intressen.

Eftersom ändringarna av etikprövningsorganisationen kommer att gälla vid den tidpunkt som utredningens förslag föreslås träda i kraft, formulerar utredningen sina förslag med utgångspunkt i den nya etikprövningsorganisationen.

Myndigheten för vård- och omsorgsanalys har till uppgift att ur ett patient-, brukar-, och medborgarperspektiv följa upp och ana- lysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Myndigheten har inget uttryckligt uppdrag att bedriva forskning och anser inte att dess verksamhet i dag utgör forskning i etikprövningslagens mening. Det analysarbete som myn- digheten ägnar sig åt har dock stora likheter med forskning. I ana- lysarbetet tillämpas vetenskapliga principer och metoder. Som en del i detta använder myndigheten statistiska metoder. Det kan även konstateras att merparten av myndighetens anställda är disputerade

8SFS 2018:147 och prop. 2017/18:45.

168

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

forskare och att myndigheten anlitar externa forskare som bedriver forskning på myndighetens uppdrag. När myndigheten ger i upp- drag åt externa forskare att genomföra vissa analyser där känsliga personuppgifter ingår ansöker forskaren om etikprövning enligt etik- prövningslagen. Myndighetens analyser medför motsvarande risker för den personliga integriteten som forskning. Myndighetens ana- lysprojekt verkar därför i och för sig lämpa sig för den avvägning som görs av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning vid en etikprövning enligt etikprövningslagen.

Den etablerade etikprövningsorganisationen har redan stor vana av och organisation för att hantera ansökningar om etikprövning av projekt och skulle tillämpa samma formella och materiella bestäm- melser på myndighetens ansökningar som på ansökningar som gäller forskningsprojekt (se avsnitt 10.4.1). Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings sammansättning och leda- möternas kompetens är reglerad i lag. I organen ingår såväl före- trädare för det allmänna som forskningen. Regleringen av ledamöter- nas kompetens uppfyller alltså de krav på vilka företrädare utredningen bedömer att den instans som ska göra prövningen av myndighetens projekt bör ha. Sammansättningen gör att organen har goda förut- sättningar att bedöma det samhälleliga intresset av den kunskap som myndighetens projekt kan förväntas resultera i och på samma sätt som görs vid forskningsprojekt väga detta mot motstående intressen.

En farhåga som lyfts under utredningsarbetet är att det skulle kunna tolkas som att det analys- och uppföljningsarbete som Myn- digheten för vård- och omsorgsanalys ägnar sig åt utgör forskning, om projekten etikprövas av etikprövningsorganisationen för forsk- ning. Etikprövningsmyndighetens och Överklagandenämndens pröv- ning kommer dock inte att ske på grund av bestämmelserna om forskning i etikprövningslagen utan till följd av regleringen i den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Även om Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt den föreslagna lagen ges i uppdrag att pröva projekt som bedrivs vid myndigheten kommer det inte att innebära att myndighetens verksamhet blir forskningsprojekt. Skulle projektet i själva verket avse forskning, är etikprövningslagen och inte den föreslagna lagen tillämplig (se av- snitt 9.4.3). Förslaget innebär i stället att prövningen av ytterligare

169

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

en typ av projekt ansluts till Etikprövningsmyndighetens och Över- klagandenämnden för etikprövnings uppdrag, på liknande sätt som gjorts när det gäller prövningen av inrättandet av vissa biobanker enligt lagen om biobanker i hälso- och sjukvården m.m. För att det inte ska uppstå några missförstånd är det lämpligt att Etikpröv- ningsmyndighetens och Överklagandenämnden för etikprövningens beslut avseende myndighetens projekt formuleras på ett sådant sätt att det tydligt framgår att prövningen skett på grund av den före- slagna lagen och inte på grund av att projektet innebär forskning. Några bestämmelser om hur etikprövningsorganens beslut bör ut- formas kan dock inte anses nödvändiga utan detta bör organen som hittills få bestämma.

Utredningens förslag i kapitel 10–12 innebär att avgränsningen av vilka av de projekt som bedrivs av Myndigheten för vård- och omsorgsanalys som ska omfattas av prövningen skiljer sig något från vad som gäller för de forskningsprojekt som Etikprövningsmyndig- heten och Överklagandenämnden för etikprövning prövar.

Analysprojekt som bedrivs av myndigheten som innefattar be- handling av personuppgifter med stöd av samtycke ska enligt för- slaget, till skillnad från vad som gäller för forskningsprojekt, inte falla under Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings prövning. Utredningen har i avsnitt 10.2 övervägt om det i den föreslagna lagen bör uppställas ett krav på särskild prövning även för sådana projekt i vilka myndigheten behandlar personuppgifter med stöd av samtycke. Eftersom det inte har fram- kommit att de studier som i dag sker med stöd av den registrerades samtycke medför sådana integritetsrisker att det är nödvändigt med en prövning ur etiskt hänseende, lägger utredningen dock inte fram ett sådant förslag.

En annan skillnad är att projekt, som innefattar behandling av bara andra personuppgifter än känsliga personuppgifter eller upp- gifter om lagöverträdelser, men som innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket reger- ingsformen enligt förslaget ska omfattas av Etikprövningsmyndig- hetens och Överklagandenämnden för etikprövnings prövning (kapi- tel 13), något som inte är fallet när det gäller forskningsprojekt. Eftersom etikprövningen ska göras av en expertmyndighet, lär denna diskrepans inte föranleda några särskilda tillämpningssvårigheter.

170

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

Mot bakgrund av etikprövningssystemets beprövade funktion och etikprövningsorganens sammansättning, kompetens och orga- nisation för att hantera ansökningar om etikprövning framstår Etik- prövningsmyndigheten och Överklagandenämnden för etikprövning som väl lämpade för att göra den prövning av myndighetens analys- projekt som utredningen föreslår. Utredningen föreslår därför i första hand att prövningen av myndighetens projekt ska göras av Etikpröv- ningsmyndigheten och Överklagandenämnden för etikprövning.

10.3.3Alternativ till Etikprövningsmyndigheten och Överklagandenämnden för etikprövning

Utredningens bedömning: Mot bakgrund av att det inom utred- ningen framförts önskemål om utredning av alternativ till extern prövning av Etikprövningsmyndigheten eller Överklagande- nämnden för etikprövning, för den händelse prövning inom den etablerade etikprövningorganisationen inte skulle anses vara aktu- ellt, bör alternativa förslag till extern prövningsinstans lämnas.

Utredningens alternativa förslag: Ett särskilt organ för pröv- ning av etiska frågor som har företrädare för såväl det allmänna som forskningen och som är en statlig myndighet eller är knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys ska göra prövningen. Regeringen får meddela före- skrifter om det särskilda organet för prövning av etiska frågor.

Det har inom utredningen framförts önskemål om utredning av lämpliga alternativ till att Etikprövningsmyndigheten eller Över- klagandenämnden för etikprövning gör prövningen av de projekt som bedrivs av Myndigheten för vård- och omsorgsanalys, för den händelse den etablerade etikprövningsorganisationen inte skulle an- ses vara aktuell.

Den alternativa instansen bör i enlighet med vad utredningen konstaterat i avsnitt 10.3.1 vara en statlig myndighet eller ett organ som är knutet till en statlig myndighet. Eftersom det inte rör sig om ett särskilt stort antal ansökningar per år, är det inte motiverat att tillskapa en ny instans för denna arbetsuppgift. Prövningen bör i stället göras av ett befintligt organ som redan i dag har att pröva

171

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

etiska frågeställningar. För att prövningen ska bli så allsidig som möjligt bör organet, på motsvarande sätt som Etikprövningsmyn- digheten och Överklagandenämnden för etikprövning, ha företrädare för såväl det allmänna som forskningen.

Nedan följer en redogörelse för de instanser som utredningen bedömt kunna komma i fråga som alternativ till den etablerade etik- prövningsorganisationen.

Socialstyrelsen

Socialstyrelsen är förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet (1 § förord- ningen [2015:284] med instruktion för Socialstyrelsen). Myndig- heten ansvarar också för tandvård, socialtjänst, stöd och service till vissa funktionshindrade samt frågor om alkohol och missbruks- medel. Socialstyrelsen ska bistå regeringen med underlag och expert- kunskap för utvecklingen inom sitt verksamhetsområde. Av instruk- tionen följer att myndighetens ansvar gäller i den utsträckning en fråga inte ska handläggas av någon annan myndighet.

Socialstyrelsen har ett brett ansvar för verksamhet på vård- och omsorgsområdet. Myndigheten ska bl.a. genom kunskapsstöd och föreskrifter bidra till att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet och ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksam- hetsområde (4 § i instruktionen). Socialstyrelsen ska arbeta med och ge stöd till metodutveckling inom sitt verksamhetsområde samt följa, analysera och rapportera om hälsa och hälso- och sjukvård genom statistikframställning, uppföljning, utvärdering och epidemio- logiska studier. Till myndighetens uppgifter hör vidare att följa forsknings- och utvecklingsarbete av särskild betydelse inom myn- dighetens verksamhetsområde och verka för att sådant arbete kom- mer till stånd. Socialstyrelsen ska ta fram föreskrifter och allmänna råd samt pröva och utfärda legitimationer för personal inom olika yrkesgrupper, t.ex. apotekare, läkare, naprapater, psykologer och tandläkare.

172

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

Socialstyrelsen ansvarar vidare för vissa förvaltningsuppgifter i enlighet med vad som anges i lag och förordning. Socialstyrelsen ska också bl.a. ansvara för donationsregistret samt för att ta fram och utveckla statistik och register inom sitt verksamhetsområde.

Utöver denna exemplifiering har myndigheten ytterligare ansvars- områden för verksamhet inom vård- och omsorg. Inom Socialstyr- elsens verksamhet finns ett antal råd med fokus på olika frågor. De råd som i sin verksamhet kan komma i kontakt med olika typer av etiska frågeställningar, och som skulle kunna komma i fråga i nu aktuellt sammanhang, beskrivs kortfattat nedan.

Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor

Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor, vanligen kallat rättsliga rådet, är ett självständigt organ med egen beslutsrätt. Det är administrativt knutet till Socialstyrelsen, men är fristående från Socialstyrelsens övriga verksamhet.

Av 18 § i Socialstyrelsens instruktion framgår att rättsliga rådet har till uppgift att avgöra vissa särskilt angivna ärenden. Rådet ska avgöra rättsmedicinska ärenden, ärenden om fastställelse av könstill- hörighet eller tillstånd till ingrepp i könsorgan enligt lagen (1972:119) om fastställande av könstillhörighet i vissa fall, tillstånd till sterili- sering eller kastrering, tillstånd till ingående av äktenskap, tillstånd till abort och tillstånd till avbrytande av havandeskap enligt 6 § abortlagen (1974:595), tillstånd till insemination och till befruktning utanför kroppen som vägrats i enlighet med 7 kap. 5 § lagen (2006:351) om genetisk integritet m.m. samt ärenden om utlåtande om en persons hälsotillstånd i samband med prövning av en persons lämplighet att ta emot ett barn med hemvist utomlands i syfte att adoptera det. I andra typer av ärenden ska rättsliga rådet avge utlåt- ande på begäran av en domstol eller en annan myndighet. Det gäller främst allmänmedicinska och rättsmedicinska samt rättspsykiatriska och psykiatriska frågor. Rådet ska exempelvis yttra sig över en sådan utredning med ett utlåtande om risk för återfall i brottslighet som avses i 10 § lagen (2006:45) om omvandling av fängelse på livstid. I rådets uppdrag ingår också att avgöra andra ärenden i vilka Social- styrelsen på begäran av en domstol, en åklagarmyndighet eller Polis- myndigheten ska avge utlåtande om någons hälsotillstånd.

173

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Socialstyrelsen har med stöd av instruktionen beslutat att rätts- liga rådet även ska handlägga vissa andra ärenden, t.ex. ärenden avseende förlängd tid för förvaring av fryst ägg enligt 5 kap. 6 § lagen (2006:351) om genetisk integritet m.m.

Ordföranden i rådet och dennes två ställföreträdare ska ha erfar- enhet som lagfaren domare. Rådet består därutöver, beroende av vad ärendet gäller, av läkare, rättsläkare, läkare med specialistkompetens i obstetrik och gynekologi respektive rättspsykiatri, beteendevetare och lekmän, som utses på förslag av riksdagspartierna. I ärenden om adoption av utländskt barn ingår även ledamot som är anställd hos Socialstyrelsen.9

Ordföranden och ledamöterna i rådet utses av generaldirektören. Rådets sammansättning i olika typer av ärenden bestäms i handlägg- nings- och beslutsordningen för rättsavdelningen, efter samråd med generaldirektören och i samråd med rådets ordförande. I rättsmedi- cinska och allmänmedicinska ärenden ska rådet exempelvis bestå av ordföranden och två läkare, varav en är föredragande, samt en lek- man.10 Ordföranden får adjungera annan som ledamot att delta i visst ärende. Vidare får utlåtande av ledamot i Socialstyrelsens vetenskap- liga råd eller av annan expert inhämtas efter beslut vid sammanträde eller efter beslut av ordföranden.

Socialstyrelsens råd för etiska frågor

Socialstyrelsens råd för etiska frågor är ett internt rådgivande organ. Rådet består för närvarande av nio ledamöter, de flesta med aka- demisk bakgrund. Generaldirektören är ordförande i rådet. Det finns ingen formell nomineringsprocess, utan nya ledamöter utses av generaldirektören, efter förslag från rådet, universiteten, Statens medicinsk-etiska råd och andra organisationer.

Rådet för etiska frågor tar upp frågor som väcks inom Social- styrelsens verksamhet, men kan även ta upp frågor på eget initiativ. Rådets uppgift är bl.a. att verka för att frågor som kan vara integri- tetskänsliga eller påverka respekten för människovärdet blir ana- lyserade och bedömda. Rådet har ingen beslutande funktion, utan ska fungera som ett stöd inom myndigheten för att identifiera och

94 kap. 5 a § arbetsordningen för Socialstyrelsen, 2017-12-07, dnr. 10.5 – 371/2017.

10Handläggnings- och beslutsordning för rättsavdelningen, 2017-01-09, dnr 1.6 – 94/2017.

174

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

analysera etiska frågeställningar som kan uppkomma i verksamheten. Frågorna diskuteras muntligen, ur ett teoretiskt etiskt perspektiv, tillsammans med den som tagit upp frågan för behandling. Diskus- sionen resulterar inte i något skriftligt beslut eller någon slutsats. Målet är i stället att de argument som förs fram under diskussionen ska kunna användas som vägledning i det praktiska arbetet för hand- läggare och utredare på myndigheten.

Under 2017 tog rådet t.ex., i samband med att Socialstyrelsen fick i uppdrag att följa upp konsekvenserna av ändringar i lagen om utbyte av sprutor och kanyler, upp frågan om vilka etiska aspekter som bör beaktas vid utvecklingen av en systematisk och samordnad uppföljning av dessa verksamheter. Ett annat exempel rör Social- styrelsens uppdrag att genomföra en nationell kartläggning av heders- relaterat våld. Inför starten av detta uppdrag lyftes frågorna hur ämnet ska benämnas och hanteras i uppdraget och hur de etiska aspekterna ska beaktas vid datainsamling och analys.

Vetenskapsrådets expertgrupp för etik

Vetenskapsrådet är en statlig myndighet som har ett nationellt an- svar för att stödja grundläggande forskning av högsta vetenskapliga kvalitet inom alla vetenskapsområden (1 § lagen [2000:662] om Vetenskapsrådet och 1 § förordning [2009:975] med instruktion för Vetenskapsrådet). Vetenskapsrådet ska bl.a. främja den svenska grund- forskningens kvalitet och förnyelse, stödja forskarinitierad forskning och initiera och stödja ämnesövergripande satsningar på forskning. Myndigheten ska initiera och stödja strategiska satsningar inom forskning och samverka nationellt och internationellt med andra myndigheter och organisationer som bedriver och finansierar forsk- ning. I myndighetens verksamhet ingår att ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor.

Till Vetenskapsrådets arbetsuppgifter hör också att fördela medel till forskning, dyrbar vetenskaplig utrustning, nationella forsknings- anläggningar, internationella åtaganden och högpresterande dator- system samt utvärdera och bedöma forskningen och dess vetenskap- liga kvalitet och betydelse. Vetenskapsrådet ska slutligen stödja och utveckla förutsättningarna för kliniska studier i Sverige.

175

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Vetenskapsrådets expertgrupp för etik är ett internt organ som har det övergripande beredningsansvaret för etikfrågor vid Veten- skapsrådet, särskilt för arbetet med frågor av forskaretisk karaktär och övergripande forskningsetiska frågor. För expertgruppens verk- samhet gäller särskilda bestämmelser.11

Expertgruppen ska på uppdrag av Vetenskapsrådet ge råd i ären- den som rör etik och integritet inom ramen för myndighetens forskningsfinansieringsprocess och utarbeta underlag för Veten- skapsrådets yttranden, ställningstaganden och riktlinjer i forskar- och forskningsetiska frågor. Expertgruppen ska utarbeta underlag för Vetenskapsrådets publikationer och kommunikationsinsatser inom forskar- och forskningsetik. Till expertgruppens arbetsuppgifter hör också att representera myndigheten i nationella och internationella sammanhang.

Vetenskapsrådets expertgrupp för etik ska bestå av en ordförande och sex ledamöter samt en sekreterare från Vetenskapsrådet. Ord- föranden och övriga ledamöter utses av Vetenskapsrådets styrelse. Enligt beslutet om reglering av expertgruppen bör ordföranden vara professor i etik. Vissa vetenskapliga områden ska finnas represen- terade i expertgruppen. Det rör sig om etik, juridik, medicin och hälsa, naturvetenskap och teknikvetenskap samt samhällsvetenskap och humaniora. Dessutom ska den vetenskapliga sekreteraren i Centrala etikprövningsnämnden och chefen för forskningsfinansieringsavdel- ningen på Vetenskapsrådet vara med i expertgruppen.

Statens medicinsk-etiska råd

Statens medicinsk-etiska råd är ett rådgivande organ till regeringen i medicinsk-etiska frågor. I rådet ingår ordförande och åtta ledamöter föreslagna av de politiska partierna i riksdagen. Vidare finns i rådet tio sakkunniga, varav några representerar berörda aktörer såsom myndigheter och intresseorganisationer, och övriga är experter inom områden som filosofi, medicinsk rätt och klinisk genetik.12 De sak- kunniga har inte rösträtt i rådet. Samtliga ledamöter och sakkunniga

11Reglering av Expertgrupp för etik, beslut av Vetenskapsrådets styrelse vid sammanträde 2013-12-12, Dnr 113-2008-7863.

12Prop. 2009/10:83 s. 8.

176

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

utses av det statsråd som i regeringen ansvarar för ärenden om hälso- och sjukvård.

Rådet inrättades 1985 som en kommitté under Socialdeparte- mentet.13 I beslutet om inrättande anges att rådet bör ha till uppgift att analysera medicinsk-etiska frågor ur ett övergripande samhälls- perspektiv. Det finns behov av att få en samlad bild över de medicinsk-etiska frågor som den snabba utvecklingen ger upphov till. Rådet ska sträva efter en helhetssyn på frågor som rör sådan medicinsk forskning och behandling som kan anses känslig för den mänskliga integriteten eller påverka respekten för människovärdet. Rådet har stor frihet att ta upp de frågor man finner viktiga, men frågor som rör människors lika värde och rätt till integritet bör ges stort utrymme. I arbetet med dessa frågor är det också viktigt att ha i åtanke att den utveckling som sker på området ofta har mycket långsiktiga verkningar.

Ibeslutet anförs att en öppen debatt kring de medicinsk-etiska frågorna är en förutsättning för att kunna ta ställning till en ny teknik och vetenskap. Det är därför viktigt att rådet kan arbeta under öppna former så att det stimulerar till debatt och ställningstaganden

ifrågorna. Ett av flera sätt kan då vara att anordna hearings i olika frågor.

Rådet ska också fungera som ett organ för informations- och åsiktsutbyte och bör därför samla in och väga faktamaterial samt sprida kunskap om de medicinsk-etiska frågorna.

Rådet ska enligt beslutet också ha rollen av förmedlande instans mellan vetenskapen, medborgarna och de politiskt ansvariga samt, när det bedöms lämpligt, kunna lämna förslag till utredningsverk- samhet.

En av rådets arbetsuppgifter är att i ett tidigt skede underrätta regeringen om utvecklingen inom sådan medicinsk forskning och behandling som kan vara etiskt kontroversiell. Rådet ska vara fri- stående från det löpande regeringsarbetet.

Rådets analyser grundar sig på senast tillgängliga fakta och tillämpning av grundläggande etiska principer.14 Rådet sammanställer fakta från forskare eller andra med specialkunskaper. Mot bakgrund

13Inrättande av ett råd för medicinsk-etiska frågor, protokoll vid regeringssammanträde 21; 1985-03-14, S 2909/84.

14http://www.smer.se/om-smer/uppdrag/

177

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

av inhämtade fakta identifierar rådet värderings- och intressekon- flikter och beskriver för- och nackdelar med olika handlingsalter- nativ. Därefter tar rådet ställning utifrån etiska grundprinciper, exempelvis människovärde och integritet. Rådet har inte att avgöra enskilda patientärenden eller granska enskilda forskningsprojekt.

Statens medicinsk-etiska råd är formellt en s.k. bokstavskommitté, dvs. en form av kommitté som tillsätts internt inom departementet. Det är en permanent kommitté som finansieras via kommitté- budgeten. Statens medicinsk-etiska råd skiljer sig från andra kom- mittéer som tillsätts av regeringen. Det ska, liksom andra kom- mittéer, vara självständigt i förhållande till regeringen, men utgör inte en egen myndighet utan är en del av Regeringskansliet.

Statens beredning för medicinsk och social utvärdering

Statens beredning för medicinsk och social utvärdering ska utvärdera det vetenskapliga stödet för tillämpade och nya metoder i hälso- och sjukvården och i den verksamhet som bedrivs med stöd av social- tjänstlagen och lagen om stöd och service till vissa funktions- hindrade ur ett medicinskt perspektiv där så är tillämpligt, samt ur ett ekonomiskt, samhälleligt och etiskt perspektiv (1 § förordning [2007:1233] med instruktion för Statens beredning för medicinsk och social utvärdering). Myndigheten ska sammanställa utvärdering- arna på ett enkelt och lättfattligt sätt och sprida dem så att huvudmän (landsting och kommuner), vårdgivare och andra berörda kan tillägna sig kunskapen. Myndigheten ska kontinuerligt utveckla sitt arbete med att sprida utvärderingarna så att dessa tillämpas i prak- tiken och leder till önskade förändringar inom hälso- och sjukvården och socialtjänsten. Myndigheten ska vidare systematiskt identifiera och aktivt informera om sådana metoder i hälso- och sjukvården och socialtjänsten vars effekter det saknas tillräcklig kunskap om. Myn- digheten ska vara kontaktmyndighet i internationella frågor som rör utvärdering av medicinska metoder och stödja såväl det europeiska samarbetet som övrigt internationellt samarbete.

Inom myndigheten finns ett särskilt beslutsorgan som benämns Nämnden för medicinsk och social utvärdering. Nämndens uppgift är att fastställa slutsatser i de utvärderingar som myndigheten genom- för. I nämndens uppdrag ingår också att bidra till utvärderingarnas

178

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

tillämpbarhet för huvudmän (landsting och kommuner), vårdgivare och andra berörda. Nämnden består av myndighetens chef och högst 15 andra ledamöter. Ordföranden och övriga ledamöter utses av regeringen. Nämndens sammansättning är inte reglerad, men vid tillsättningen av ledamöter eftersträvas en bred representation av organisationer inom hälso- och sjukvård, omsorg och forskning. För närvarande ingår representanter för bl.a. Forskningsrådet för hälsa, arbetsliv och välfärd, Akademikerförbundet SSR, Statens Institutions- styrelse, Sveriges Kommuner och Landsting, Vetenskapsrådet, Social- styrelsen, Vårdförbundet och Sveriges Läkarförbund.

Inom Statens beredning för medicinsk och social utvärdering finns också två vetenskapliga råd, som har till uppgift att ge råd inför beslut av nämnden och också att ge råd inför generaldirektörens beslut.

Forskningsrådet för hälsa, arbetsliv och välfärd

Forskningsrådet för hälsa, arbetsliv och välfärd, Forte, är ett statligt forskningsråd som finansierar vetenskaplig forskning för män- niskors hälsa, arbetsliv och välfärd. Fortes uppdrag är att främja och stödja grundforskning och behovsstyrd forskning på arbetslivs- området samt inom social- och folkhälsovetenskap (1 § förordning [2007:1431] med instruktion för Forskningsrådet för hälsa, arbetsliv och välfärd). Myndigheten ska, inom ramen för denna uppgift, särskilt fördela medel till forskning och därmed sammanhängande verksamhet och bedöma kvaliteten, nyttiggörandet och samhälls- relevansen av den egna verksamheten och i utvärderingen av den forskning till vilken rådet har fördelat medel, även ur ett inter- nationellt och ett EU-perspektiv. Rådet ska vidare bl.a. utreda vilka forskningsbehov som är angelägna inom myndighetens verksam- hetsområde, redovisa resultaten av dessa utredningar samt ta initiativ till och främja den forskning som behövs för att tillgodose sådana behov, beakta forskningsetiska frågor och främja kunskapsuppbygg- nad i frågor om arbetsliv samt öka kunskapen om och förståelsen för sociala förhållanden och processer.

179

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Forte leds av en styrelse. Styrelsen ska bestå av en ordförande, myndighetschefen och elva andra ledamöter. Vid forskningsrådet ska det också finnas en huvudsekreterare med hög vetenskaplig kompetens.

10.3.4Överväganden om alternativen

Utredningen bedömer att det krävs en prövning i varje enskilt fall av en extern oberoende instans för att Myndigheten för vård- och omsorgsanalys ska få utföra särskilt riskfyllda behandlingar av per- sonuppgifter inom ramen för sina analysprojekt. Den externa instansens uppgift ska vara att bedöma om behandlingen av person- uppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. I avsnitt 10.3.1 anges vissa grundläggande krav som bör vara uppfyllda av den pröv- ande instansen. Den instans som ska ha till uppgift att pröva myn- dighetens projekt ska helst ha erfarenhet av att göra etiska bedöm- ningar och ha kompetens inom ärendehandläggning. För att garantera saklighet och opartiskhet bör den prövande instansen vara eller ingå i en statlig myndighet. Vidare bör både personer som företräder det allmänna och personer som har vetenskaplig kompetens ingå i den instans som gör prövningen. Nedan följer en analys av de organ som beskrivs i föregående avsnitt, med utgångspunkt i de av utredningen uppställda kraven.

Socialstyrelsens rättsliga råd

När det gäller Socialstyrelsens rättsliga råd finns det vissa omstän- digheter som talar för att det är en lämplig instans att utföra den prövning som utredningen föreslår. Socialstyrelsen är en myndighet med ett vidsträckt ansvarsområde som täcker såväl hälso- och sjuk- vård som tandvård och omsorg. Rättsliga rådet är ett självständigt organ inom myndigheten, med egen beslutsrätt i vissa typer av ärenden, främst på det medicinska området. Rådets ansvarsområde är reglerat i förordning, och skulle därmed på ett förhållandevis enkelt sätt kunna tillföras uppgiften att pröva Myndigheten för vård-

180

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

och omsorgsanalys projekt. Med hänsyn till rådets nuvarande verk- samhet kan det antas att det inom rådet finns en organisation för och kompetens om ärendehantering av det slag som krävs för den föreslagna prövningen. Ordföranden i rådet och ordförandens ställ- företrädare ska ha erfarenhet som lagfaren domare, vilket borgar för självständighet och objektivitet. I rådet finns företrädare för det all- männa, och sammansättningen kan i övrigt anpassas till den typ av ärende som ska avgöras. Om arbetsuppgiften att pröva Myndigheten för vård- och omsorgsanalys projekt skulle läggas på rättsliga rådet, skulle rådets sammansättning således i det enskilda fallet kunna an- passas till det ärende som ska avgöras.

Vissa omständigheter talar emellertid mot rättsliga rådets lämp- lighet som prövningsinstans. I Myndigheten för vård- och omsorgs- analys ansvarsområde ingår att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Myndigheten har mandat att granska samtliga verksamheter på området för hälso- och sjukvård, tandvård och omsorg, inklusive verksamheten vid Socialstyrelsen och dess rättsliga råd. Det kan ifrågasättas om det är lämpligt att en myndighet som faller inom Myndigheten för vård- och omsorgsanalys granskningsområde ska utföra den föreslagna prövningen. Det kan finnas en risk för att allmänheten kan få föreställningen att rådet skulle vara tillmötes- gående för att undvika granskning eller undkomma kritik. Denna problematik hade kunnat undvikas genom att Socialstyrelsens rätts- liga råd undantas från Myndigheten för vård- och omsorgsanalys granskning. Det finns dock ytterligare omständigheter som talar mot att rättsliga rådet är den mest lämpade instansen att göra prövningen. Rådets verksamhet består i dag främst av att göra medicinska be- dömningar i enskilda ärenden. Rådets uppdrag på det sociala områ- det är emellertid begränsat. De etiska frågeställningar som kan antas komma upp i samband med rådets ärenden är av annat slag än de som kan förväntas vid prövningen av Myndigheten för vård- och omsorgs- analys projekt. Det som ska prövas är om det integritetsintrång som personuppgiftsbehandlingen i ett visst projekt är försvarligt med hänsyn till samhällsvinsten i form av ny kunskap. Fokus ligger på att bedöma om den metod som ska användas i projektet är den mest lämpade för att nå önskad kunskap. Denna typ av bedömning skiljer sig från de etiska överväganden som kan bli aktuella i de ärenden rådet har att avgöra i dag.

181

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Socialstyrelsens råd för etiska frågor

Socialstyrelsens råd för etiska frågor är inte, i sin nuvarande form, en lämplig prövningsinstans. Som en del av Socialstyrelsen faller rådet, som nämns ovan, inom Myndigheten för vård- och omsorgsanalys granskningsområde. Rådets verksamhet innebär visserligen etiska överväganden på både det medicinska och sociala området, men rådet är endast ett internt rådgivande organ, utan självständig beslutsrätt. Rådets verksamhet innefattar inte någon formell ärendehandlägg- ning och dess diskussioner leder inte till något beslut eller annan slutsats. Rådets sammansättning inte är särskilt reglerat, vilket inne- bär att det inte kan garanteras att det alltid finns personer som före- träder det allmänna eller personer med den vetenskapliga kompetens som krävs för den föreslagna prövningen representerade i rådet.

Vetenskapsrådets expertgrupp för etik

Även vad gäller Vetenskapsrådets expertgrupp för etik finns det omständigheter som talar för och emot rådets lämplighet som pröv- ningsinstans. Vetenskapsrådet ligger formellt utanför Myndigheten för vård- och omsorgsanalys granskningsområde då dess verksamhet inte avser hälso- och sjukvård, tandvård eller omsorg. Inom myn- digheten och i myndighetens expertgrupp för etik finns erfarenhet och kompetens från forskningsområdet, och det kan antas att expertgruppen är väl skickad att bedöma frågor som kräver veten- skaplig överblick och kunskap i de olika metoder som Myndigheten för vård- och omsorgsanalys önskar använda i sina analysprojekt. Däremot saknar rådet, i sin nuvarande utformning, personer som företräder det allmänna. Vidare kan konstateras att även Vetenskaps- rådets expertgrupp för etik är ett rådgivande organ för den egna verksamheten. Rådet ansvarar inte för någon ärendehandläggning och har inte någon självständig beslutsrätt.

182

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

Statens medicinsk-etiska råd

Statens medicinsk-etiska råd har bl.a. till uppgift att följa utveck- lingen på forskningsfronten och uppmärksamma regeringen på intressanta och kontroversiella frågor som aktualiseras inom medi- cinsk forskning, diagnostik och behandling som kan vara särskilt känslig för den mänskliga integriteten och som på sikt skulle kunna skada människovärdet. Rådets fokus ligger således på etiska frågor inom hälso- och sjukvård och medicinsk forskning. I rådet finns både företrädare för det allmänna och personer med vetenskaplig kompetens. Att det i rådet finns både allmänföreträdare och experter med olika kompetensområden borgar för att de frågor som disku- teras får en allsidig belysning och en god förankring. Det har under utredningstiden framkommit att Statens medicinsk-etiska råd är ett organ som har en hög grad av legitimitet inom hälso- och sjuk- vårdsverksamhet. Det kan dock konstateras att rådet inte är någon självständig myndighet, utan formellt utgör en del av Regerings- kansliet, dvs. står regeringen nära. Rådets verksamhet innebär för närvarande inte någon typ av ärendehantering eller beslutsfattande av det slag som är aktuellt enligt utredningens förslag. Vidare faller frågor på det sociala området utanför rådets ansvarsområde.

Statens beredning för medicinsk och social utvärdering

Statens beredning för medicinsk- och social utvärdering är en obe- roende statlig myndighet som ska göra utvärderingar av metoder och insatser inom hälso- och sjukvård, inklusive tandvård, samt granska kunskapsläget för metoder och insatser inom socialtjänst och områ- det för funktionstillstånd. Myndigheten har i uppdrag att utvärdera vårdens och socialtjänstens metoder ur ett samlat medicinskt, ekonomiskt, etiskt och socialt perspektiv. Både Statens beredning för medicinsk och social utvärdering och Myndigheten för vård- och omsorgsanalys har således i uppgift att utvärdera hälso- och sjuk- vård, tandvård och omsorg, men ur olika perspektiv. Detta talar för att beredningen är ett lämpligt organ för prövning av Myndigheten för vård- och omsorgsanalys projekt. Inom myndigheten finns ett särskilt organ, Nämnden för medicinsk och social utvärdering, som är reglerad i myndighetens instruktion och har mandat att fatta självständiga beslut. Det kan antas att det inom myndigheten finns

183

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

en organisation som skulle kunna hantera den typ av ärendehand- läggning och beslutsfattande som krävs för den prövning som utred- ningen föreslår. Det kan också antas att det inom myndigheten finns den vetenskapliga kompetens inom hälso- och sjukvård samt social omsorg som behövs för att bedöma Myndigheten för vård- och omsorgsanalys projekt. Mot bakgrund av myndighetens uppdrag kan det också antas att de etiska aspekterna av myndighetens be- handling av personuppgifter kommer att kunna beaktas på ett till- fredsställande sätt.

Det som talar mot nämndens lämplighet som prövningsinstans är att även den, som en del av Statens beredning för medicinsk och social utvärdering, faller inom granskningsområdet för Myndigheten för vård- och omsorgsanalys. Vidare är nämndens nuvarande arbets- uppgifter begränsade till att pröva den egna myndighetens analyser och slutsatser. Nämndens sammansättning inte särskilt reglerad, vilket innebär att det inte finns någon garanti för att personer som före- träder det allmänna deltar i nämndens beslut.

Forskningsrådet för hälsa, arbetsliv och välfärd

Det som talar för att Forskningsrådet för hälsa, arbetsliv och välfärd, Forte, utgör en lämplig prövningsinstans är att det hos myndigheten finns erfarenhet av att bedöma forskningsprojekt av olika slag. Myndigheten för vård- och omsorgsanalys har betonat vikten av att det inom prövningsinstansen finns välgrundad forskarkompetens, eftersom de metoder som myndigheten använder sig av i sina projekt ligger nära forskningens. Forte har inte något särskilt etiskt råd, men etiska frågor och hur sådana hanteras diskuteras regelbundet med andra forskningsfinansiärer och med forskningsaktörer. I utlysnings- texter om bidrag ska sökanden kommentera projektets etiska över- väganden och kommentera om projektet kräver etiska hänsynstag- anden. I anslagsvillkoren finns krav på att forskningsetiska regler följs och om de forskningsetiska reglerna inte följs kan bidrag dras in. Det kan således konstateras att myndigheten, utöver vetenskaplig kompetens, torde ha vana att pröva etiska frågeställningar.

Det som talar mot Fortes lämplighet som prövningsinstans är att arbetsuppgiften att pröva Myndigheten för vård- och omsorgsanalys projekt skiljer sig från myndighetens verksamhet i övrigt. Vidare

184

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

saknas representation av allmänna intressen i myndighetens beslut- ande organ.

Datainspektionen

Det kan tilläggas att utredningen även övervägt om Datainspek- tionen kan vara en lämplig instans för prövning av Myndigheten för vård och omsorgsanalys projekt. Datainspektionens uppgift är att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Frågan är om myn- digheten, som representant för enskildas integritetsskyddsintressen, bör vara det externa organ som prövar om analysmyndighetens behandling av personuppgifter är befogad. Eftersom Datainspek- tionens huvudsakliga uppgift är att genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbör- liga intrång i enskilda individers personliga integritet, bedömer utredningen att myndigheten är väl lämpad att utföra denna pröv- ning. Inom myndigheten finns också en organisation för och erfarenhet av den ärendehantering som krävs för uppdraget. Utredningen kon- staterar emellertid att arbetsuppgiften att på förhand pröva en annan myndighets behandling av personuppgifter skulle skilja sig mycket från Datainspektionens nuvarande övriga arbetsuppgifter. I och med personuppgiftslagens införande ändrades Datainspektionens verk- samhetsinriktning från förhandsgranskning och tillståndsverksamhet till tillsynsverksamhet. Det framstår därför som mindre lämpligt att tillföra Datainspektionen, som i dag är en i det närmaste renodlad tillsynsmyndighet, en arbetsuppgift som innebär förhandsgranskning av enskilda projekt. Utredningen bedömer mot denna bakgrund att Datainspektionen inte bör tilldelas uppgiften att pröva Myndigheten för vård- och omsorgsanalys projekt.

10.3.5Utredningen lämnar inget ytterligare förslag på lämplig prövningsinstans

Utredningen föreslår att en extern oberoende instans ska göra en etisk prövning av Myndigheten för vård- och omsorgsanalys projekt som innefattar särskilt riskfyllda behandlingar av personuppgifter. Bedömningen ska avse om det i det enskilda fallet är försvarligt att,

185

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

med hänsyn till den samhällsnytta som myndighetens projekt kan leda till, utsätta människor för den aktuella behandlingen. Myndig- heten för vård- och omsorgsanalys har gjort bedömningen att det kan komma att röra sig om fem till sex ärenden per år. Som kon- staterats i det föregående är det inte en tillräckligt omfattande verk- samhet för att skapa en ny myndighet för denna arbetsuppgift. Arbetsuppgiften att utföra den föreslagna prövningen bör i stället tilldelas ett redan existerande organ.

Utredningen gör som nämnts bedömningen att det är den eta- blerade etikprövningsorganisationen som är mest lämpad att utföra den föreslagna prövningen. Som genomgången ovan visar är det därutöver inte något redan existerande organ som uppfyller samtliga de krav som enligt utredningens bedömning bör vara uppfyllda av den prövande instansen. Utredningen kan därför inte förespråka någon av de beskrivna myndigheterna framför den andra som lämp- lig prövningsinstans.

Utredningen kan dock konstatera att det, men hänsyn till det begränsade antal ärenden det är fråga om, inte heller är nödvändigt att det prövande organet uppfyller alla de angivna kraven i sin per- manenta organisation. Utredningens slutsats är att det viktigaste är att prövningen görs av en myndighet, eller en del av en myndighet, som är självständig i förhållande till Myndigheten för vård- och omsorgsanalys. Den prövande instansen bör ha vana vid ärende- handläggning. Att bedömningen genomförs på ett sakligt och opartiskt sätt kan säkerställas genom att ordföranden i den prövande instansen är en person med domarkompetens, eller annars en person med vana att göra självständiga bedömningar. Med hänsyn till den avvägning som ska göras mellan integritetsintrång och allmännytta är det också viktigt att representanter för det allmänna deltar i bedömningen. För bedömning av metodfrågor och det rådande kunskapsläget kan emellertid lämpliga sakkunniga med forskningskompetens anlitas för varje enskilt ärende. På detta sätt kan den prövande instansens sammansättning anpassas till det ärende som ska avgöras.

Som ett alternativ till prövning av den etablerade etikprövnings- organisationen föreslår utredningen en generell reglering i lag med kriterier för den instans som ska göra prövningen och möjlighet för regeringen att, med tillämpning av de lagstadgade kriterierna, peka ut instansen. Vidare bör regeringen få meddela föreskrifter om det särskilda organet för prövning av etiska frågor.

186

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

10.4Vilken avvägningsnorm ska den oberoende instansen tillämpa?

10.4.1Etikprövningsmyndigheten och Överklagandenämnden för etikprövning ska tillämpa nuvarande regelverk

på motsvarande sätt

Utredningens förslag: Vid prövning och godkännande av analys- projekt som bedrivs av Myndigheten för vård- och omsorgsanalys ska bestämmelserna om forskning i 6–11 §§ etikprövningslagen tillämpas på motsvarande sätt. I fråga om handläggning och överklagande ska bestämmelserna i 24–33 samt 36 och 37 §§ etik- prövningslagen gälla.

Ansökan om etikprövning ska göras hos Etikprövningsmyn- dighetens verksamhetsregion i Stockholm.

Forskning som omfattas av etikprövningslagens tillämpningsområde får enligt 6 § etikprövningslagen utföras bara om den godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får inne- fatta behandling av känsliga personuppgifter eller uppgifter om lag- överträdelser bara om behandlingen har godkänts vid etikprövningen. Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft. Ett godkännande enligt etikprövningslagen medför inte att forskningen får utföras om den strider mot någon annan författning.

Utgångspunkterna för vad som ska beaktas vid etikprövningen av forskningsprojekt framgår av 7–11 §§ etikprövningslagen. Forsk- ning får enligt 7 § godkännas bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande fri- heter ska enligt 8 § alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Forskning får enligt 9 § godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säker- het och personliga integritet uppvägs av dess vetenskapliga värde. Med forskningsperson avses enligt 2 § en levande människa som forskningen avser.

187

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Av 10 § följer att forskning inte får godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Vidare anges att behandling av känsliga personuppgifter och uppgifter om lagöverträdelser får godkännas bara om den är nödvändig för att forskningen ska kunna utföras. Forskning får enligt 11 § godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Något krav på viss examen eller kompetens har inte uppställts. Enligt lagmotiven får kompetensen i stället sättas i relation till den forskning som är aktuell i varje enskilt fall och de etiska frågeställningar som den kan antas ge upphov till.15 Enligt de tidigare etikprövningsnämndernas rutiner är huvudregeln dock att den ansvarige forskaren ska vara disputerad.16

Vid etikprövningen ska, enligt uttalanden i förarbetena, en helhetsbedömning av samtliga omständigheter göras. Vid bedöm- ningen bör beaktas bl.a. forskningsprojektets vikt, behovet av per- sonuppgifter, säkerheten vid behandlingen och omständigheter vid ett eventuellt samtycke. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda. Även frågan i vilken utsträckning den som begär det ska ha rätt att bli struken bör beaktas vid intresseavvägningen. I viss mån bör också kunna beaktas hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.17

Om det är tänkt att forskaren ska inhämta personuppgifter genom direkt kontakt med personer med en viss diagnos eller hälso- status, är praxis att kontakten bör tas genom den klinik där patient- erna behandlats eller fortfarande behandlas. Det har vanligtvis inte accepterats att forskaren kontaktar patienterna direkt innan sam- tycke har lämnats.18

Etikprövningsorganen har, som utredningen konstaterat i av- snitt 10.3.2, en lämplig sammansättning och organisation för att han- tera prövningen av projekt som bedrivs av Myndigheten för vård- och omsorgsanalys. Även systemet med etikprövning enligt etikprövnings- lagen förefaller passa väl för bedömningen av de aktuella projekten. Eftersom myndigheten har en stor andel forskarutbildad personal,

15Prop. 2002/03:50 s. 100.

16Ansökan om etikprövning, http://www.epn.se/start/

17Prop. 2002/03:50 s. 172.

18Se t.ex. beslut från Centrala Etikprövningsnämnden, Dnr Ö 12-2014.

188

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

har myndigheten förutsättningar att uppfylla kravet i 11 § etikpröv- ningslagen på att forskningen ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Verksamheten vid myndigheten bedrivs vidare i projektform. Det arbetssättet passar väl ihop med kravet i 6 § etikprövningslagen på att ett godkännande ska avse ett visst projekt, del av ett projekt eller en på liknande sätt bestämd forskning.

Tillvägagångssättet vid etikprövning styrs genom klara och tyd- liga regler i etikprövningslagen. Prövningen inkluderar, förutom en prövning av själva forskningsprojektet, en prövning av behandlingen av personuppgifter enligt gällande dataskyddslagstiftning. Den hel- hetsbedömning som ska göras enligt etikprövningslagens bestäm- melser motsvarar den bedömning som, när personuppgiftslagen gällde, skulle göras vid behandling för statistikändamål enligt 19 § andra stycket personuppgiftslagen och som tidigare gällde även för behandling för forskningsändamål enligt 19 § första stycket person- uppgiftslagen.19 Enligt nuvarande lagstiftning får känsliga person- uppgifter behandlas för statistiska ändamål med stöd av artikel 9.2 j i dataskyddsförordningen, om samhällsintresset av det statistik- projekt där behandlingen ingår klart väger över den risk för otill- börligt intrång i enskildas personliga integritet som behandlingen kan innebära (3 kap. 7 § dataskyddslagen).

Utredningen bedömer därför att det är lämpligt att Etikpröv- ningsmyndighetens och Överklagandenämnden för etikprövnings prövning av myndighetens projekt sker enligt samma bedömnings- grunder som vid prövningen av forskningsprojekt.

Utredningen föreslår därför en lagregel om att bestämmelserna om forskning i 6–11 §§ etikprövningslagen ska tillämpas på motsvar- ande sätt vid prövning och godkännande av projekt som bedrivs av Myndigheten för vård- och omsorgsanalys. I det följande redogörs för hur det är avsett att bestämmelserna ska tillämpas på mot- svarande sätt. En sådan reglering får anses tillräckligt tydlig med hänsyn till att det inte är allmänheten utan bara expertmyndigheter som ska tillämpa bestämmelserna. I förordning bör det tydliggöras att ansökan om etikprövning ska göras hos Etikprövningsmyndig- hetens verksamhetsregion i Stockholm.

19Se t.ex. beslut från Centrala Etikprövningsnämnden, Dnr Ö 12-2014.

189

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Etikprövningsmyndighetens och Överklagandenämndens bedöm- ningar av de analysprojekt som bedrivs av Myndigheten för vård- och omsorgsanalys ska alltså göras på motsvarande sätt och utifrån samma kriterier som vid bedömningen av projekt som avser forsk- ning. Etikprövningslagens bestämmelser utgår från att det är forsk- ningsprojekt som prövas, medan myndighetens projekt som ska prövas inte avser forskning men ska etikprövas på motsvarande sätt.

Hänvisningen till 6 § etikprövningslagen innebär att ett etikgod- kännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd analys eller uppföljning. Det är alltså inte aktuellt med ett generellt godkännande att under oöverskådlig framtid få utföra vissa analyser. Ett godkännande upphör att gälla om inte analysen har påbörjats inom två år.

Om ett projekt innefattar flera klart avgränsade delprojekt, varav bara något innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, behöver bara det delprojektet god- kännas för att behandlingen av personuppgifter ska vara tillåten. Detta förutsätter att själva delprojektet uppfyller de krav som följer av 7–11 §§ etikprövningslagen. Det innebär bl.a. att delprojektet får godkännas bara om integritetsriskerna för de personer som omfattas av behandlingen uppvägs av det samhälleliga intresset av den kun- skap som redan delprojektet kan förväntas leda till. Om inte del- projektet i sig uppfyller de krav som följer av 7–11 §§, kan hela projektet behöva prövas i ett sammanhang.

Ett godkännande medför inte att projektet får utföras om det strider mot någon annan författning. Efter det att Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning har god- känt ett projekt måste alltså Myndigheten för vård- och omsorgs- analys följa den reglering som finns i dataskyddsförordningen, dataskyddslagen och den föreslagna lagen om behandling av person- uppgifter i myndighetens verksamhet. Däremot innebär den före- slagna bestämmelsen, enligt 2 kap. 20 § regeringsformen, att det etikgodkända projektet får genomföras även om det skulle innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Ett godkännande kan också förenas med villkor som myndigheten är skyldig att följa för att få behandla personuppgifterna, t.ex. beträffande formerna för urvalet av deltagare i studier, inhämtande av samtycke eller lämnande av information.

190

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

Bestämmelserna i 7–11 §§ etikprövningslagen reglerar utgångs- punkterna för vad som ska beaktas vid etikprövningen. Myndig- hetens projekt får bara godkännas om det kan utföras med respekt för människovärdet. Vid prövningen ska mänskliga rättigheter och grundläggande friheter beaktas. Samtidigt ska hänsyn tas till in- tresset av att utveckla ny kunskap genom den aktuella studien. Män- niskors välfärd ska ges företräde framför samhällsbehovet av att analysen genomförs. Integritetsriskerna för de personer som med- verkar i studien måste vägas upp av studiens värde för samhället. I stället för att väga riskerna mot det vetenskapliga värdet, som ska göras när det är fråga om forskning, får alltså Etikprövningsmyndig- heten eller Överklagandenämnden för etikprövning, på motsvarande sätt som gäller enligt den avvägningsnorm som tillämpas vid behand- ling av känsliga personuppgifter för statistikändamål enligt 3 kap. 7 § dataskyddslagen, väga riskerna mot det samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. Om det förväntade resultatet kan uppnås på ett annat sätt som medför mindre integritets- risker för de personer som ingår i studien, får projektet inte god- kännas. Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser får godkännas bara om den är nödvändig för att analysen ska kunna utföras. Det krävs också att projektet utförs av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs för det aktuella projektet och de etiska frågeställningar som kan aktualiseras.

Den helhetsbedömning som har redogjorts för ovan ska alltså göras även beträffande myndighetens projekt. Vid bedömningen bör beaktas bl.a. hur pass viktig den kunskap som projektet kan ge är och om den kunskapen kan erhållas utan att personuppgifter behandlas eller om integritetsintrånget kan begränsas på något sätt. Även säkerheten vid behandlingen och omständigheter vid ett eventuellt samtycke kan få betydelse. Vid intresseavvägningen bör också be- aktas om information i någon form lämnas till de berörda och i vilken utsträckning den som begär det ska ha rätt att bli struken. I viss mån bör också kunna beaktas hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.20

20Prop. 2002/03:50 s. 172.

191

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Även bestämmelserna om handläggningsordningen för prövning och godkännande samt överklagande i 24–33, 36 och 37 §§ etikpröv- ningslagen bör tillämpas i fråga om projekt som bedrivs av Myndig- heten för vård- och omsorgsanalys. I 24 och 31 §§ etikprövningslagen behöver dock Etikprövningsmyndighetens och Överklagandenämn- dens nya arbetsuppgift att pröva myndighetens projekt läggas till. Eftersom etikprövningsorganens arbetsuppgifter föreslås utvidgas i förhållande till vad som gäller i dag, kan ändringar komma att krävas i kommande instruktioner för Etikprövningsmyndigheten och Över- klagandenämnden för etikprövning.

10.4.2Väljs en annan instans ska den göra en kvalificerad intresseavvägning som fastställs i lag

Utredningens alternativa förslag: Ett projekt får godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behand- lingen kan innebära. Ett godkännande får förenas med villkor.

För Etikprövningsmyndigheten och Överklagandenämnden för etik- prövning finns det som framgått (avsnitt 10.4.1) redan ett beprövat regelverk om vad som krävs för ett godkännande som kan användas också vid prövningen av Myndigheten för vård- och omsorgsanalys analysprojekt. Om någon annan instans än Etikprövningsmyndig- heten eller Överklagandenämnden för etikprövning ska göra pröv- ningen av myndighetens projekt, behövs det en ny norm att göra prövningen mot. Ett alternativ vore förstås att föreskriva att instansen vid prövning och godkännande ska tillämpa etikprövningsorganens regelverk för forskning (6–11 §§ etikprövningslagen) på motsvar- ande sätt. Utredningen har emellertid ansett att den, för den händelse den etablerade etikprövningsorganisationen inte skulle anses vara aktuell, bör lämna ett alternativt förslag till en egen materiell be- stämmelse som en alternativ instans kan tillämpa vid prövning och godkännande av myndighetens projekt.

Som utredningen redogjort för i avsnitt 10.4.1, var behandling av känsliga personuppgifter för forskningsändamål enligt den ursprung- liga lydelsen av 19 § första stycket personuppgiftslagen tillåten om

192

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

behandlingen var nödvändig och samhällsintresset av det forsknings- projekt där behandlingen ingick klart vägde över den risk för otill- börligt intrång i enskildas personliga integritet som behandlingen kunde innebära. I förarbetena betonades att det behövde göras en prövning i varje enskilt fall och att den som regel skulle göras av någon oberoende instans. Avvägningsnormen gav uttryck för en restriktiv tillämpning och betonade att behandlingen måste vara nödvändig samtidigt som en intresseavvägning skulle göras. Reger- ingen ansåg att det inte var nödvändigt att i lagtexten ytterligare precisera normen utan det kunde överlåtas åt rättstillämpningen att med användande av normen och allt efter rådande värderingar och utvecklingen i samhället avgöra vilka behandlingar som kunde tillåtas.21

När möjligheten för den personuppgiftsansvarige att själv göra en avvägning enligt 19 § första stycket personuppgiftslagen togs bort, infördes i etikprövningslagen ett krav på att behandlingen ska vara nödvändig för att forskning ska kunna utföras samt att risken för intrång i forskningspersonernas personliga integritet ska vägas upp av forskningens vetenskapliga värde. Regeringen konstaterade att detta innebar att den avvägningsnorm som dittills funnits i 19 § första stycket personuppgiftslagen i stället fördes in i etikprövnings- lagen.22 Etikprövningslagens bestämmelser är således en utveckling av personuppgiftslagens tidigare krav på intresseavvägning vid be- handling av känsliga personuppgifter för forskningsändamål.

I 19 § andra stycket personuppgiftslagen fanns motsvarande avvägningsnorm, som tidigare fanns för behandling för forsknings- ändamål, kvar för statistikändamål. Känsliga personuppgifter fick behandlas för statistikändamål, om behandlingen var nödvändig och om samhällsintresset av det statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas person- liga integritet som behandlingen kunde innebära.

Enligt artikel 9.2 j i dataskyddsförordningen får känsliga person- uppgifter behandlas för statistiska ändamål på grundval av unions- rätten eller medlemsstaternas nationella rätt, vilken ska stå i pro- portion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades

21Prop. 1997/98:44 s. 70 f.

22Prop. 2002/03:50 s. 100.

193

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

grundläggande rättigheter och intressen. I förarbetena till dataskydds- lagen anges att det inte heller nu är lämpligt att genom lagstiftning på förhand avgöra exakt i vilka fall behandling av känsliga person- uppgifter ska få ske för statistiska ändamål.23 I dataskyddslagen infördes i stället en avvägningsnorm motsvarande den som fanns i 19 § andra stycket personuppgiftslagen. Behandling av känsliga per- sonuppgifter för statistiska ändamål får således ske om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (3 kap. 7 § dataskyddslagen). En motsvarande bestämmelse infördes för statistikansvariga myndig- heters framställning av annan statistik än officiell statistik i 15 § statistiklagen.24

Som redan framhållits utgör eller påminner myndighetens verk- samhet i flera avseenden om statistisk verksamhet och den påminner också om forskningsverksamhet (se vidare avsnitt 7.1.3, 7.2.5 och 17.3). En motsvarande avvägningsnorm som enligt 3 kap. 7 § data- skyddslagen bör därför passa bra vid prövning och godkännande av myndighetens projekt. Utredningen föreslår att myndighetens pro- jekt ska få godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Motsvarande omständigheter som enligt förarbetsuttalanden tidi- gare skulle beaktas vid tillämpningen av bestämmelsen om behand- ling för statistikändamål i 19 § andra stycket personuppgiftslagen och som fortfarande gäller vid behandling för statistikändamål enligt 3 kap. 7 § dataskyddslagen bör beaktas vid den helhetsbedömning som ska göras vid prövningen av den externa instansen.25 Det är således aktuellt att bedöma bl.a. vikten av det aktuella projektet, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen bör också beaktas

23Prop. 2017/18:105 s. 124.

24Prop. 2017/18:107 s. 37 ff.

25Prop. 2017/18:105 s. 124.

194

SOU 2018:52

Krav på extern prövning vid riskfyllda behandlingar utan samtycke

om information i någon form lämnas till de berörda. Även frågan om i vilken utsträckning den som begär det ska ha rätt att bli struken kan beaktas vid intresseavvägningen.26

Prövningen och godkännandet ska avse ett visst projekt. Om ett projekt innefattar flera klart avgränsade delprojekt, varav bara något innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, behöver emellertid bara det delprojektet prövas och godkännas för att behandlingen av personuppgifter ska vara tillåten. Detta förutsätter att samhällsintresset av redan delprojektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om inte delprojektet i sig uppfyller detta, kan hela projektet behöva prövas i ett sammanhang.

Ett beslut om att godkänna myndighetens projekt bör kunna för- enas med villkor som ska uppfyllas för att behandlingen av person- uppgifter ska få ske. Sådana villkor kan behövas t.ex. beträffande formerna för urvalet av deltagare i en studie, inhämtande av sam- tycke eller lämnande av information.

26Prop. 1997/98:44 s. 70.

195

Känsliga personuppgifter

SOU 2018:52

proportionalitet som uppställs för behandling av känsliga person- uppgifter med hänsyn till ett viktigt allmänt intresse enligt arti- kel 9.2 g i dataskyddsförordningen är uppfyllda. Dessa krav bör nämligen enligt utredningens mening anses utgöra en måttstock för vad en registerförfattning som tillåter behandling av känsliga person- uppgifter bör uppfylla. Att myndighetens verksamhet utgör ett viktigt allmänt intresse har redan konstaterats (avsnitt 7.2.3). Under- sökningen av om kraven är uppfyllda görs i avsnitt 11.3.

En förutsättning för att myndigheten utan samtycke ska få be- handla de känsliga personuppgifter som myndigheten behöver bör vara att det aktuella projektet har godkänts vid en etisk prövning, eftersom behandlingen får anses särskilt riskfylld (se kapitel 10).

Myndigheten bör således få behandla känsliga personuppgifter bara med uttryckligt samtycke, då alla typer av känsliga person- uppgifter får behandlas, eller efter godkännande vid en etisk prövning, då bara sådana typer av känsliga personuppgifter som myndigheten har ett särskilt behov av får behandlas. Ett undantag från kravet på etikgodkännande görs dock för behandling som är av sådan mindre omfattning att den inte kan anses särskilt riskfylld. I andra fall bör myndigheten alltså enligt den föreslagna lagen inte få behandla känsliga personuppgifter. Utredningens förslag sammanfattas i avsnitt 11.4.

11.2Behovet av att behandla känsliga personuppgifter

Utredningens bedömning: Myndigheten för vård- och omsorgs- analys har behov av att utan samtycke kunna behandla uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung. Övriga typer av känsliga personuppgifter enligt artikel 9.1 i data- skyddsförordningen bör myndigheten inte få behandla utan sam- tycke.

I avsnitt 4.4 har utredningen beskrivit de behov myndigheten har av att behandla känsliga personuppgifter utan samtycke. Som anges i det avsnittet behöver myndigheten kunna samla in och på olika sätt använda sig av känsliga personuppgifter som finns hos andra aktörer för att kunna fullgöra sina arbetsuppgifter enligt myndighetsinstruk-

198

SOU 2018:52

Känsliga personuppgifter

tionen. Att tillåta myndigheten att behandla känsliga personuppgif- ter utan samtycke innebär ett intrång i den personliga integriteten. Myndigheten bör därför inte få behandla fler kategorier av känsliga personuppgifter än vad myndigheten faktiskt har behov av. Eftersom myndigheten har i uppdrag att följa upp och analysera bl.a. hälso- och sjukvården, är det framför allt uppgifter om hälsa som myndigheten behöver kunna behandla utan samtycke. I vissa projekt kan det vidare finnas behov av att utan samtycke kunna behandla uppgifter om medborgarskap eller ursprungsland. En isolerad upp- gift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. En sådan uppgift skulle dock i ett enskilt fall kunna avslöja etniskt ursprung.1 Det har inte framkommit att myndigheten har ett påtagligt behov av att utan samtycke kunna behandla andra typer av känsliga personuppgifter än uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung.

Som utredningen angett i det första betänkandet2 skulle skriv- ningen i artikel 9.4 i dataskyddsförordningen kunna tolkas som att möjligheten att göra undantag från förbudet att behandla känsliga personuppgifter måste utnyttjas fullt ut för att kunna användas, i fråga om andra kategorier av uppgifter än de som anges i artikeln. I bestämmelsen anges nämligen att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, endast för behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Att tolka bestämmelsen som att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier av känsliga personuppgifter synes dock inte rimligt, eftersom huvudregeln om förbud mot behandling av känsliga personuppgifter har tillkommit av det skälet att dessa upp- gifter anses vara särskilt skyddsvärda. Att det då endast skulle vara möjligt att ha en nationell reglering som antingen helt förbjuder behandling av sådana uppgifter eller tillåter all behandling som kan tillåtas enligt någon av de undantagsmöjligheter som finns i arti- kel 9.2 i dataskyddsförordningen synes inte förenligt med intresset av att skydda den personliga integriteten. När det gäller behandling som sker med stöd av grunden utförande av en arbetsuppgift av allmänt intresse framgår det dessutom av artikel 6.2 och 6.3 i data- skyddsförordningen att medlemsstaterna får ha särskilda bestäm-

1Se t.ex. prop. 2009/10:85 s. 325.

2SOU 2017:66 s. 237.

199

Känsliga personuppgifter

SOU 2018:52

melser om bl.a. vilken typ av uppgifter som ska behandlas, se av- snitt 9.2. En myndighet kan vidare hur som helst förbjudas att be- handla vissa kategorier av känsliga personuppgifter, se avsnitt 9.2. Utredningen har därför gjort bedömningen att det är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Det innebär att det är möjligt att tillåta behandling av bara vissa kategorier av känsliga personuppgifter och förbjuda behandlingen av andra kate- gorier.

Utredningen konstaterar mot denna bakgrund att myndigheten har ett berättigat behov av att kunna behandla vissa känsliga person- uppgifter utan att den registrerades samtycke inhämtas.

11.3Förutsättningarna för att göra undantag från förbudet mot att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse är uppfyllda

Utredningens bedömning: Kraven på skyddsåtgärder, nödvän- dighet och proportionalitet i artikel 9.2 g i dataskyddsförord- ningen uppfylls genom utredningens förslag. Det är därmed möj- ligt att tillåta behandling av känsliga personuppgifter med stöd av undantaget för viktiga allmänna intressen i artikel 9.2 g i data- skyddsförordningen.

11.3.1Krav på skyddsåtgärder

Utredningen har i avsnitt 7.2.3 gjort bedömningen att analys- och uppföljningsarbetet vid Myndigheten för vård- och omsorgsanalys utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av utformningen av sådana åtgärder, som säkerställer den registrerades grundläggande rättigheter och intressen, finns inte i dataskyddsför- ordningen.

200

SOU 2018:52

Känsliga personuppgifter

Viss vägledning om vilka faktorer som bör beaktas vid bedöm- ningen av lämpliga skyddsåtgärder kan dock hämtas i artikel 32 i dataskyddsförordningen. Av den artikeln framgår att lämpliga tek- niska och organisatoriska åtgärder för att säkerställa en säkerhets- nivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska vidtas. De åtgärder som kan vara aktuella att vidta kan bl.a. innefatta pseudonymisering, kryptering samt säkerställande av konfidentialitet, integritet, tillgänglighet och motståndskraft. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför. Hur sannolik och allvarlig risken är bör, enligt skäl 76 till dataskyddsförordningen, fastställas utifrån en objektiv bedömning med beaktande av behandlingens art, om- fattning, sammanhang och ändamål.

I registerförfattningar finns det ofta bestämmelser om vad som kan betecknas som säkerhetsåtgärder eller skyddsåtgärder. Som exem- pel kan nämnas bestämmelser om en databas som reglerar vilka personuppgifter som får göras mera allmänt tillgängliga i den aktu- ella verksamheten, tilldelning och begränsning av behörighet, logg- kontroll, hur och under vilka förutsättningar elektroniskt utläm- nande får ske, sökbegränsningar, kryptering, pseudonymisering samt samtycke som krav för en viss åtgärd.

Det finns inte något som tyder på att kravet i artikel 9.2 g i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen skulle innebära något annat än kravet på lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Vidare har Forskningsdatautredningen gjort bedömningen att etikprövning enligt etikprövningslagen utgör en sådan lämplig och särskild åtgärd för att säkerställa den regi- strerades grundläggande rättigheter och intressen som krävs vid be- handling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen. I ett remitterat utkast till lag- rådsremiss om behandling av personuppgifter för forskningsända- mål görs samma bedömning.3 Undantaget för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt arti-

3Utkast till lagrådsremiss dnr U2018/01639/F s. 68 ff.

201

Känsliga personuppgifter

SOU 2018:52

kel 9.2 g i dataskyddsförordningen innehåller samma krav på skydds- åtgärder. En prövning enligt etikprövningslagen får mot denna bak- grund anses uppfylla även kravet på lämpliga och särskilda åtgärder enligt artikel 9.2 g i dataskyddsförordningen.

Utredningen har i avsnitt 10.3.3, som alternativ till en etikpröv- ning av den redan etablerade etikprövningsorganisationen, föreslagit att ett annat särskilt organ för prövning av etiska frågor kan göra den prövning av myndighetens analysprojekt som utredningen föreslår. Organet ska vara en annan statlig myndighet eller vara knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgs- analys och ha företrädare för såväl det allmänna som forskningen. Prövningen ska göras enligt en avvägningsnorm som utredningen redogör för i avsnitt 10.4.2. Avvägningsnormen innebär att det för godkännande krävs dels att behandlingen av personuppgifter i pro- jektet är nödvändig, dels att samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Organet kan förena god- kännandet med de villkor som behövs. Det är utredningens bedöm- ning att även en sådan ordning uppfyller dataskyddsförordningens krav på skyddsåtgärder.

11.3.2Krav på nödvändighet

För att behandling av känsliga personuppgifter ska vara tillåten en- ligt artikel 9.2 g i dataskyddsförordningen måste den också vara nödvändig av hänsyn till det viktiga allmänna intresset. Nödvändig- hetsbegreppet i artikel 9.2 g i dataskyddsförordningen får antas ha den unionsrättsliga innebörd som redovisas i avsnitt 7.1.3. Kravet på nödvändighet innebär inte att det måste vara omöjligt att utföra upp- draget om inte känsliga personuppgifter behandlas. Behandling av känsliga personuppgifter kan alltså anses nödvändig om den medför effektivitetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på visst sätt. Om personupp- gifter inte behövs för ett visst ändamål eller om ändamålet kan upp- nås nästan lika enkelt och till nästan samma kostnad utan att per- sonuppgifter behandlas, är nödvändighetskravet däremot inte uppfyllt och behandling av känsliga personuppgifter inte tillåten.

202

SOU 2018:52

Känsliga personuppgifter

I såväl avvägningsnormen i etikprövningslagen som den avväg- ningsnorm som utredningen föreslår i avsnitt 10.4.2, ingår ett krav på nödvändighet. Kravet på nödvändighet är avsett att ha samma innebörd som kravet på nödvändighet i dataskyddsförordningen.

11.3.3Krav på proportionalitet

Nationell reglering som tillåter behandling av känsliga personupp- gifter av hänsyn till ett viktigt allmänt intresse måste vidare stå i proportion till det eftersträvade syftet och vara förenlig med det väsentliga innehållet i rätten till dataskydd. Syftet är i detta fall att Myndigheten för vård- och omsorgsanalys ska kunna utföra de analyser myndigheten har i uppdrag att göra. Behandling av känsliga personuppgifter bör därför endast vara tillåten när behovet av att behandla uppgifterna i detta syfte får anses väga över risken för intrång i den personliga integriteten. Myndigheten har som framgått behov av att kunna behandla vissa känsliga personuppgifter för att kunna utföra sitt uppdrag. Samtidigt innebär sådan behandling integri- tetsrisker. Dessa risker ska beaktas vid prövningen av den redan etablerade etikprövningsorganisationen eller av det särskilda organet för prövning av etiska frågor. Om riskerna väger över nyttan med analysen, kommer behandling således inte att få ske. Utredningen har därför i kapitel 16 gjort bedömningen att en reglering som inne- bär att myndigheten ges möjlighet till nödvändig behandling av känsliga personuppgifter efter en prövning av ett externt organ upp- fyller regeringsformens krav proportionalitet. En sådan bestämmelse får därför även anses uppfylla proportionalitetskravet enligt arti- kel 9.2 g i dataskyddsförordningen. Regleringen bedöms också fören- lig med det väsentliga innehållet i rätten till dataskydd.

203

Känsliga personuppgifter

SOU 2018:52

11.4Krav på etisk prövning för behandling av uppgifter om hälsa och personuppgifter som avslöjar etniskt ursprung utan samtycke

Utredningens förslag: Myndigheten för vård- och omsorgsanalys får behandla känsliga personuppgifter bara

1.med de registrerades uttryckliga samtycken,

2.såvitt avser uppgifter om hälsa eller personuppgifter som av- slöjar etniskt ursprung, om projektet har prövats och god- känts av Etikprövningsmyndigheten eller Överklagandenämn- den för etikprövning alternativt av ett annat särskilt organ för prövning av etiska frågor.

Behandlingen enligt första punkten tillåts med stöd av artikel 9.2 a dataskyddsförordningen och behandlingen enligt andra punkten tillåts med stöd av artikel 9.2 g, h eller j i dataskyddsförordningen.

Projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 per- soner behöver dock inte genomgå etisk prövning.

11.4.1Behandling tillåts om det finns uttryckligt samtycke eller etikgodkännande

Som konstaterats i den inledande bedömningen (avsnitt 11.1) bör Myndigheten för vård- och omsorgsanalys få behandla känsliga personuppgifter bara med uttryckligt samtycke, då alla typer av känsliga personuppgifter får behandlas, eller efter godkännande vid en etisk prövning, då bara sådana typer av känsliga personuppgifter som myndigheten har ett särskilt behov av får behandlas. I andra fall bör myndigheten alltså i princip inte få behandla känsliga person- uppgifter. Utredningen har i avsnitt 11.2 konstaterat att Myndig- heten för vård- och omsorgsanalys har ett berättigat behov av att, utan stöd av samtycke, behandla bara uppgifter om hälsa och person- uppgifter som avslöjar etniskt ursprung. Myndigheten bör alltså utan samtycke få behandla bara dessa typer av känsliga personupp- gifter, under förutsättning att det projekt som behandlingen ingår i har godkänts vid en etisk prövning.

204

SOU 2018:52

Känsliga personuppgifter

Den föreslagna bestämmelsen förbjuder alltså för det första myn- digheten att behandla känsliga personuppgifter i andra fall än som anges i bestämmelsen. Myndigheten får således, till följd av bestäm- melsen, inte använda de möjligheter till behandling av känsliga personuppgifter som artikel 9 h och j i dataskyddsförordningen samt 3 kap. 5 och 7 §§ dataskyddslagen ger. Den föreslagna lagen gäller framför dataskyddslagen som är subsidiär (avsnitt 9.4.2). Data- skyddsförordningen hindrar, som anges i avsnitt 9.2, inte att med- lemsstaterna i nationell rätt har mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behand- ling av personuppgifter. Även artikel 6.2 och 6.3 i dataskyddsförord- ningen möjliggör som angetts i det avsnittet en precisering av vilka villkor som ska gälla för behandlingen. Det är därför möjligt att inskränka myndighetens möjligheter till behandling av känsliga per- sonuppgifter i förhållande till vad som gäller i dag.

För det andra tillåter bestämmelsen myndigheten att behandla känsliga personuppgifter i de två fall som anges i bestämmelsen. Vid lagstiftning som kompletterar dataskyddsförordningen och utgör en uttrycklig tillåtelse att behandla känsliga personuppgifter är det van- ligt att i lagtexten ange med stöd av vilken eller vilka bestämmelser i dataskyddsförordningen som tillåtelsen ges, dvs. var det ursprung- liga rättsliga stödet för behandlingen finns. Utredningen anser att det som blivit vanligt bör följas, även om det tynger lagtexten, och har tagit med sådana hänvisningar till dataskyddsförordningen. Hän- visningarna är på det sätt som är brukligt av dynamisk karaktär, dvs. de avser vid var tid gällande lydelse av bestämmelsen, eftersom det rör sig om rena upplysningar.

För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör det i bestämmelsen göras en hänvisning till artikel 9.1 i dataskyddsförordningen. En sådan hän- visning bör också vara av dynamisk karaktär, eftersom terminologin som används i nationell reglering som kompletterar dataskyddsför- ordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen. Om uttrycken etniskt ursprung eller hälsa i dataskyddsförordningen ändras eller tas bort, måste givetvis den föreslagna lagen ändras.

205

Känsliga personuppgifter

SOU 2018:52

En bestämmelse om att myndigheten under vissa förutsättningar tillåts behandla känsliga personuppgifter utgör ett lagstöd enligt 2 kap. 20 § regeringsformen, vilket innebär att behandlingen får ut- föras även om den sker utan samtycke och innebär ett sådant be- tydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Utredningen redovisar i kapitel 16 sin bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

11.4.2Undantag från kravet på etisk prövning

Behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung får alltså, enligt utredningens förslag, bara ske om behandlingen prövats och godkänts vid en etisk prövning. Den etiska prövningen innebär emellertid en sådan omgång och sådana kostnader att den bör reserveras för de fall av behandling av per- sonuppgifter där det finns betydande integritetsrisker. Det är främst vid storskalig behandling som det finns sådana risker. Behandling som omfattar få registrerade innebär att risken för att det sker integritetsintrång generellt sett är mindre. Utredningen bedömer att det inte är nödvändigt med en extern etisk prövning om myndig- hetens projekt avser behandling av uppgifter om hälsa eller person- uppgifter som avslöjar etniskt ursprung om färre än 100 personer. Utredningen föreslår därför att kravet på etisk prövning inte ska gälla om behandlingen av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung i ett projekt avser färre än 100 per- soner. Behandlingen av känsliga personuppgifter får i sådana fall ske med stöd av bestämmelserna i dataskyddsförordningen och 3 kap. dataskyddslagen. Detta undantag från kravet på etisk prövning är inte ett sådant lagstöd som ger möjlighet till sådana betydande in- trång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

206

Lagöverträdelser

SOU 2018:52

12.2Krav på etisk prövning för behandling av uppgifter om lagöverträdelser utan samtycke

Utredningens förslag: Myndigheten för vård- och omsorgsana- lys får behandla uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administra- tiva frihetsberövanden i ett projekt bara

1.med de registrerades samtycken, eller

2.om projektet har prövats och godkänts av Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning alter- nativt av ett annat särskilt organ för prövning av etiska frågor.

Projekt som innefattar behandling av uppgifter om lagöverträd- elser om färre än 100 personer behöver dock inte genomgå etisk prövning.

12.2.1Behandling tillåts om det finns uttryckligt samtycke eller etikgodkännande

Som anges i avsnitt 7.3 får personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 10 i dataskyddsför- ordningen behandlas av en myndighet under förutsättning att det finns en rättslig grund för behandlingen. Detta framgår också av 3 kap. 8 § första stycket dataskyddslagen. Dataskyddsförordningen uppställer således inte, i likhet med den tidigare personuppgifts- lagen, några särskilda krav för att sådana uppgifter ska få behandlas av en myndighet. Myndigheten för vård- och omsorgsanalys har alltså med stöd av dataskyddsförordningen och dataskyddslagen samma möjligheter att behandla uppgifter om lagöverträdelser som andra personuppgifter.

Uppgifter om lagöverträdelser är dock av så pass integritets- känsligt slag att det förekommer att även myndigheters behandling av sådana uppgifter begränsas i registerförfattningar.1 Uppgifterna har också ansetts så integritetskänsliga att etikprövning av forskning

1Se t.ex. 114 kap. 12 § socialförsäkringsbalken och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

208

SOU 2018:52

Lagöverträdelser

innefattande sådana uppgifter bör ske, oavsett om forskningen ut- förs av myndigheter eller enskilda. Utredningen anser därför, trots att det inte finns något krav på skyddsåtgärder enligt dataskydds- förordningen, att det är rimligt att även låta behandling av uppgifter om lagöverträdelser utan samtycke omfattas av det föreslagna kravet på godkännande vid en etisk prövning (kapitel 10). Därutöver bör myndigheten få behandla sådana personuppgifter med de registrerades samtycken.

Definitionen av vad som utgör uppgifter om lagöverträdelser är något snävare enligt dataskyddsförordningen än den som angavs i 21 § personuppgiftslagen. De huvudsakliga skillnaderna är att data- skyddsförordningens reglering inte omfattar uppgifter om friande brottmålsdomar och administrativa frihetsberövanden.2

Etikprövningslagen ska enligt 3 § tillämpas bl.a. på forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.3 Den vidare definitionen av personuppgifter om lagöverträdelser som gällde enligt personupp- giftslagen behölls således i etikprövningslagen när dataskyddsför- ordningen började tillämpas. För det fall Etikprövningsmyndigheten ska göra prövningen av projekt som bedrivs vid Myndigheten för vård- och omsorgsanalys bör den bestämmelse utredningen nu före- slår avseende behandling av uppgifter om lagöverträdelser stämma överens med etikprövningslagens reglering. Samma bedömning är relevant även om ett annat särskilt organ ska göra prövningen. Kravet på etisk prövning bör därför i fråga om uppgifter om lagöverträdelser omfatta samma personuppgifter som etikprövningslagen omfattar. Bestämmelsen bör således omfatta personuppgifter om lagöverträd- elser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel och administrativa frihetsberövanden.

Dataskyddsförordningen hindrar, som anges i avsnitt 9.2, inte att medlemsstaterna i nationell rätt har mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behand- ling av personuppgifter. Även artikel 6.2 och 6.3 i dataskyddsförord- ningen möjliggör som angetts i det avsnittet en precisering av vilka villkor som ska gälla för behandlingen. Det är därför möjligt att låta

2För en mer ingående analys av skillnaderna mellan bestämmelserna hänvisas till utredningens första betänkande, SOU 2017:66 s. 252 ff.

3Utkast till lagrådsremiss dnr U2018/01639/F s. 11.

209

Lagöverträdelser

SOU 2018:52

myndighetens behandling av uppgifter om lagöverträdelser utan samtycke omfattas av kravet på prövning av ett externt organ.

Den föreslagna bestämmelsen utgör ett lagstöd enligt 2 kap. 20 § regeringsformen vilket innebär att behandlingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

12.2.2Undantag från kravet på etisk prövning

Utredningen föreslår alltså att behandling av uppgifter om lagöver- trädelser utan samtycke i ett projekt bara får ske om behandlingen prövats och godkänts vid en etisk prövning. Som utredningen konstaterat i avsnitt 11.4.1 bör den etiska prövningen reserveras för de fall av behandling av personuppgifter där det finns betydande integritetsrisker. Det är främst vid storskalig behandling som det finns sådana risker. Behandling som omfattar få registrerade innebär att risken för att det sker integritetsintrång generellt sett är mindre. Utredningen bedömer att det inte är nödvändigt med en extern etisk prövning om myndighetens projekt avser behandling av uppgifter om lagöverträdelser om färre än 100 personer. Utredningen föreslår därför att kravet på etisk prövning inte ska gälla om behandlingen av uppgifter om lagöverträdelser i ett projekt avser färre än 100 per- soner. Behandlingen av uppgifter om lagöverträdelser får i sådana fall ske med stöd av bestämmelserna i dataskyddsförordningen och 3 kap. dataskyddslagen. Detta undantag från kravet på etisk pröv- ning är inte ett sådant lagstöd som ger möjlighet till sådana betyd- ande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

210

Andra personuppgifter än känsliga personuppgifter...

SOU 2018:52

avsnitt 7.1.4, göra en bedömning av om behandlingen av person- uppgifter är tillåten med hänsyn till 2 kap. 6 § andra stycket reger- ingsformen. Om myndigheten bedömer att personuppgifterna inte kan behandlas med stöd av samtycke och att en behandling skulle medföra ett betydande intrång i den personliga integriteten som innebär övervakning eller kartläggning av den enskildes personliga förhållanden, får personuppgifterna inte behandlas med stöd av data- skyddsförordningen. För att personuppgifterna ska kunna behand- las krävs då enligt 2 kap. 20 § regeringsformen stöd i (svensk) lag.

13.2Behandling av andra personuppgifter i projekt som godkänts vid en etisk prövning

Utredningens förslag: När känsliga personuppgifter eller uppgif- ter om lagöverträdelser, efter prövning och godkännande av en Etikprövningsmyndigheten eller Överklagandenämnden för etik- prövning alternativt ett annat särskilt organ för prövning av etiska frågor, får behandlas i ett projekt får även andra personuppgifter behandlas utan de registrerades samtycken i det projektet.

Den prövning Etikprövningsmyndigheten eller Överklagandenämn- den för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor ska göra ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd analys eller upp- följning. Undantag gäller om ett projekt innefattar flera klart av- gränsade delprojekt, och bara något av dessa innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, se avsnitt 10.4.1 och 10.4.2. Huvudregeln är således att den prövande instansen ska göra en helhetsbedömning av Myndigheten för vård- och omsorgsanalys projekt. Den totala omfattningen av behand- lingen av personuppgifter inom projektet kan ju få betydelse vid bedömningen av om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. När det gäller de projekt som Myndig- heten för vård- och omsorgsanalys bedriver är det dessutom ofta så att personuppgifterna behandlas integrerat med varandra, vilket innebär att det inte går att skilja ut den del som avser behandling av

212

SOU 2018:52

Andra personuppgifter än känsliga personuppgifter...

känsliga personuppgifter eller uppgifter om lagöverträdelser från behandlingen av övriga personuppgifter. Det är mot bakgrund av detta utredningens uppfattning att den etiska prövningen utgör en garanti för att samtlig behandling av personuppgifter, inte enbart behandlingen av känsliga personuppgifter och uppgifter om lagöver- trädelser, inom ett godkänt projekt är välgrundad och proportioner- lig. Har projektet vid den etiska prövningen ansetts så viktigt att det motiverar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, måste det rimligen vara befogat med hänsyn till projektets vikt att behandla även andra personuppgifter.

Utredningen föreslår därför en bestämmelse om att i de fall be- handling av känsliga personuppgifter eller uppgifter om lagöverträ- delser i ett projekt har godkänts vid en prövning av Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor får även andra personuppgifter behandlas i det projektet eller delprojektet. En sådan bestämmelse har stöd i artikel 6.1 e och 6.2 i dataskyddsförord- ningen.

Förslaget innebär att all behandling av personuppgifter i projekt eller delprojekt som godkänts vid en etisk prövning har ett lagstöd enligt 2 kap. 20 § regeringsformen som innebär att behandlingen får utföras även om den sker utan samtycke och innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillåtligheten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

Information om att myndigheten planerar att behandla andra per- sonuppgifter ska naturligtvis ha ingått i det underlag som varit före- mål för etisk prövning. Om det efter att godkännande lämnats upp- står ett behov av att behandla ytterligare personuppgifter får myn- digheten, liksom vid andra förändringar av förutsättningarna för projektet, överväga om en ny prövning av projektet behöver göras. När det gäller etikprövning enligt etikprövningslagen behöver en ny ansökan enligt motivuttalanden göras om förändringarna av projek- tet är väsentliga.1 Motsvarande bör gälla vid prövning av ett annat särskilt organ för prövning av etiska frågor.

1Prop. 2002/03:50 s. 115.

213

Andra personuppgifter än känsliga personuppgifter...

SOU 2018:52

13.3Utvidgad möjlighet till etisk prövning av projekt som endast innefattar andra uppgifter

Utredningens förslag: Om ett projekt endast ska innefatta be- handling av andra personuppgifter än känsliga personuppgifter eller uppgifter om lagöverträdelser får personuppgifterna, om myndigheten bedömer att projektet inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen, behandlas om pro- jektet har prövats och godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor.

Även om många projekt inkluderar behandling av känsliga person- uppgifter, är det inte uteslutet att Myndigheten för vård- och om- sorgsanalys även har projekt som innefattar behandling enbart av sådana personuppgifter som inte är känsliga eller uppgifter om lag- överträdelser. Det skulle t.ex. kunna röra sig om en undersökning som kartlägger privatekonomi och andra levnadsomständigheter för personer som beviljats ekonomiskt bistånd. Det är inte heller omöj- ligt att analysarbetet i ett enskilt projekt medför en så omfattande behandling av personuppgifter att det med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och ett behov av att koppla samman personuppgifterna, får anses innebära en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Sådan behandling är inte tillåten utan samtycke eller lagstöd enligt 20 § i samma kapitel. Det kan också förutsättas att all behandling av personuppgifter i projekt, som medför så omfattande behandling av personuppgifter att den får anses innebära en kartläggning av enskildas personliga förhållanden och ett betydande intrång i den personliga integriteten, inte kan ske med stöd av samtycke. I ett sådant fall krävs lagstöd enligt 2 kap. 20 § regeringsformen för att behandlingen ska vara tillåten.

Utredningen gör bedömningen att behandling utan samtycke av personuppgifter som inte omfattas av dataskyddsförordningens defi- nition av känsliga personuppgifter och inte heller utgör uppgifter av lagöverträdelser inte kan tillåtas generellt (se avsnitt 9.1 och 10.1). Det är inte möjligt att för myndighetens verksamhet fastställa tillräckligt

214

SOU 2018:52

Andra personuppgifter än känsliga personuppgifter...

avgränsade och förutsägbara ändamålsbestämmelser för att all be- handling av personuppgifter utan samtycke för vissa angivna ända- mål ska kunna tillåtas. I stället föreslår utredningen i avsnitt 14.2.5 att myndigheten för varje enskilt projekt ska fastställa ändamålet för behandlingen. I samband med detta måste myndigheten också av- göra omfattningen av behandlingen och utifrån detta bedöma om den är tillåten i förhållande till 2 kap. 6 § andra stycket regerings- formen. Följden av denna reglering är att om myndigheten bedömer att behandlingen av personuppgifter står i strid med 2 kap. 6 § andra stycket regeringsformen, krävs lagstöd för att behandlingen ska vara tillåten.

Utredningen föreslår, med hänsyn till svårigheterna att på för- hand fastställa tillräckligt tydliga ändamål för myndighetens behand- ling av personuppgifter, att även projekt som endast medför behand- ling av personuppgifter som varken är känsliga eller uppgifter om lagöverträdelser ska kunna prövas av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor om behandlingen, enligt myndighetens bedömning, inte är tillåten enligt 2 kap. 6 § andra stycket regeringsformen. Om projektet godkänns vid prövningen, ska behandlingen enligt förslaget vara tillåten. Bestämmelsen har stöd i artikel 6.1 e och 6.2 i dataskyddsförordningen. Den föreslagna bestäm- melsen utgör ett sådant lagstöd som avses i 2 kap. 20 § regerings- formen. I kapitel 16 redovisas utredningens bedömning av tillåtlig- heten enligt 2 kap. 21 § regeringsformen av ett sådant lagstöd.

Behovet av att i ett projekt utföra omfattande behandling av per- sonuppgifter, som träffas av 2 kap. 6 § andra stycket regeringsformen, utan att projektet förutsätter behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, lär i praktiken dock uppstå ytterst sällan. Möjligheten att ansöka om prövning för dylika projekt skulle således vara aktuell enbart i fall där integritetsskyddsintresset tydligt står på spel.

I utkastet till lagrådsremiss om behandling av personuppgifter för forskningsändamål dras slutsatsen att kravet på etikprövning i etik- prövningslagen inte bör utvidgas från att som i dag endast omfatta behandling av känsliga personuppgifter och uppgifter om lagöver- trädelser till att gälla all behandling av personuppgifter för forsknings- ändamål.2 I utkastet togs dock endast ställning till en bred utvidgning

2Se utkast till lagrådsremiss dnr U2018/01639/F s. 72. f.

215

Andra personuppgifter än känsliga personuppgifter...

SOU 2018:52

omfattande all behandling av personuppgifter för forskningsända- mål. Möjligheterna att göra en begränsad utvidgning till vissa särskilt angivna situationer där intresset av att skydda den personliga integriteten är särskilt tydligt övervägdes inte. I det här fallet skulle prövningen omfatta även behandling av personuppgifter som enligt legaldefinitionen visserligen inte är känsliga eller uppgifter om lag- överträdelser, men ändå så omfattande och gällande så integritets- känsliga personuppgifter att behandlingen bedöms medföra ett betydande intrång i den personliga integriteten. I det remitterade ut- kastet till lagrådsremiss om behandling av personuppgifter för forsk- ningsändamål anförs att behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser i tidigare lagstiftningssammanhang har bedömts inte vara av särskilt integritetskänslig karaktär. Det framhålls dock att en sådan uppfatt- ning i viss mån kan vara subjektiv. Vad någon uppfattar som integri- tetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och en för sig är av mindre integri- tetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av personuppgift som framgår av dataskyddsförordningen kan alla olika slags personupp- gifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritetsmässig risk att behandla. Dataskydds- förordningens kategoriseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser är enligt utkastet rimliga och lämpliga avgränsningar för vad som generellt kan karaktäriseras som sådana integritetskänsliga personuppgifter som kräver ett ökat skydd.3

Den bestämmelse som utredningen här föreslår skulle omfatta behandling av personuppgifter som är närliggande sådan behandling av personuppgifter som enligt förslaget i övrigt ska omfattas av kra- vet på etisk prövning. Utredningen bedömer det därför motiverat att införa en möjlighet att ansöka om en etisk prövning för behandling av personuppgifter i ett projekt som inte innefattar känsliga person- uppgifter eller uppgifter om lagöverträdelser om Myndigheten för vård- och omsorgsanalys bedömer att projektet inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen.

3SOU 2017:50 s. 348 och utkast till lagrådsremiss dnr U2018/01639/F s. 72 f.

216

Skyddsåtgärder

SOU 2018:52

genomförande av dataskyddsprinciper, t.ex. principen om uppgifts- minimering i artikel 5, och för integrering av de nödvändiga skydds- åtgärderna i behandlingen. Åtgärder ska vidtas både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen och genomföras med beaktande av den senaste utvecklingen, genom- förandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Som exempel på en åtgärd anges pseudonymisering. Med pseudonymisering avses enligt artikel 4 i dataskyddsförordningen behandling av personupp- gifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter för- varas separat och är föremål för tekniska och organisatoriska åtgär- der som säkerställer att personuppgifterna inte tillskrivs en identi- fierad eller identifierbar fysisk person.

I artikel 32.1 i dataskyddsförordningen anges pseudonymisering återigen som eventuellt lämplig åtgärd att vidta. Därutöver anges kryptering av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, förmågan att återställa till- gängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident och ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet som eventuellt lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Åtgärderna ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sam- manhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Vid bedöm- ningen av lämplig säkerhetsnivå ska, enligt artikel 32.2 i dataskydds- förordningen särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

218

SOU 2018:52

Skyddsåtgärder

Den personuppgiftsansvarige är enligt artikel 32.4 i dataskydds- förordningen också skyldig att vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgifts- ansvariges överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansva- rige. Undantag gäller dock om unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. Att person- uppgiftsbiträdet och personer som utför arbete under den person- uppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, alternativt med stöd av gällande rätt, framgår av artikel 29 i dataskyddsförordningen.

14.1.2Reglering i den föreslagna lagen

Utredningens förslag: Lagens krav på skyddsåtgärder ska omfatta all behandling av personuppgifter inom lagens tillämpningsom- råde.

Det är Myndigheten för vård- och omsorgsanalys som i egenskap av personuppgiftsansvarig ska genomföra lämpliga tekniska och orga- nisatoriska åtgärder för att säkerställa att behandlingen av person- uppgifter sker i enlighet med dataskyddsförordningen (artikel 24).1 Myndigheten är också skyldig att vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under myndighetens över- inseende behandlar personuppgifter endast på instruktion från myn- digheten. Detsamma gäller om behandlingen av personuppgifter utförs av ett personuppgiftsbiträde. Undantag gäller dock om unions- rätten eller svensk rätt ålägger personen eller personuppgiftsbiträdet att behandla personuppgifterna (artikel 29 och 32.4 i dataskyddsför- ordningen).

Dataskyddsförordningens bestämmelser om krav på säkerhets- åtgärder är direkt tillämpliga. Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder enligt dataskyddsförord-

1Utredningen gör i avsnitt 9.1 bedömningen att en särskild bestämmelse om att det är Myn- digheten för vård- och omsorgsanalys som är personuppgiftsansvarig för den behandling myndigheten utför inte krävs.

219

Skyddsåtgärder

SOU 2018:52

ningen upphör, kan dock mer specifika krav på skydds- eller säker- hetsåtgärder åläggas genom nationell lagstiftning (se avsnitt 9.2). I registerförfattningar finns det ofta bestämmelser med krav på olika former av åtgärder som kan betecknas som skydds- eller säkerhets- åtgärder. Som exempel kan nämnas bestämmelser om tilldelning och begränsningar av behörigheter, loggkontroller, sökbegränsningar, kryptering, pseudonymisering, samtycke som krav för en viss åtgärd samt bestämmelser om hur och under vilka förutsättningar person- uppgifter får lämnas ut elektroniskt. Också bestämmelser på andra håll om sekretess och tystnadsplikt samt straff för den som bryter mot tystnadsplikten eller olovligen bereder sig tillgång till eller mani- pulerar personuppgifter kan betecknas som skydds- eller säkerhets- åtgärder.

Av avsnitt 6.5 framgår att personuppgifterna som behandlas i projekten hos Myndigheten för vård- och omsorgsanalys omfattas av stark s.k. statistiksekretess och tystnadsplikt.

Utredningen har redan i kapitel 10–12 föreslagit krav på prövning av Etikprövningsmyndigheten eller Överklagandenämnden för etik- prövning alternativt ett annat särskilt organ för prövning av etiska frågor som en förutsättning för att Myndigheten för vård- och omsorgsanalys ska få behandla bl.a. känsliga personuppgifter utan uttryckligt samtycke. Prövningen utgör, som anges i de kapitlen, en form av skyddsåtgärd som avser att utmynna i ett beslut som innebär att personuppgifterna får eller inte får behandlas utifrån vissa förut- sättningar. Godkännandet kan också förenas med särskilda villkor som då måste följas. När ett projekt är godkänt och myndigheten kan inleda sin behandling av personuppgifter, måste myndigheten tillämpa den generella regleringen av skyddsåtgärder som finns i dataskyddsförordningen.

I följande avsnitt föreslår utredningen flera bestämmelser med krav på åtgärder som är avsedda att ytterligare minska de risker för den personliga integriteten som myndighetens behandling av person- uppgifter medför. Skyddsåtgärderna bör gälla även sådan behandling som avser personuppgifter som inte är känsliga eller uppgifter om lagöverträdelser och inte heller bedöms strida mot grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. Trots att myndigheten, i enlighet med vad utredningen har konstaterat i avsnitt 7.1.4, har stora möjligheter att behandla sådana personuppgifter med stöd av dataskyddsförordningen, får de föreslagna skyddsåtgärderna anses

220

SOU 2018:52

Skyddsåtgärder

lämpliga att tillämpa vid all behandling av personuppgifter som faller inom lagens tillämpningsområde. Skyddsåtgärderna bör därför gälla vid all behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

14.2Ändamålsbestämning för varje projekt

14.2.1Krav på ändamålsbestämning

Personuppgifter ska enligt artikel 5.1 b i dataskyddsförordningen samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Av definitionen av begreppet personuppgiftsansvarig i arti- kel 4 i dataskyddsförordningen framgår att ändamålen och medlen för behandlingen ska bestämmas av den personuppgiftsansvarige. Det är också tillåtet att fastställa ändamål för behandling av person- uppgifter i nationell rätt med stöd av artikel 6.2 och 6.3 i dataskydds- förordningen. Enligt skäl 39 till dataskyddsförordningen bör de specifika ändamål som personuppgifterna behandlas för vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Ändamålsbestämningen är central vid behandling av personupp- gifter. Exempelvis avgörs vilka personuppgifter som får behandlas utifrån fastställt ändamål – personuppgifter ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för om- fattande i förhållande till de ändamål för vilka de behandlas. Det register varje personuppgiftsansvarig ska föra över behandling som utförts under dess ansvar enligt artikel 30 i dataskyddsförordningen ska innehålla uppgift om ändamål med behandlingen. Samma sak gäller sådan information som ska lämnas till den registrerade enligt artikel 13–15 i dataskyddsförordningen. Även vid bedömning av rätt till rättelse, radering och begränsning av behandling enligt arti- kel 16–18 i dataskyddsförordningen görs avvägningar med beaktan- de av ändamålet med behandlingen. Behandlingens ändamål har också betydelse bl.a. för vad som är en lämplig säkerhetsnivå enligt artikel 32 i dataskyddsförordningen.

221

Skyddsåtgärder

SOU 2018:52

Ändamålen i registerförfattningar delas ofta upp i primära och sekundära ändamål. De primära ändamålen reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen verksamhet medan de sekundära ändamålen reglerar i vilken utsträck- ning personuppgifter som behandlas för något av de primära ända- målen får behandlas för att lämnas ut till andra myndigheter eller till enskilda för att tillgodose mottagarnas behov.

Ändamål regleras oftast i lag och inte i förordning. Skälet till detta torde vara ändamålsbestämmelsernas centrala betydelse och överens- kommelsen mellan riksdag och regering om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag, se avsnitt 3.5.3.

14.2.2Generellt formulerade ändamål i registerförfattningar

Av artikel 5.1 b i dataskyddsförordningen framgår att personupp- gifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Motsvarande bestämmelser fanns tidigare i artikel 6.1 b i dataskyddsdirektivet och 9 § första stycket c personuppgiftslagen. Att ändamålen ska vara särskilda, dvs. inte alltför allmänt hållna, är således inget nytt utan det har man haft att förhålla sig till vid tillkomsten av de flesta registerförfattningarna. Trots detta är ända- målsbestämmelser i registerförfattningar ofta generellt formulerade. I många förarbeten anges att syftet med ändamålsbestämmelserna är att ange en yttersta ram inom vilken uppgifterna får behandlas.2

I syfte att begränsa den tillåtna ramen inom vilka personuppgifter får behandlas förekommer det att regeringen eller den myndighet som regeringen bestämmer ges möjlighet att föreskriva begräns- ningar i förhållande till lagens ändamålsbestämmelser. Exempel på detta är 6 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 4 § tredje stycket studie- stödsdatalagen (2009:287). I inget av fallen har delegationsbestäm- melserna lett till några begränsningar av ändamålen.3 I förarbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet

2Se t.ex. prop. 1997/98:97 s. 121, prop. 2000/01:33 s. 99 och SOU 2006:82 s. 178.

3Se 2 § förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknads- politiska verksamheten, Arbetsmarknadsstyrelsens föreskrifter (AMSFS 2002:11) om tillämp- ningen av lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och studiestödsdataförordningen (2009:321).

222

SOU 2018:52

Skyddsåtgärder

för arbetsmarknads- och utbildningspolitisk utvärdering ansåg regeringen att ändamålen i den föreslagna lagen borde vara något mer allmänt hållna än uppdraget enligt myndighetens instruktion och att ändamålsbestämmelserna inte skulle vara knutna till de specifika ämnesområden som pekas ut i instruktionen. Lagen skulle annars behöva ändras vid varje justering i myndighetens uppdrag. Reger- ingen menade att det uppdrag som beskrivs i instruktionen i prak- tiken ändå kommer att snäva in ändamålen genom att det styr inom vilka ämnesområden institutet bedriver sina studier, uppföljningar och utvärderingar.4 Det förekommer också att det i förarbeten anges att det förutsätts eller krävs att den personuppgiftsansvariga myn- digheten anger mer preciserade ändamål för specifika behandlingar inom den tillåtna ramen.5

Socialdatautredningen föreslog i det lagstiftningsarbete som före- gick lagen (2001:454) om behandling av personuppgifter inom social- tjänsten att de närmare ändamålen skulle bestämmas av personupp- giftsansvarig myndighet.6 Regeringen ansåg dock att det var lämpli- gare att ange ett vidsträckt ändamål i lagen som innebär att person- uppgifter får behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras.7 Ändamålen reglerades sedan närmare i förordning.

14.2.3Registerförfattningar utan ändamålsbestämmelser

De vida ändamålen i registerförfattningar har enligt Informations- hanteringsutredningen lett till en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respek- tive tillåtna rättsliga grunder för behandling. Informationshanter- ingsutredningen ansåg att det fanns en risk för att tillämparen god- tog ett i författning bestämt allmänt ändamål som ett i och för sig särskilt och tillräckligt preciserat ändamål och därför drog den felak- tiga slutsatsen att personuppgiftslagens krav var uppfyllda. Informa- tionshanteringsutredningen menade därför att det kan ge ett i prak-

4Prop. 2011/12:176 s. 29 f.

5SOU 2015:39 s. 267.

6SOU 1999:109 s. 162.

7Prop. 2000/01:80 s. 142.

223

Skyddsåtgärder

SOU 2018:52

tiken bättre integritetsskydd om den personuppgiftsansvarige är hän- visad enbart till att utifrån de då gällande grundläggande kraven i 9 § första stycket c personuppgiftslagen på eget ansvar formulera ända- mål som är tillräckligt specifika för att ge ledning för vilka uppgifter som är adekvata och inte för många för den aktuella behandlingen.8

Förslaget har fått ett blandat mottagande. Datainspektionen fram- höll i sitt remissvar att frågor om ändamålsreglering i omfattande myndighetsbaserade databaser är ett typexempel på sådant som om- fattas av det förstärkta grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. Att överlåta till regeringen och myndigheter att besluta om för vilka ändamål personuppgifter får hanteras i myndig- heternas verksamheter anses av Datainspektionen strida mot grund- lagsbestämmelsen. Andra remissinstanser ansåg att förslaget förenk- lade bedömningen av vilken behandling av personuppgifter som är tillåten.

Utredningen om 2016 års dataskyddsdirektiv har bedömt att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. En ändamålsbestämmelse bör enligt Utred- ningen om 2016 års dataskyddsdirektiv ge ledning för prövningen av vilka personuppgifter som är adekvata och relevanta för behand- lingen. De primära ändamålsbestämmelserna i registerförfattning- arna bedöms dock generellt sett inte ge någon egentlig ledning för prövningen av vilka personuppgifter som får behandlas. De utgör snarare den yttre ramen inom vilken de särskilda, uttryckliga och berättigade ändamålen med behandlingen i enskilda fall ska bestäm- mas. De primära ändamålsbestämmelserna anses dock i och för sig fylla en viktig funktion i och med att de sätter ramar för behand- lingen av personuppgifter. De föreslås därför behållas samtidigt som det tydliggörs att bestämmelserna i fråga är en del av den rättsliga grunden. Den närmare innebörden av de tillåtna rättsliga grunderna i respektive myndighets registerförfattning måste uttolkas tillsam- mans med regleringen av arbetsuppgifterna.9 Vad gäller den föreslag- na generella bestämmelsen om rättslig grund i brottsdatalagen

8SOU 2015:39 s. 278 f.

9SOU 2017:74 s. 384 f.

224

SOU 2018:52

Skyddsåtgärder

bedöms den, tillsammans med en bestämmelse om att personupp- gifter ska behandlas för särskilda, uttryckligt angivna och berättigade ändamål, uppfylla kraven i 2016 års dataskyddsdirektiv10 på hur reg- leringen ska vara utformad.11

Enligt 14 § i den tidigare polisdatalagen (1998:622), som upp- hörde att gälla den 1 mars 2012, krävdes, för att personuppgifter skulle få behandlas i kriminalunderrättelseverksamhet, att en sär- skild undersökning hade inletts under ledning av Rikspolisstyrelsen eller en polismyndighet och att det fanns anledning att anta att all- varlig brottslighet hade utövats eller kunde komma att utövas. Enligt 15 § samma lag skulle polismyndighetens eller Rikspolisstyrelsens beslut om behandling av personuppgifter enligt 14 § innehålla upp- gifter om ändamålet med behandlingen och de villkor i övrigt som behövdes för att förebygga otillbörligt intrång i de registrerades per- sonliga integritet. Något ändamål för behandling av personuppgifter inom just kriminalunderrättelseverksamheten föreskrevs således inte i lagen utan ändamål för behandlingen av personuppgifter an- gavs i särskilda beslut. Begränsningen av polisens möjligheter att behandla personuppgifter i underrättelseverksamhet och kravet på särskilt beslut om ändamål och andra villkor för behandlingen moti- verades med en oro för en utveckling som leder till otillbörliga in- trång i den personliga integriteten.12

Förslaget till brottsdatalag innehåller i 2 kap. 3 § en ändamåls- bestämmelse, som innebär att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Om det ända- mål som personuppgifterna behandlas för inte framgår av samman- hanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.13 I likhet med utredningen om 2016 års dataskydds- direktiv anser regeringen att det finns fog för Informationshanter- ingsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman.14 Det är därför

10Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

11SOU 2017:29 s. 244.

12SOU 1997:65 s. 221 f. och prop. 1997/98:97 s. 121.

13Prop. 2017/18:232 s. 16. Lagen föreslås träda i kraft den 1 augusti 2018.

14Prop. 2017/18:232 s. 115.

225

Skyddsåtgärder

SOU 2018:52

lämpligt att det görs tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser. I propositionen konsta- teras vidare att den omständigheten att viss behandling är rättsligt grundad inte innebär att vilka personuppgifter som helst får behand- las eller att det får göras på valfritt sätt.15 Den personuppgiftsansva- rige måste också iaktta övriga krav som gäller för behandling av personuppgifter. I artikel 4.1 b i direktivet anges bl.a. att person- uppgifter ska samlas in för särskilda, uttryckligt angivna och berät- tigade ändamål. Liknande reglering finns i artikel 6.1 b i 1995 års dataskyddsdirektiv, som har genomförts genom 9 § första stycket c i personuppgiftslagen. En liknande bestämmelse bör, enligt propo- sitionen, tas in i brottsdatalagen. Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att det ska kunna avgöras att inte för många uppgifter behandlas. Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in. Att ändamålen ska vara berättigade innebär enligt regeringens mening en koppling till den rättsliga grunden. Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden. Kravet på att ändamålet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Genom att det i stor utsträckning är reglerat vilken behandling av personuppgifter som kan aktualiseras på området för brottsbekämp- ning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet har lagstiftaren redan tagit ställning till att behandlingen av personuppgifter är berättigad i de fallen. Det är dock inte bara när personuppgifter samlas in som det ska finnas ett sär- skilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska naturligtvis också uppfylla de kraven. I brottsdatalagen bör det därför tydlig- göras att all behandling ska utföras för särskilda, uttryckligt angivna och berättigade ändamål.

Vidare anförs i propositionen att det i artikel 8.2 i 2016 års data- skyddsdirektiv anges att nationell rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas

15Prop. 2017/18:232 s. 120 ff.

226

SOU 2018:52

Skyddsåtgärder

och behandlingens ändamål. Uttrycken ”syftet med behandlingen” och ”behandlingens ändamål” används ofta synonymt när man diskuterar behandling av personuppgifter. Frågan är om det finns någon saklig skillnad mellan uttrycken. I den engelska språkversionen av direktivet används uttrycken ”objectives of processing” och ”purposes of the processing”. Orden objectives och purposes är också synonymer. Användningen av obestämd form i det första ut- trycket men bestämd form i det senare kan tolkas som att det första uttrycket avser bestämmelser om rättslig grund (brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ord- ning och säkerhet), medan det andra avser ändamålen för behand- lingen i det enskilda fallet. Om någon skillnad är avsedd, är det enligt regeringens mening den enda rimliga tolkningen. Regeringen anser därmed att den föreslagna generella bestämmelsen om rättslig grund i ramlagen, tillsammans med bestämmelsen om att personuppgifter ska behandlas för särskilda, uttryckligt angivna och berättigade ändamål, uppfyller kraven i 2016 års dataskyddsdirektiv på hur re- gleringen ska vara utformad.

I propositionen konstateras också att det oftast framgår av sam- manhanget för vilket ändamål personuppgifter behandlas (t.ex. för förundersökningen om ett visst brott, handläggningen av ett visst mål eller ärende eller verkställigheten av ett visst straff). Behovet av att upplysa om för vilka ändamål personuppgifter behandlas gör sig framför allt gällande i den del av den brottsbekämpande verksam- heten där det långtifrån alltid framgår av omständigheterna för vilket ändamål personuppgifter behandlas, t.ex. i underrättelseverksam- heten. Det bör finnas möjlighet att kunna kontrollera för vilket eller vilka ändamål personuppgifter behandlas oavsett i vilken verksamhet det görs. Det underlättar både för den enskilde och för tillsynsmyn- digheten om ändamålet är tydligt. Om det ändamål för vilket person- uppgifter behandlas inte framgår av sammanhanget eller på annat sätt, bör det därför tydliggöras genom en särskild upplysning. En bestämmelse om det bör, enligt propositionen, tas in i brottsdata- lagen.

227

Skyddsåtgärder

SOU 2018:52

14.2.4Finalitetsprincipen

Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgif- ter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, samt att ytterligare behandling för arkivända- mål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Principen som kommer till uttryck i artikeln brukar kallas finalitetsprincipen.

I artikel 6.4 i dataskyddsförordningen anges vilken bedömning den personuppgiftsansvarige ska göra för att fastställa om en vidare- behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Den personuppgifts- ansvarige ska beakta kopplingar mellan de ändamål för vilka person- uppgifterna har samlats in och ändamålen med den avsedda ytter- ligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 i dataskyddsförordningen eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10 i dataskyddsförordningen, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Av skäl 50 till dataskyddsförordningen framgår att vid behand- ling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs.

14.2.5Överväganden

Utredningens förslag: Myndighetschefen ska besluta om särskil- da ändamål för behandlingen av personuppgifter i varje projekt. Utan ett sådant beslut får personuppgifter inte behandlas i upp- följnings- och analysverksamheten. Beslutet ska offentliggöras på lämpligt sätt.

228

SOU 2018:52

Skyddsåtgärder

För att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen har beslutat om det.

Beslut om ändamålen

Utredningen konstaterar att ändamålsbestämningen är central vid all behandling av personuppgifter. Att fastställa vilka ändamål som är tillåtna – och därmed utesluta möjligheten att behandla personupp- gifter för andra ändamål – hindrar den personuppgiftsansvarige från att behandla personuppgifter på ett sätt som inte är avsett och innebär därmed en begränsning av risken för intrång i den personliga integriteten. Ändamålen är också avgörande bl.a. för vilka person- uppgifter som får behandlas.

För att det ska gå att bedöma vilka personuppgifter som är rele- vanta och adekvata att behandla för ett visst ändamål, måste dock ändamålet vara tillräckligt specifikt för att ge ledning för den bedöm- ningen. Myndigheten för vård- och omsorgsanalys uppdrag, som avser uppföljningar och analyser av hälso- och sjukvård, tandvård och omsorg, är mycket brett. För att myndigheten ska kunna utföra sitt uppdrag krävs att den har möjlighet att behandla alla möjliga olika slags personuppgifter för vitt skilda ändamål. Det är väldigt svårt, eller omöjligt, att i författning konkretisera dessa ändamål utan att de blir för vida och oprecisa. Motsvarande svårigheter har funnits vid tidigare lagstiftningsarbeten.

Utredningen gör bedömningen att det inte är möjligt att för myndighetens verksamhet i lag fastställa tillräckligt avgränsade och förutsägbara ändamål för den behandling av personuppgifter som bör vara tillåten. Sådana bestämmelser skulle bli alltför oprecisa och därmed också innebära oproportionerliga undantag från rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen.

I stället för att ange ändamål som utgör en ram för behandlingen och snarare är en del av den rättsliga grunden än ett preciserat ända- mål, föreslår utredningen att myndigheten på egen hand ska ange särskilda ändamål för behandlingen av personuppgifter i varje pro- jekt i uppföljnings- och analysverksamheten. Myndigheten har då möjlighet att bestämma ett väl avgränsat och preciserat ändamål för

229

Skyddsåtgärder

SOU 2018:52

varje enskilt projekt. Ett ändamål kan för ett projekt vara att göra en koncentrerad analys av en viss problemställning med en tydlig avgränsning i tid och för ett annat projekt att följa vissa individer och göra en jämförelse över tid.

Utredningen föreslår också att ändamålsbestämningen ska ske i form av ett beslut. Det är lämpligt att beslutanderätten läggs på en så hög nivå som möjligt i myndigheten. Därför bör det vara den myn- dighetschef som ska finnas enligt myndighetens instruktion som ska fatta beslutet. Genom en formaliserad hantering och ett krav på ett särskilt beslut av myndighetschefen, skapas goda förutsättningar för att ändamålsbestämningen föregås av en noggrann behovs- och pro- portionalitetsanalys.

För att personuppgifter ska få behandlas i ett projekt i verksam- heten med uppföljning och analys krävs således att det har fattats ett beslut om ändamål för behandlingen. Det beslutet ska också innehålla ett ställningstagande till vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer, se avsnitt 14.3. Även när behandlingen måste prövas av Etikprövningsmyndigheten eller Över- klagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor krävs ett sådant beslut.

Beslutet om ändamål m.m. bör vidare offentliggöras av myndig- heten på lämpligt sätt, t.ex. genom att innehållet i beslutet publiceras på myndighetens webbsida. På så sätt kan allmänheten ta del av infor- mation om de behandlingar av personuppgifter som myndigheten företar. En registrerad bereds därmed också möjlighet att invända mot behandling av sådana personuppgifter som avser honom eller henne (se avsnitt 14.4). Dessutom kan andra intresserade få reda vilka ana- lys- och uppföljningsändamål som myndigheten arbetar med. Bestäm- melsen om offentliggörandet är dock bara av ordningskaraktär och ett åsidosättande av den innebär inte att behandlingen enligt beslutet strider mot den föreslagna lagen och kan föranleda skadestånd. Bestämmelsen kan med stöd av 8 kap. 7 § regeringsformen lämpligen tas in i en förordning i anslutning till den föreslagna lagen.

Det bör noteras att myndigheten, i samband med ändamåls- bestämningen, även måste ta ställning till om en konsekvensbedöm- ning avseende dataskydd behöver upprättas. Av artikel 35.1 i data- skyddsförordningen framgår att om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, om- fattning, sammanhang och ändamål, sannolikt leder till en hög risk

230

SOU 2018:52

Skyddsåtgärder

för fysiska personers rättigheter och friheter ska den personupp- giftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker. En konsekvensbedömning krävs enligt 35.3 i dataskyddsförordningen särskilt bl.a. vid behandling i stor omfatt- ning av känsliga uppgifter eller uppgifter om lagöverträdelser. Om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk om inte åtgärder vidtas för att minska risken, ska myn- digheten enligt artikel 36 i dataskyddsförordningen dessutom sam- råda med tillsynsmyndigheten före behandling.

Beslut om återanvändning av personuppgifter

Personuppgifter som har samlats in för ett visst ändamål i ett projekt får användas i ett annat projekt bara om det är förenligt med tillämp- liga regler. Det är långt ifrån självklart att personuppgifter som redan finns hos myndigheten i ett projekt kan användas i andra projekt. Behandlingen av personuppgifterna i det andra projektet måste t.ex. vara förenlig med det ursprungliga ändamålet i enlighet med finali- tetsprincipen i artikel 5.1 b i dataskyddsförordningen. Bedömningen av förenligheten ska göras, i enlighet med vad som framgår av arti- kel 6.4 i dataskyddsförordningen, med beaktande av kopplingar mellan ändamålen, sammanhanget inom vilket personuppgifterna har samlats in och särskilt förhållandet mellan de registrerade och den person- uppgiftsansvarige, personuppgifternas art – om det rör sig om känsliga personuppgifter eller uppgifter om lagöverträdelser, eventuella kon- sekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder.

Om det rör sig om känsliga personuppgifter, uppgifter om lag- överträdelser eller en så stor omfattning av personuppgifter att de tillsammans medför en kartläggning av de registrerade och ett bety- dande intrång i deras personliga integritet, kan behandlingen av per- sonuppgifterna dessutom behöva prövas av Etikprövningsmyndig- heten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor innan person- uppgifterna kan användas för nya ändamål i ett annat projekt, om det inte finns ett samtycke som omfattar det nya ändamålet.

231

Skyddsåtgärder

SOU 2018:52

Det kan också finnas behov av att justera tidigare beslutade ända- mål i ett befintligt projekt. För att personuppgifter som redan samlats in för ett visst ändamål ska få behandlas för ett nytt ändamål, krävs att behandlingen inte är oförenlig med det ursprungliga ända- målet. Även när ändamålet ändras i ett och samma projekt är alltså finalitetsprincipen tillämplig. Om justeringen av ändamålet är väsent- lig, kan det dessutom krävas en ny prövning av Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor.

Vid behandling av personuppgifter för ett nytt ändamål, ska behandlingen – på samma sätt som vad som föreslås gälla i fråga om den ursprungliga ändamålsbestämningen och av samma skäl – före- gås av ett formaliserat beslut. För att personuppgifter som har samlats in för ett särskilt beslutat ändamål i ett projekt ska få behandlas i ett annat projekt eller för andra ändamål i övrigt, bör således krävas att myndighetschefen har beslutat om det. Om personuppgifterna ska behandlas i ett nytt projekt, måste myndighetschefen förstås också fatta ett sådant beslut om ändamål m.m. som tidigare nämnts för det nya projektet.

Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare be- handling för bl.a. statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte anses vara oförenlig med de ursprung- liga ändamålen. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nöd- vändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personupp- gifter, utan av aggregerade personuppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Som utredningen konstaterar i av- snitt 7.2.5 och 17.3 kan stora delar av den analysverksamhet som Myndigheten för vård och omsorgsanalys ägnar sig åt anses mot- svara statistisk verksamhet. Ytterligare behandling av personupp- gifter i sådan verksamhet hos Myndigheten för vård- och omsorgs- analys ska således som huvudregel anses vara förenlig med de ändamål som personuppgifterna ursprungligen behandlades för. Det kan argumenteras för att det inte skulle krävas ett särskilt beslut av myndighetschefen i sådana fall. Utredningen bedömer dock att det är lämpligt med enhetliga regler och att det därför ska krävas ett

232

SOU 2018:52

Skyddsåtgärder

beslut av myndighetschefen för att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, även om den ytterligare behandlingen ska ske för statistiska ändamål.

14.3Personuppgifter som får behandlas

Utredningens förslag: För varje projekt i uppföljnings- och analysverksamheten ska myndighetschefen besluta om vilka kate- gorier av personuppgifter som får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte be- handlas. Beslutet ska offentliggöras på lämpligt sätt.

Personuppgifter ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Denna princip om uppgiftsminimer- ing begränsar den tillåtna behandlingen av personuppgifter till att avse endast de personuppgifter som behövs för att uppnå ändamålet med behandlingen. Det är den personuppgiftsansvarige som ska se till att behandlingen av personuppgifter inte omfattar fler person- uppgifter än nödvändigt.

Myndigheten för vård- och omsorgsanalys fastställer inför varje projekt ett projektdirektiv och en projektplan med en detaljerad beskrivning av bl.a. syfte, mål, frågeställningar, omfattning, avgräns- ningar, bakgrund, intressenter, samverkan och beroenden till andra projekt, metod och beskrivning av datainsamling, aktivitets- och tids- plan, juridiska och etiska aspekter samt riskanalys (se avsnitt 4.2.2). Redan tidigt i arbetet bör därför myndigheten kunna fastställa inte bara ändamålet för behandlingen av personuppgifter utan även vilka kategorier av personuppgifter om vilka kategorier av personer som är relevanta och adekvata att behandla. För att Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning alterna- tivt ett annat särskilt organ för prövning av etiska frågor ska kunna göra en prövning av projektet behöver myndigheten dessutom på ett tidigt stadium tydliggöra vilka personuppgifter som myndigheten ser behov av att kunna behandla.

233

Skyddsåtgärder

SOU 2018:52

Utredningen har i avsnitt 14.2 föreslagit att Myndigheten för vård- och omsorgsanalys ska fatta ett formaliserat beslut om särskil- da ändamål för behandlingen av personuppgifter i varje projekt i uppföljnings- och analysverksamheten. I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslår utredningen att myndigheten, utöver att fastställa ett ändamål för behandlingen av personuppgifter, även ska besluta om vilka personuppgifter som ska behandlas om vilka personer inom ramen för projektet. Det behöver inte framgå exakt vilka personuppgifter eller personer det rör sig om utan det räcker med en angivelse på kategorinivå, t.ex. uppgifter om födelseår, kön och utbildningsnivå rörande personer med en viss diagnos, bosatta inom ett visst län. Beslutet bör, i likhet med beslutet om ändamål, fattas av myndighetschefen. Lämpligen fattas ett enda beslut om ändamål och kategorier för varje projekt.

På samma sätt som föreslås gälla i fråga om beslutet om ändamål, bör beslutet om vilka kategorier av personuppgifter som behöver behandlas om vilka kategorier av personer offentliggöras, exempel- vis genom att beslutets innehåll publiceras på myndighetens webb- sida. Genom beslutet blir behandlingen av personuppgifter tydlig, begränsad och förutsebar och genom offentliggörandet skapas trans- parens.

14.4Behandling som den registrerade invänder mot

Utredningens bedömning: Det finns inget behov av en särskild bestämmelse som anger vad som ska gälla om den registrerade invänder mot behandling av personuppgifter.

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av person- uppgifter avseende honom eller henne som grundar sig på arti- kel 6.1 e (allmänt intresse respektive myndighetsutövning) eller f (intresseavvägning) i dataskyddsförordningen. Den personuppgifts- ansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter

234

SOU 2018:52

Skyddsåtgärder

eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Myndigheten för vård- och omsorgsanalys behandlar som regel personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen (se avsnitt 7.1.3). Den registrerade har alltså enligt den direkt tillämp- liga dataskyddsförordningen rätt att invända mot sådan behandling.

Flera författningar som styr behandlingen av personuppgifter vid myndigheter som utför analyser och utvärderingar, innehåller bestäm- melser om att den enskilde inte ska kunna motsätta sig behandling av personuppgifter. Exempel på sådana bestämmelser är 2 a § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknads- politiska verksamheten, 2 a § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och 3 § första stycket lagen (2012:741) om behandling av personupp- gifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Av bestämmelserna framgår att artikel 21.1 i dataskydds- förordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har med- delats i anslutning till lagen. Det gäller dock inte när personupp- gifterna samlas in direkt från den enskilde. Undantagsbestämmelserna motiveras huvudsakligen med att en rätt att göra invändningar skulle innebära försämrade förutsättningar för myndigheterna, i det här fallet Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäk- ringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, att fullgöra sina uppgifter eftersom myndigheterna i enskilda fall skulle behöva påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättig- heter och friheter innan myndigheterna kan fortsätta behandla personuppgifterna (artikel 21.1 i dataskyddsförordningen).16 I fråga om de aktuella myndigheterna får det antas att intresset att främja en väl fungerande arbetsmarknad vid en prövning i det enskilda fallet regelmässigt kommer att anses väga tyngre än den registrerades intressen. Det kan dessutom, när det gäller Arbetsförmedlingens verksamhet, vara svårt från den enskildes perspektiv att överblicka konsekvenserna av att denne invänder mot behandlingen. Det kan t.ex. vara så att en arbetsmarknadspolitisk insats som den enskilde behöver inte kan ges, eftersom Arbetsförmedlingen inte kan be- handla nödvändiga personuppgifter efter att den enskilde har invänt.

16Prop. 2017/18:112 s. 51 f.

235

Skyddsåtgärder

SOU 2018:52

En rätt för den registrerade att invända mot behandlingen av per- sonuppgifter om honom eller henne kan alltså påverka effektiviteten i myndigheternas verksamhet negativt samtidigt som den kan få oförutsedda och oönskade effekter för den enskilde.

I ett remitterat utkast till lagrådsremiss om behandling av person- uppgifter på forskningsområdet är bedömningen att rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen inte kan anses göra det omöjligt eller mycket svårare att uppfylla forsknings- ändamål, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Rätten att invända mot behandling är en viktig rättighet för den registrerade och bör därför finnas i de få fall den möjliggörs vid behandling av personuppgifter för forskningsända- mål. Något undantag från rätten att invända mot behandling av per- sonuppgifter för forskningsändamål ska, enligt utkastet, inte införas i svensk rätt.17

En viktig del i rätten att göra invändningar är att den personupp- giftsansvarige ska informera den registrerade om att behandlingen äger rum. Utan vetskap om behandlingen av personuppgifter kan den registrerade inte tillvarata sin rätt att invända mot behandlingen. Av artikel 21.4 i dataskyddsförordningen framgår att rätten att invän- da mot behandling ska meddelas senast vid den första kommunikatio- nen med den registrerade. I artiklarna 12–15 i dataskyddsförordningen anges på vilka sätt den enskilde ska informeras om sina rättigheter i samband med att personuppgifter behandlas. Därav framgår också att det finns vissa möjligheter till undantag från skyldigheten att informera. Den personuppgiftsansvarige behöver t.ex. inte, när upp- gifterna erhållits från annan än den registrerade, informera den registrerade om det skulle visa sig vara omöjligt eller skulle medföra en oproportionerlig ansträngning (artikel 14.5 b i dataskyddsförord- ningen).

En del av de personuppgifter som Myndigheten för vård- och omsorgsanalys inhämtar är i sådan form att de inte är direkt hän- förliga till enskilda. För att kunna informera en registrerad om att dennes personuppgifter behandlas hos myndigheten, skulle det i dessa fall vara nödvändigt att försöka härleda personuppgifterna till en enskild person. Myndigheten inhämtar också stora uppgifts- mängder rörande många personer. Det skulle sannolikt i båda fallen medföra en oproportionerlig ansträngning att informera samtliga

17Utkast till lagrådsremiss dnr U2018/01639/F s. 113.

236

SOU 2018:52

Skyddsåtgärder

registrerade, vilket i sin tur innebär att undantaget från kravet på information i artikel 14.5 b i dataskyddsförordningen är tillämpligt.

Enligt utredningens förslag i avsnitt 14.2.5 och 14.3 ska beslut om ändamål för behandling av personuppgifter och begränsningar av vilka kategorier av personuppgifter om vilka kategorier av personer som får behandlas i ett visst projekt offentliggöras. Detta kan exem- pelvis ske genom publicering på myndighetens webbsida. På så sätt görs ändå viss, om än inte fullständig, information om behandlingen tillgänglig för allmänheten och därmed även de registrerade.

Myndigheten för vård- och omsorgsanalys lämnar följaktligen ofta ingen fullständig information om behandlingen av personupp- gifter till de registrerade, förutom när behandlingen sker med stöd av samtycke. Utredningen bedömer att det i sig inte utgör ett skäl för att föreslå en bestämmelse som inskränker den registrerades rätt enligt dataskyddsförordningen att invända mot behandling av per- sonuppgifter. Myndigheten har inte heller gjort anspråk på att kunna behandla personuppgifter även när den enskilde invänder mot behandlingen. Om en registrerad kontaktar myndigheten och invän- der mot behandling av hans eller hennes personuppgifter, bör myn- digheten därför så långt det är möjligt avbryta den behandling av personuppgifter som invändningen avser, såvida inte tvingande berät- tigade skäl som väger tyngre än den registrerades intressen kan på- visas.

Enligt artikel 11.1 i dataskyddsförordningen ska den personupp- giftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen, om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personupp- giftsansvarige. Om den omständigheten att uppgifterna är pseudo- nymiserade när de inkommer till myndigheten förhindrar en kon- troll av om personuppgifter rörande en viss person behandlas av myndigheten, är myndigheten således inte skyldig att inhämta ytter- ligare personuppgifter enbart för att uppfylla rätten att göra invänd- ningar. Med hänsyn till att rätten att göra invändningar inte förutsätter nationell reglering och att det med stöd av artikel 11 i dataskydds- förordningen finns möjlighet att avstå från att härleda pseudo- nymiserade personuppgifter till en enskild, bedömer utredningen att det inte behövs en särskild bestämmelse som anger vad som ska gälla

237

Skyddsåtgärder

SOU 2018:52

om den registrerade invänder mot behandling av personuppgifter. Om en registrerad invänder mot behandling av personuppgifter, ska i stället den direkt tillämpliga dataskyddsförordningen tillämpas.

14.5Pseudonymisering

Utredningens förslag: Personuppgifter som behandlas i ett pro- jekt ska pseudonymiseras. Myndighetschefen får för ett särskilt fall besluta om undantag från kravet på pseudonymisering, i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifier- bara och förbud mot att i andra fall sammanföra sådana per- sonuppgifter med personuppgifter som är direkt hänförliga till individer.

Pseudonymisering nämns särskilt i artikel 25 och 32 i dataskydds- förordningen som ett exempel på en lämplig teknisk och organisa- torisk åtgärd som den personuppgiftsansvarige ska vidta för att uppfylla kraven i dataskyddsförordningen, skydda den registrerades rättigheter och säkerställa en säkerhetsnivå som är lämplig i förhål- lande till risken. Med pseudonymisering avses enligt definitionen i artikel 4 punkt 5 i dataskyddsförordningen behandling av person- uppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande upp- gifter används. Detta gäller under förutsättning att dessa komplet- terande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Pseudonymiserade uppgifter är alltså uppgifter som inte direkt kan hänföras till en person. Ofta räcker det att ta bort uppgifter om namn och personnummer, men om olika variabler, t.ex. uppgifter om kön, bostadsort och diagnos, kan möjliggöra s.k. bakvägsidenti- fiering, kan det även krävas att några av dessa variabler tas bort.

Efter pseudonymisering rör det sig fortfarande om person- uppgifter eftersom man behåller möjligheten att återidentifiera indi- viderna med hjälp av kompletterande uppgifter som förvaras separat.

238

SOU 2018:52

Skyddsåtgärder

De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis är kopplade till löpnummer, och direkta personuppgifter.

Pseudonymisering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, eftersom åtgärden innebär att den personuppgiftsansvarige inte behandlar fler direkt identi- fierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på pseudonymisering är också i överens- stämmelse med villkoren i principen om integritet och konfiden- tialitet i artikel 5.1 f i dataskyddsförordningen som anger att person- uppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisa- toriska åtgärder.

Myndigheten har i sin uppföljnings- och analysverksamhet behov av att behandla ett stort antal känsliga personuppgifter. Det rör sig om personuppgifter från vården, kvalitetsregister och Socialstyrel- sens hälsodataregister i form av bl.a. uppgifter om diagnos, hälso- status och livslängd. Det handlar även om personuppgifter från socialtjänsten. Därutöver behöver myndigheten behandla bl.a. socio- ekonomiska uppgifter, t.ex. uppgifter om utbildning, ekonomi, bi- drag, sysselsättning och sysselsättningsgrad, demografiska uppgifter, t.ex. ålder, kön, bostadsuppgifter, civilstånd och familj, och social- försäkringsuppgifter, t.ex. uppgifter om sjukskrivning och innehav av privat sjukförsäkring. Beroende på behandlingens omfattning och personuppgifternas karaktär, kan det i vissa fall röra sig om kart- läggning av individer. I syfte att minska det intrång i den personliga integriteten som behandlingen av personuppgifter medför, pseudo- nymiserar myndigheten redan i dag personuppgifter som behandlas i uppföljnings- och analysverksamheten. Den krypterade kodnyckeln förvaras inlåst och endast ett fåtal anställda har tillgång till den.

Utredningen anser att tillvägagångssättet med pseudonymisering bör införas som ett krav och att samtliga personuppgifter som huvudregel ska pseudonymiseras i anslutning till att de kommer in till myndigheten. Om ändamålet med behandlingen av personupp- gifter i något fall inte kan uppnås med pseudonymiserade uppgifter, bör dock myndighetschefen ha möjlighet att i ett enskilt fall besluta om att personuppgifter inte ska pseudonymiseras. Ett exempel kan vara att personuppgifterna behövs för att kontakta de registrerade t.ex. för att sända dem ett frågeformulär. I sådana fall kan ett beslut

239

Skyddsåtgärder

SOU 2018:52

om att de personuppgifter som behövs för kommunikationen inte ska pseudonymiseras lämpligen fattas i samband med att beslut om ändamålen m.m. fattas (se avsnitt 14.2.5).

Pseudonymiserade uppgifter bör, för att upprätthålla säkerheten, även fortsättningsvis behandlas i pseudonymiserad form. Utred- ningen anser därför att personuppgifterna ska göras identifierbara igen endast om det finns starka skäl för detta. Sådana skäl kan t.ex. vara att det av omständigheter hänförliga till arbetsmetodik, t.ex. behov av samkörning, finns tydliga behov av att hänföra uppgifterna till individer. Detta kan då eventuellt ske under begränsade och säkerställda former. För att tydliggöra hanteringen i de situationer då det är motiverat att frångå pseudonymiseringen bör myndighets- chefen besluta om riktlinjer och villkor för när och hur pseudonymi- serade personuppgifter får göras identifierbara. Riktlinjerna och vill- koren måste förstås vara förenliga med gällande rätt. Av riktlinjerna och villkoren bör även framgå på vilket sätt myndigheten säkerställer pseudonymiseringen, t.ex. genom att en kodnyckel förvaras separat från övriga personuppgifter och med en begränsad åtkomst.

De pseudonymiserade uppgifterna bör inte i andra fall än de som noggrant övervägts och beslutats om av myndighetschefen få sam- manföras med direkta personuppgifter. Utredningen föreslår därför att myndighetschefen ska införa ett förbud mot att, i andra fall än de som uttryckligen framgår av de av myndighetschefen beslutade rikt- linjerna och villkoren, sammanföra pseudonymiserade personupp- gifter med personuppgifter som är direkt hänförliga till individer.

14.6Behörighetsstyrning

Utredningens förslag: Behörighet för åtkomst till personuppgif- ter ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. Myndig- hetschefen ska bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter. Åtkomsten till personuppgifter ska registreras och det ska finnas en funktion vid myndigheten som regelbundet kontrollerar registreringarna i syfte att upptäcka och åtgärda obehörig åtkomst.

240

SOU 2018:52

Skyddsåtgärder

En grundläggande princip inom dataskydd är att personuppgifter ska behandlas endast av den som har berättigade skäl att göra det. Den som är anställd vid Myndigheten för vård- och omsorgsanalys får således inte medges obegränsad tillgång till alla personuppgifter som behandlas i samtliga projekt inom uppföljnings- och analysverksam- heten. Behörigheten att ta del av personuppgifter ska alltid vara begränsad till den åtkomst till personuppgifter som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. I vilken omfattning en enskild tjänsteman behöver ha tillgång till personuppgifter för att kunna fullgöra sina arbetsuppgifter och vilka enskilda personuppgifter som han eller hon ska få tillgång till får avgöras från fall till fall. Det krävs således att myndigheten aktivt tar ställning till vilket behov ett visst tjänsteåliggande eller uppdrag innebär och att tjänstemannen tilldelas behörigheter till olika upp- giftssamlingar utifrån detta. Det kan finnas skäl att förändra be- hörigheterna över tid, beroende på hur arbetet vid myndigheten är organiserat och beroende på vilka projekt som bedrivs.

För att det ska bli tydligt vad som gäller i fråga om behörighets- tilldelning bör myndighetschefen bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter.

De enskilda besluten om tilldelning av behörighet behöver inte fattas av myndighetschefen. Besluten bör dokumenteras på ett sådant sätt att det tydligt framgår vilken behörighet som tilldelats en viss tjänsteman, att den anställde faktiskt tagit del av och förstått innebörden av beslutet om tilldelning av behörighet och informatio- nen om att åtkomsten loggas samt att loggarna kontrolleras regel- bundet. Ett skäl till detta är att överträdelser av behörighetsbegräns- ningar aktualiserar straffansvar. Enligt 4 kap. 9 c § brottsbalken döms den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar använd- ningen av en sådan uppgift. Från och med den 1 juli 2014 har dess- utom införts en särskild straffskala och rubricering för grovt data- intrång. Bestämmelsen om dataintrång förutsätter inte att intrånget sker i ett visst syfte, t.ex. för att hämta information eller för att åstadkomma skada eller någon annan följd. Det är själva intrånget i

241

Skyddsåtgärder

SOU 2018:52

sig som föranleder straff. Det krävs inte heller att någon säker- hetsåtgärd har överträtts för att det ska finnas straffansvar.18

Beslutet om tilldelning av behörighet bör kompletteras med tekniska begränsningar som förhindrar att tjänstemannen elektro- niskt kommer åt personuppgifter som han eller hon inte har behov av i sitt arbete och följaktligen inte ska ha åtkomst till. Den tekniska lösning som väljs ska garantera att tillräcklig säkerhet uppnås utifrån de krav som artikel 32 i dataskyddsförordningen ställer.

För att kunna upptäcka och åtgärda obehörig åtkomst som inte förhindrats av tekniska begränsningar ska åtkomsten till personupp- gifter registreras, lämpligen i en logg. Det ska också finnas en funk- tion vid myndigheten som regelbundet kontrollerar om någon obe- hörig åtkomst till personuppgifterna har förekommit. Det räcker alltså inte att loggarna kontrolleras bara när myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har före- kommit utan kontroller ska ske systematiskt och återkommande. Det är i första hand upp till myndigheten att bedöma hur funktionen ska arbeta och hur kontrollerna ska genomföras. Att loggning sker och att loggarna kontrolleras regelbundet av myndigheten innebär inte bara att obehörig åtkomst kan upptäckas och åtgärdas i efter- hand utan lär också ha en avhållande effekt.

18Berggren m.fl., Brottsbalken – En kommentar (1 juli 2017, Zeteo), kommentaren till 4 kap.

9c § under rubriken Intrånget.

242

Gallring och bevarande

SOU 2018:52

inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.

Om personuppgifter behandlas för arkivändamål av allmänt in- tresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det enligt artikel 89.2 och 3 i dataskyddsförordningen föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till tillgång, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den person- uppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett.

Av 3 § arkivlagen (1990:782) framgår att en myndighets arkiv, som bl.a. består av de allmänna handlingarna från myndighetens verksamhet, ska bevaras. I förarbetena till dataskyddslagen konsta- teras att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse är tillåten enligt artikel 5.1 b i dataskyddsförord- ningen. Behandlingen anses inte som oförenlig med de ursprungliga ändamålen och det krävs inte någon annan separat rättslig grund än den som personuppgifterna samlades in för.1 För att känsliga person- uppgifter ska få behandlas för arkivändamål finns det i dataskydds- lagen en undantagsbestämmelse som grundar sig på artikel 9.2 j i dataskyddsförordningen. Enligt 3 kap. 6 § dataskyddslagen ska känsliga personuppgifter få behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.2 Det finns därmed stöd i dataskyddsförordningen och dataskyddslagen för en myndighets arkivering och bevarande av allmänna handlingar.

Det finns undantag från huvudregeln i 3 § arkivlagen om att en myndighets arkiv ska bevaras. Enligt 10 § arkivlagen får allmänna handlingar gallras under förutsättning att det beaktas att arkiven ut- gör en del av kulturarvet och kvarvarande arkivmaterial är tillräckligt

1Prop. 2017/18:105 s. 109 f.

2Prop. 2017/18:105 s. 115 f.

244

SOU 2018:52

Gallring och bevarande

för att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. I lag eller i förordning kan det finnas avvikande bestämmelser om gallring av vissa allmänna handlingar. Möjligheten att gallra har begränsats för statliga myndigheter genom 14 § arkivförordningen (1991:446), varav framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riks- arkivet, om inte särskilda gallringsföreskrifter finns i lag eller förord- ning.

15.2Överväganden

Utredningens förslag: Personuppgifter som behandlats i ett pro- jekt ska gallras senast sex månader efter att projektet är slutfört, om inte regeringen eller den myndighet som regeringen bestäm- mer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Riksarkivet ska vara den myndighet som ska få besluta om gallring och bevarande.

Om utredningen föreslår en bestämmelse om gallring, blir det en sådan gallringsföreskrift i lag som avses i 10 § arkivlagen och 14 § arkivförordningen och som tillåter, och föreskriver, gallring utan föreskrift eller beslut av Riksarkivet.

Regler om gallring motiveras i första hand av integritetsskäl.3 Behandling av personuppgifter ska begränsas genom att personupp- gifterna inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Denna princip om lagringsminimering får ställas mot behovet av arkivering och offent- lighet och insyn i myndigheternas verksamhet. Myndigheten för vård- och omsorgsanalys kan behandla stora mängder personupp- gifter, däribland känsliga personuppgifter. Detta talar för att myn- digheten av integritetsskäl bör åläggas en skyldighet att gallra per- sonuppgifter som inte längre behövs i myndighetens verksamhet.

3Prop. 1989/90:72 s. 50.

245

Gallring och bevarande

SOU 2018:52

Eftersom merparten av de uppgifter som Myndigheten för vård- och omsorgsanalys ges möjlighet att behandla med stöd av den av ut- redningen föreslagna lagen kommer att hämtas in från andra myn- digheter, får vidare intresset av att uppgifterna bevaras anses till- godosett genom att de myndigheter uppgifterna kommer ifrån i stor utsträckning ska bevara uppgifterna i enlighet med arkivlagen. Utredningen föreslår därför att myndigheten som huvudregel ska gallra personuppgifter.

Behovet av att spara personuppgifter som Myndigheten för vård- och omsorgsanalys behandlar i olika projekt kommer naturligtvis att variera. Ibland kan personuppgifter sannolikt gallras löpande medan det i vissa särskilda fall kan finnas behov av att spara underlaget en längre tid. I de allra flesta fall torde dock personuppgifterna kunna gallras senast när det projekt, i vilket personuppgifterna behandlas, avslutas. För att ge myndigheten utrymme att bedöma behovet av och möjligheterna att återanvända personuppgifterna, föreslår utred- ningen att personuppgifter som behandlats i ett projekt ska gallras senast sex månader efter att projektet är slutfört. Projektet får anses slutfört när en slutrapport offentliggjorts eller myndigheten av annan anledning fattat beslut om att projektet ska avslutas.

Avidentifierade uppgifter, dvs. uppgifter som inte längre kan hän- föras till en viss person, är inte personuppgifter och behöver inte gallras. Myndigheten har alltså möjlighet att spara avidentifierade uppgifter i syfte att senare göra jämförelser med nya uppgifter.

För att personuppgifter ska kunna återanvändas i nya projekt som avser uppföljningar och jämförelser över tid, bör det finnas möjlighet att meddela föreskrifter om undantag från huvudregeln om gallring. Utredningen föreslår därför att regeringen eller den myndighet som regeringen bestämmer ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att gallring ska ske senast vid en viss tidpunkt.

Regeringen eller den myndighet regeringen bestämmer ska dess- utom ha möjlighet att besluta att personuppgifter som ingår i ett projekt som är slutfört – och som myndigheten därför är skyldig att gallra – ska kunna bevaras för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål. Det kan t.ex. bli aktuellt om uppgifterna inte finns bevarade hos andra myndigheter.

Det föreslås att Riksarkivet ska vara den myndighet som ska få besluta om gallring och bevarande.

246

Begränsning av skyddet mot betydande intrång...

SOU 2018:52

sådana personuppgifter som inte är känsliga eller uppgifter om lag- överträdelser sker i så stor omfattning att de tillsammans medför en sådan kartläggning av de registrerade och ett sådant betydande in- trång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

Utredningens förslag till lag gör behandling av känsliga person- uppgifter om hälsa och etniskt ursprung tillåten, utan stöd av sam- tycke, under förutsättning att den prövats och godkänts av en extern forskningsetisk prövningsinstans. Samma sak gäller uppgifter om lagöverträdelser. Utredningen föreslår dock undantag från kravet på etikprövning för behandling av känsliga personuppgifter och lag- överträdelser i vissa fall, avsnitt 11.4.2 och 12.2.2. Andra personupp- gifter tillåts behandlas utan samtycke om de ingår i ett etikgodkänt projekt. Även sådan behandling av andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser, som inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen, tillåts utan samtycke om projektet har prövats och godkänts av den externa instansen. Med hänsyn till att den behandling som tillåts genom lagen många gånger omfattar stora mängder personuppgifter, varav en del är känsliga och avser uppgifter om hälsa, får behand- lingen till stor del anses innebära en kartläggning av den enskildes personliga förhållanden och ett betydande intrång i den personliga integriteten.

Utredningen föreslår alltså att en förutsättning för att behandling av personuppgifter ska vara tillåten enligt lagen är att den är prövad och godkänd av en extern forskningsetisk prövningsinstans. Tillväga- gångssättet med etikprövning, som beskrivs närmare i avsnitt 10.4.1, styrs genom klara och tydliga regler i etikprövningslagen. Syftet med lagen är att skydda den enskilda människan och respekten för män- niskovärdet vid forskning. Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikpröv- ningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Etikprövningsmyndighetens verksamhet är reglerad i lag

248

SOU 2018:52

Begränsning av skyddet mot betydande intrång...

och deras sammansättning och ledamöternas kompetens regleras också i lag.

Systemet med etikprövning av forskning är väl beprövat och inklu- derar, förutom en prövning av själva forskningsprojektet, en prövning av behandlingen av personuppgifter enligt gällande dataskyddslag- stiftning. Granskningen ska säkerställa att personuppgifter behand- las bara i de undantagsfall där ett visst intrång i den personliga integriteten verkligen är befogat. Prövningsorganet har också möj- lighet att ställa upp särskilda villkor för behandlingen av person- uppgifter.

Systemet tillämpas redan för forskningsprojekt som innefattar behandling av bl.a. patientuppgifter och uppgifter från kvalitets- register, dvs. samma uppgifter som Myndigheten för vård- och om- sorgsanalys avser att behandla. Hittills har myndigheten inte be- handlat känsliga personuppgifter utan samtycke, utan i stället gett externa forskare i uppdrag att göra detta. Forskarna har då ansökt om etikprövning. Ett förfarande som möjliggör behandling av käns- liga personuppgifter genom att myndigheten åläggs att ansöka om etikprövning skulle således inte öka den totala omfattningen av behandling av känsliga personuppgifter i någon större utsträckning. Genom att ställa krav på att myndigheten låter samtliga projekt som inkluderar behandling av känsliga personuppgifter utan samtycke genomgå en prövning av etikprövningsnämnd, motsvarande den som alla forskningsprojekt med sådana personuppgifter måste genomgå, uppfylls kravet på skyddsåtgärd enligt artikel 9.2 j i dataskydds- förordningen (se avsnitt 11.2.2). Utredningens förslag om etikpröv- ning utgör även ett skydd vid behandling av uppgifter om lagöver- trädelser och vid sådan behandling av andra personuppgifter som omfattas av det föreslagna kravet på etikprövning. Utöver etikpröv- ningen och de eventuella villkor prövningsorganet ställer upp, gäller även de skyddsåtgärder som utredningen föreslår i övrigt. Det inne- bär att samtliga personuppgifter som huvudregel ska pseudonymiseras senast när de kommer in till Myndigheten för vård- och omsorgs- analys och att de omfattas av föreslagna behörighetsbegränsningar. Även kravet på en formaliserad ändamålsbestämning ska beaktas.

Mot bakgrund av etikprövningssystemets beprövade funktion, tillför kravet på etikprövning en skyddsåtgärd som bör garantera såväl verksamhetens integritet som skyddet av personuppgifterna.

249

Begränsning av skyddet mot betydande intrång...

SOU 2018:52

Eftersom det gäller stark sekretess för de behandlade personupp- gifterna (se avsnitt 6.5) och utredningen dessutom föreslår ytterligare skyddsåtgärder, kan intrånget i den personliga integriteten begränsas på ett sådant sätt att det får anses proportionerligt i förhållande till det samhälleliga intresset av att Myndigheten för vård- och omsorgs- analys kan bedriva sin verksamhet på ett ändamålsenligt sätt.

Etikprövningslagen och 19 § första stycket personuppgiftslagen, som tidigare tillät behandling av känsliga personuppgifter om be- handlingen godkänts enligt etikprövningslagen, infördes innan skyddet enligt 2 kap. 6 § andra stycket regeringsformen började gälla 2011. Utredningen anser ändå att en bestämmelse som tillåter behandling av personuppgifter efter godkännande enligt etikprövningslagen uppfyller det som krävs enligt 2 kap. 20 och 21 §§ regeringsformen. Genom vad som föreskrivits i etikprövningslagen om förutsättning- arna för godkännande och om Etikprövningsmyndighetens verk- samhet och ledamöter garanteras att begränsningen av skyddet inte går utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningen eller utgör ett hot mot den fria åsikts- bildningen.

Utredningen gör motsvarande bedömning i fråga om alternativet att en annan extern instans än Etikprövningsmyndigheten gör pröv- ningen. Enligt detta alternativ finns bestämmelserna om prövnings- instansens sammansättning och den prövning som ska göras i den föreslagna lagen (se avsnitt 10.3.3. och 10.4.2). Detta motsvarar vad som gällde enligt den ursprungliga lydelsen av 19 § första stycket personuppgiftslagen och vad som gäller enligt 3 kap. 7 § dataskydds- lagen.

250

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

SOU 2018:52

17.2Utlämnande av personuppgifter kan inte ske med stöd av undantaget för uppgifter som behövs för forskningsändamål

Utredningens bedömning: Socialstyrelsen och Statistiska central- byrån kan i dag inte lämna ut uppgifter som avser enskilds person- liga och ekonomiska förhållanden till Myndigheten för vård- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för forskningsändamål.

Som konstateras i avsnitt 6.4.8 anges det inte närmare i offentlighets- och sekretesslagen eller förarbetena till lagen vad som avses med forskningsändamål. Undantagsbestämmelsen om utlämnande av upp- gifter för forskningsändamål motiveras i förarbetena med att det finns behov av att genombryta sekretessen i vissa särskilda fall, så- som för forskning om yrkessjukdomar.1 Av praxis på området kan slutsatsen dras att det inte ska vara fråga om ärendehandläggning, samt att skillnaden mellan forskning å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan bör upprätthållas.2

Viss vägledning bör kunna hämtas från Centrala etikprövnings- nämndens praxis vid bedömningen av om ett projekt ska anses inne- fatta forskning, och om det därmed faller inom etikprövningslagens tillämpningsområde.3 Enligt nämnden torde det stå klart att forsk- ning förutsätter att det finns ett vetenskapligt syfte, dvs. en inom- vetenskapligt relevant frågeställning som man avser att belysa på ett systematiskt sätt eller med vetenskapliga metoder. I vissa fall krävs dessutom en avsikt att göra resultaten tillgängliga. I de fall ett pro- jekt är avsett att läggas till grund för en disputation eller annars ingå som en del i en doktorsavhandling eller utföras av eller under handledning av kvalificerade forskare finns det en presumtion för att projektet är att betrakta som forskning. När det gäller kravet på vetenskapligt angreppssätt har nämnden i flera fall, trots att kvali- ficerade forskare har varit inblandade, framhållit att det projekt som prövas inte innehåller några studier som avviker från klinisk rutin

1Prop. 1979/80:2 del A s. 264.

2RÅ 1992 not 456 och RÅ 2004 ref. 9.

3Centrala etikprövningsnämndens praxis när det gäller forskningsbegreppet, 2007-10-08, revi- derad 2008-06-01, www.epn.se/media/1101/cepn_praxis_forskningsbegreppet.pdf.

252

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

och således inte innefattar några vetenskapliga moment. När det gäl- ler gränsdragningen mellan forskning å ena sidan och kvalitetssäk- ring och resultatuppföljning har nämnden, med utgångspunkt i för- arbetsuttalanden, framför allt beaktat om resultaten av ett projekt uppges vara avsedda att publiceras i en vetenskaplig tidskrift.4 Om avsikten är att sprida resultatet av undersökningen utanför hälso- och sjukvården i vetenskapliga publikationer, kan syftet inte sägas vara begränsat till myndighetsinternt utvärderingsarbete. Det har då bedömts som forskning, dvs. utvecklingsarbete på vetenskaplig grund, om det i övrigt uppfyller de krav som gäller för detta.

Som konstaterats i avsnitt 4.2.2 använder sig Myndigheten för vård- och omsorgsanalys i vissa fall av vetenskapliga metoder, och många av de som arbetar i myndighetens projekt har forskarkompe- tens. Myndigheten för vård- och omsorgsanalys har emellertid inte något uttryckligt forskningsuppdrag från regeringen och myndig- heten har därför inte uppfattat att den har möjlighet att bedriva forskning.

Med hänsyn till att inte ens Myndigheten för vård- och omsorgs- analys i dag anser sig utföra forskning gör utredningen bedömningen att Socialstyrelsen och Statistiska centralbyrån således inte till Myn- digheten för vård- och omsorgsanalys kan lämna ut uppgifter som avser enskilds personliga och ekonomiska förhållanden med stöd av undantaget för uppgifter som behövs för forskningsändamål.

17.3Utlämnande av personuppgifter kan ske med stöd av undantaget för uppgifter som behövs för statistikändamål

Utredningens bedömning: Socialstyrelsen och Statistiska central- byrån kan lämna ut uppgifter som avser enskilds personliga och ekonomiska förhållanden till Myndigheten för vård- och omsorgs- analys med stöd av undantaget för uppgifter som behövs för sta- tistikändamål.

4Prop. 2002/03:50 s. 91.

253

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

SOU 2018:52

I förarbetena till offentlighets- och sekretesslagen dras slutsatsen att med statistik avses i 24 kap. 8 § offentlighets- och sekretesslagen sammanställningar av data, vanligen i tabeller eller liknande, som ofta åstadkoms med de olika metoder för insamling, bearbetning, redo- visning och analys som utvecklats inom den statistiska vetenskapen.5 All statistikframställning omfattas, enligt propositionen, emellertid inte av bestämmelserna om statistiksekretess. Bestämmelsen är bara tillämplig i viss verksamhet som avser framställning av statistik. Det gäller dels särskild statistikverksamhet hos myndigheter, dels vissa undersökningar hos myndigheter. Med särskild verksamhet avses verksamhet som är skild från annan verksamhet hos myndigheten. Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande. Vid bedömningen av frågan om en särskild verksam- het är en verksamhet för framställning av statistik måste en helhets- bedömning göras av verksamheten (se vidare avsnitt 6.4.2 och 6.4.3).6

Myndigheten för vård- och omsorgsanalys är ingen statistik- ansvarig myndighet. Visst stöd i tolkningen av statistikbegreppet bör ändå kunna hämtas från förarbetena till lagen (2001:99) om den officiella statistiken, statistiklagen. Statistiklagens reglering avser sådan statistik som har ett vidare syfte än intern driftstatistik.7 Denna statistik bygger på uppgifter som antingen samlas in direkt från enskilda fysiska eller juridiska personer eller inhämtas från administrativa källor. Denna typ av statistik, den officiella stati- stiken, får inte påverkas av ovidkommande faktorer och den får inte heller utformas för att tjäna vissa syften. Statistiska metoder ska användas som garanterar att statistiken inte kan ifrågasättas ur så- dana synvinklar. Statistiken ska också offentliggöras på sådant sätt att den är enkelt åtkomlig för de behov som ska tillgodoses.

Den verksamhet som Myndigheten för vård- och omsorgsanalys bedriver motsvarar i stor utsträckning den som beskrivs i föregående stycke. Myndigheten använder sig av statistiska metoder för insam- ling, bearbetning, redovisning och analys. Uppgifterna hämtas direkt från enskilda eller hämtas från andra datakällor, t.ex. myndighets- register. Myndighetens verksamhet ska vara oberoende och resul- taten av myndighetens analyser ska inte utformas för att tjäna vissa syften, även om avsikten är att regeringen ska kunna använda dem

5Prop. 2013/14:162 s. 8.

6Prop. 1979/80:2 del A s. 265 och prop. 2013/14:162 s. 8.

7Prop. 1991/92:118 s. 12 f. och 22 f.

254

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

som beslutsunderlag. Vidare ska myndighetens resultat offentliggöras så att det är lätt åtkomligt för patienter, brukare och andra med- borgare.

Begreppet statistikändamål i offentlighets- och sekretesslagens betydelse diskuteras även i förarbetena till den senaste ändringen av 24 kap. 8 § offentlighets- och sekretesslagen.8 Det konstateras att det inte framgår av lagtexten eller förarbetena vad som avses med statistikändamål. Mot bakgrund av lagstiftningens syfte anses det dock i propositionen rimligt att tolka uttrycket statistikändamål så att det endast omfattar användning av uppgifterna för framställning av statistik utan anknytning till något särskilt ärende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt ärende, kan de således inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål.

Myndigheten för vård- och omsorgsanalys sysslar inte med myn- dighetsutövning och inte heller någon annan handläggning eller beslutsfattande som rör enskilda personer eller organ. Myndighetens uppgift är i stället att undersöka allmänna förhållanden och att analy- sera och följa upp viss verksamhet på ett generellt plan. Myndig- hetens verksamhet i ett visst projekt kan inte sägas utgöra sådan verksamhet som har anknytning till ett särskilt ärende i den mening som avses i förarbetena.

När det gäller utlämnande av personuppgifter för statistikända- mål kräver varken Socialstyrelsen eller Statistiska centralbyrån att den mottagande myndigheten ska vara en statistikansvarig myndig- het. Ett krav som båda myndigheterna ställer är emellertid att stati- stiksekretess ska gälla för uppgifterna även hos den mottagande myndigheten. Hos Myndigheten för vård- och omsorgsanalys gäller sekretess för uppgifter som avser en enskilds personliga eller ekono- miska förhållanden dels i undersökningar som rör vårdens och om- sorgens funktionssätt samt om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, dels utvärderingar av informa- tion om vård och omsorg som lämnas till enskilda samt av statliga reformer och andra statliga initiativ inom vård och omsorg (24 kap.

8§ andra stycket offentlighets- och sekretesslagen och 7 § offentlig- hets- och sekretessförordningen [2009:641] ). Enligt Myndigheten

8Prop. 2013/14:162 s. 11

255

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

SOU 2018:52

för vård- och omsorgsanalys motsvarar denna sekretessbestämmelse väl hela myndighetens analysverksamhet.

Socialstyrelsen och Statistiska centralbyrån har därutöver inga i förväg uppställda kriterier som ska vara uppfyllda för att undantaget för uppgifter som behövs för statistikändamål i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen ska bli tillämpligt. En bedöm- ning görs från fall till fall, med utgångspunkt i de uttalanden som finns i förarbetena till bestämmelsen (se avsnitt 6.4).

För att undersöka om det skulle vara möjligt för Socialstyrelsen och Statistiska centralbyrån att lämna ut personuppgifter till Myn- digheten för vård- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för statistikändamål gjorde den senare myn- digheten två fiktiva ansökningar om utlämnande av personuppgifter för användning i ett av myndighetens analysprojekt. Efter prövning av omständigheterna i de enskilda fallen kunde det konstateras att Socialstyrelsen och Statistiska centralbyrån kunde lämna ut de be- gärda uppgifterna till Myndigheten för vård- och omsorgsanalys.

Ide fall det fanns hinder mot utlämnande kunde de vanligtvis undan- röjas genom råd och rekommendationer från de utlämnande myndig- heterna, som gjorde att Myndigheten för vård- och omsorgsanalys kunde modifiera sin begäran.

Utredningens slutsats är att Socialstyrelsen och Statistiska central- byrån kan lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys med stöd av undantagsbestämmelsen för uppgifter som behövs för statistikändamål. Eventuella hinder mot utlämnande kan vanligtvis lösas genom en aktiv dialog mellan myndigheterna.

Möjligheten att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys med stöd av undantaget för statistikända- mål innebär också att bestämmelserna om kodnyckelförfarande i 16– 17 §§ statistiklagen blir tillämpliga. När en statistikansvarig myn- dighet, i det här fallet Socialstyrelsen eller Statistiska centralbyrån, lämnar ut uppgifter som inte är direkt hänförliga till en enskild, får myndigheten förse uppgifterna med en beteckning som kan kopplas till personnummer eller liknande. Denna s.k. kodnyckel får under vissa omständigheter sparas hos den utlämnande myndigheten för att göra det möjligt med senare komplettering av det statistiska mate- rialet, uppföljning och longitudinella studier.

256

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

17.4Utlämnande av personuppgifter kan ske med stöd av undantaget för uppgifter som inte är direkt hänförliga till den enskilde

Utredningens bedömning: Socialstyrelsen och Statistiska central- byrån kan lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys med stöd av undantaget för uppgifter som inte är direkt hänförliga till den enskilde.

Enligt 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförligt till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Undantaget är generellt tillämpligt, och gäller inte enbart vid utlämnande för forsk- ning- och statistikändamål. Begreppet enskild omfattar också avliden. Undantaget infördes med tanke på behovet av detaljerad statistik.9 Med ”därmed jämförbart förhållande” avses t.ex. telefonnummer och fastighetsbeteckning. Däremot avses i och för sig inte uppgifter som genom s.k. bakvägsidentifiering kan hänföras till en viss person.10

Personuppgifter definieras i dataskyddsförordningen som varje upplysning som avser en identifierad eller identifierbar fysisk per- son. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till namn, identi- fikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Även uppgifter som gör det möjligt att indi- rekt identifiera en fysisk person utgör således personuppgifter enligt dataskyddsförordningens definition. I dataskyddsförordningen före- kommer t.ex. begreppet pseudonymisering, som innebär behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. De kompletterande uppgifterna ska förvaras sepa- rat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller

9Prop. 1979/80:2 Del A s. 264.

10Prop. 1979/80:2 Del A s. 265.

257

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

SOU 2018:52

identifierbar fysisk person (artikel 4.5 i dataskyddsförordningen). I de fall en statistikansvarig myndighet med stöd av 16 § statistik- lagen lämnar ut uppgifter som inte direkt kan hänföras till en enskild, men förser uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande, utgör de utlämnade uppgifterna personuppgifter i dataskyddsförordningens bemärkelse.

Undantaget i 24 kap. 8 § tredje stycket offentlighets- och sekre- tesslagen gör det alltså möjligt för Socialstyrelsen och Statistiska centralbyrån att, trots statistiksekretess, lämna ut personuppgifter som inte är direkt hänförliga till en enskild person. Detta gäller även om myndigheterna lämnar ut så många variabler att det genom sam- manläggning av information, s.k. bakvägsidentifiering, är möjligt att identifiera en enskild person. En förutsättning för utlämnande av personuppgifter med stöd av undantagsbestämmelsen är dock att den utlämnande myndigheten vid en skadeprövning bedömer att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

När det gäller skadeprövningen i samband med utlämnande av per- sonuppgifter till Myndigheten för vård och omsorgsanalys kan det konstateras att absolut sekretess gäller hos myndigheten för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i undersökningar som rör vårdens och omsorgens funktionssätt samt om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg. Sådan sekretess gäller också vid utvärderingar av infor- mation om vård och omsorg som lämnas till enskilda samt av statliga reformer och andra statliga initiativ inom vård och omsorg. Sekre- tesskyddet hos Myndigheten för vård- och omsorgsanalys är således detsamma som i statistikverksamheten hos Socialstyrelsen och Statistiska centralbyrån. Som konstateras i avsnitt 6.6.3 borde Social- styrelsens och Statistiska centralbyråns skadeprövningar således vanligtvis kunna resultera i att personuppgifter kan lämnas till Myn- digheten för vård och omsorgsanalys med stöd av den aktuella undan- tagsbestämmelsen.

258

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrån...

17.5Det bör inte införas någon uppgiftsskyldighet för Socialstyrelsen och Statistiska centralbyrån

Utredningens bedömning: Det bör inte införas någon skyldig- het för Socialstyrelsen eller Statistiska centralbyrån att lämna personuppgifter till Myndigheten för vård- och omsorgsanalys.

Som konstaterats i det föregående har Socialstyrelsen och Statistiska centralbyrån möjlighet att lämna ut personuppgifter till Myndighe- ten för vård- och omsorgsanalys för statistikändamål med stöd av undantaget i 24 kap. 8 § tredje stycket offentlighets- och sekretess- lagen. Myndigheterna kan också, med stöd av samma bestämmelse, lämna ut personuppgift som inte är direkt hänförlig till en enskild person, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Myndigheten för vård- och omsorgsanalys gör bedömningen att de personuppgifter som Socialstyrelsen och Statistiska centralbyrån kan lämna ut på detta sätt tillgodoser behovet av personuppgifter från dessa myndigheter för behandling i myndighetens analysprojekt. I de fall utlämnande initialt inte kan ske, kan en lämplig lösning hittas genom dialog mel- lan utlämnande och mottagande myndighet. Det finns därför inte skäl att i lag eller förordning föreskriva en särskild skyldighet för Socialstyrelsen och Statistiska centralbyrån att lämna vissa uppgifter till Myndigheten för vård- och omsorgsanalys.

259

Konsekvenser

SOU 2018:52

19.2Uppdraget och de förslag som lämnas

Utredningen har haft i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys och vid behov föreslå en författningsreglering. I uppdraget har också ingått att analysera de rättsliga möjligheterna för Socialstyrelsen och Statistiska central- byrån att lämna ut personuppgifter till Myndigheten för vård- och omsorgsanalys för användning i myndighetens analysprojekt och vid behov lämna författningsförslag som möjliggör sådant uppgiftsläm- nande.

Utredningens förslag består i huvudsak av en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys och en kompletterande förordning. Utredningen föreslår också vissa följdändringar i etikprövningslagen. Utredningen föreslår inte någon skyldighet för Socialstyrelsen eller Statistiska centralbyrån att lämna personuppgifter till Myndigheten för vård- och omsorgsanalys. Utredningen bedömer att utlämnande av personuppgifter i stället kan ske med stöd av undantagsbestämmelserna i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen (2009:400).

De förslag som utredningen lägger fram innebär att Myndigheten för vård- och omsorgsanalys ges möjlighet att behandla personupp- gifter på ett för uppföljnings- och analysverksamheten ändamåls- enligt och effektivt sätt samtidigt som vissa restriktioner och skydds- åtgärder införs för att motverka intrång i den personliga integriteten. Genom förslagen får myndigheten bl.a. ett särskilt lagstöd för be- handling av känsliga personuppgifter utan att den registrerade har samtyckt till behandlingen. Förslagen underlättar också den pröv- ning som andra myndigheter kan behöva göra innan de lämnar ut personuppgifter till myndigheten. Myndigheten ges därmed goda förutsättningar att uppfylla sitt uppdrag enligt myndighetsinstruk- tionen. Särskild hänsyn har tagits till integritetsaspekterna av om- fattande automatiserad behandling av personuppgifter och till att den föreslagna regleringen ska säkerställa ett långsiktigt och hållbart integritetsskydd. Förslagen innebär sammantaget att myndigheten ges förutsättningar att bedriva sin verksamhet på ett effektivt och ändamålsenligt sätt samtidigt som den enskildes personliga integri- tet skyddas mot intrång.

266

SOU 2018:52

Konsekvenser

19.3Alternativa lösningar och konsekvenser av att den föreslagna regleringen inte genomförs

Utredningen har i olika avsnitt i betänkandet redovisat vilka alter- nativa lösningar som har övervägts och varför dessa inte har valts. Exempelvis har utredningen i avsnitt 14.2 övervägt möjligheten att införa bestämmelser om för vilka ändamål Myndigheten för vård- och omsorgsanalys får behandla personuppgifter och i avsnitt 10.2 övervägt om alla myndighetens projekt bör etikprövas.

Utredningen har föreslagit att den etikprövning som kan göra behandling laglig ska göras av Etikprövningsmyndigheten enligt det regelverk som redan finns för forskningsprojekt. Motiven för det förslaget finns i avsnitt 10.3.2 och motiven för att det behövs en extern granskning av mer integritetskänslig behandling av person- uppgifter finns i avsnitt 10.1. Som ett alternativ föreslås att någon annan extern instans gör en etisk prövning av myndighetens mer integritetskänsliga projekt (avsnitt 10.3.3–5).

Syftet med den verksamhet som bedrivs av Myndigheten för vård- och omsorgsanalys är att bidra till att förbättra och effek- tivisera vården, tandvården och omsorgen samt stärka patienternas och brukarnas ställning. Det är således ett viktigt samhällsintresse att myndigheten kan bedriva en effektiv och ändamålsenlig verksam- het. Samtidigt är det ett viktigt samhällsintresse, med stöd av reger- ingsformen, att enskildas personliga integritet värnas. De förslag som lämnas i detta betänkande syftar till att Myndigheten för vård- och omsorgsanalys ska kunna genomföra sitt uppdrag på ett ända- målsenligt och effektivt sätt samtidigt som vissa restriktioner och skyddsåtgärder införs för att motverka intrång i den personliga integriteten. De skyddsåtgärder utredningen föreslår går utöver de som följer av dataskyddsförordningen. Skulle förslaget inte genom- föras, blir det således inte någon sådan förbättring av integritets- skyddet.

19.4Ekonomiska konsekvenser

Även om förslagen på olika sätt leder till förbättringar kan de in- ledningsvis komma att föra med sig vissa begränsade merkostnader för Myndigheten för vård- och omsorgsanalys avseende tekniska

267

Konsekvenser

SOU 2018:52

anpassningar. Sådana anpassningar kan framför allt vara aktuella för att uppfylla de föreslagna kraven på skyddsåtgärder. Myndigheten arbetar dock redan i dag med såväl pseudonymisering som behörig- hetsstyrning varför det kan antas att det inte kommer att krävas några större tekniska anpassningar av it-systemen för att uppfylla kraven. Det kan vidare initialt komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Ny lagstiftning kräver dock regelmässigt utbildningsinsatser och kostnaderna för dessa kan normalt täckas av myndighetens anslag inom befintlig ram. Förslagen kan också innebära att det krävs viss anpassning av myndighetens interna organisation och arbetssätt. Detta gäller framför allt förslagen om etikprövning och förslagen som innebär att myndighetschefen ska fatta vissa beslut. Eftersom myndigheten redan i dag arbetar på ett sätt som är väl förenligt med dessa förslag, kan det endast vara aktuellt med mindre anpassningar. Det har inte varit möjligt att beräkna, eller ens uppskatta, de mer- kostnader som förslagen kan antas föranleda i det inledande skedet. Dessa merkostnader bedöms dock bli så små att de ryms inom myndighetens befintliga anslag.

Förslaget om att myndighetens projekt ska etikprövas medför vissa kostnader för myndigheten, i form av både ansökningsavgifter och den arbetsinsats som krävs för att göra ansökan. Ansöknings- avgiften är i dag 5 000 kr men föreslås i en departementspromemoria höjas till 8 000 kr.1 Den dokumentation som myndigheten redan i dag fastställer i projektdirektiv och projektplan inför varje projekt bedöms också kunna tjäna som underlag för en ansökan om etik- prövning. Kravet på etikprövning bör därför inte innebära någon större extra arbetsinsats för myndigheten. Det rör sig vidare endast om ett mindre antal ansökningar per år. Dessutom medför förslagen att myndigheten inte längre kommer att behöva anlita externa forskare i samma utsträckning som i dag vilket i sig innebär en kostnads- besparing. Vidare föreslår utredningen undantag från kravet på etisk prövning för behandling av känsliga personuppgifter och lagöver- trädelser i vissa fall, avsnitt 11.4.2 och 12.2.2. Förslaget om krav på etikprövning bedöms därför sammantaget inte medföra någon ökad kostnad för myndigheten.

1Bilaga 2 till förordningen (2003:615) om etikprövning av forskning som avser människor och Ds 2016:46 s. 111 f.

268

SOU 2018:52

Konsekvenser

Kravet på etikprövning medför också sannolikt att Etikpröv- ningsmyndigheten kommer att få pröva ett något ökat antal ansök- ningar om etikprövning. Även Överklagandenämnden för etikpröv- ning, som prövar överlämnade och överklagade ärenden, kan komma att få en marginell ökning av antalet ärenden. Som anges ovan handlar det dock endast om ett mindre antal ansökningar per år. Myndigheten för vård- och omsorgsanalys anlitar dessutom i dag externa forskare för att göra vissa studier. Eftersom de externa forsk- arna i dag ansöker om etikprövning, kan förslaget inte förväntas med- föra någon större ökning av det totala antalet ärenden som prövas av Etikprövningsmyndigheten och Överklagandenämnden för etikpröv- ning. Etikprövningsverksamheten är dessutom till stor del finansierad genom de ansökningsavgifter som tas ut. Förslagen bör därmed inte medföra annat än en sådan marginell ökning av kostnaderna för etik- prövningsverksamheten att den ryms inom befintliga anslag.

Kostnaderna för det fall att någon annan instans än Etikpröv- ningsmyndigheten och Överklagandenämnden för etikprövning väljs för den etiska prövningen har inte varit möjliga att beräkna, bl.a. eftersom kostnadsökningen är beroende av de befintliga förutsätt- ningarna hos den instans som väljs.

19.5Övriga konsekvenser

enligt kommittéförordningen

Utredningens förslag får inte några konsekvenser för den kommu- nala självstyrelsen. Detsamma gäller för brottsligheten och det brotts- förebyggande arbetet. Förslagen får inte heller några konsekvenser för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i öv- rigt i förhållande till stora företags. Författningsförslagen är köns- neutralt utformade och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslagen får inte heller några negativa konsekvenser för möjligheten att nå de integrations- politiska målen. Med förslagen får myndigheten goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdena, vilket bör ge goda förutsättningar för beslut på dessa politikområden med åtföljande positiva konsekvenser för integrationen och jäm- ställdheten mellan kvinnor och män.

269

Konsekvenser

SOU 2018:52

Utredningen har inte föreslagit någon reglering som går utöver vad som är tillåtet enligt dataskyddsförordningen. Utredningen har i respektive avsnitt gjort en bedömning av vilken nationell reglering som är möjlig att införa med beaktande av den direkt tillämpliga EU- regleringen. Den föreslagna lagstiftningen innehåller således endast bestämmelser som kompletterar eller tar över bestämmelserna i data- skyddsförordningen, när det är tillåtet.

19.6Konsekvenser för den personliga integriteten

Utredningens förslag innebär att Myndigheten för vård- och omsorgs- analys ges möjlighet att utan samtycke behandla stora mängder personuppgifter, varav en del är känsliga, även när det innebär ett betydande intrång i den personliga integriteten. Genom kravet på etikprövning och de övriga skyddsåtgärder som föreslås säkerställs dock enligt utredningens bedömning ett långsiktigt och hållbart integritetsskydd. Utredningen anser att förslagen utgör en lämplig avvägning mellan skyddet för den enskildes personliga integritet och behovet av en ändamålsenlig reglering för myndighetens behandling av personuppgifter. Myndighetens befintliga möjligheter att utan sam- tycke behandla känsliga personuppgifter och uppgifter om lagöver- trädelser begränsas genom den föreslagna lagen till vad myndigheten behöver och är etiskt försvarbart. De skyddsåtgärder som utred- ningen föreslår ska gälla vid sådan behandling av personuppgifter som myndigheten kan utföra redan i dag. För sådan behandling med- för således utredningens förslag ett bättre skydd för den personliga integriteten än vad som gäller i dag.

För en mer utförlig redovisning av utredningens bedömning av om det intrång i den personliga integriteten som förslagen medför är proportionerligt i förhållandet till intresset av att myndigheten kan bedriva sin verksamhet på ett ändamålsenligt sätt hänvisas till kapitel 16.

270

Författningskommentar

SOU 2018:52

vissa funktionshindrade med flera författningar i enlighet med vad som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Tillämpningsområdet motsvarar vad som anges i 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys och är avsett att inkludera myndig- hetens kärnverksamhet och uppdrag i enlighet med hur det preci- seras i 2 och 3 §§ förordningen med instruktion för Myndigheten för vård- och omsorgsanalys. Det innebär att lagen inte är tillämplig vid andra typer av verksamheter vid myndigheten, t.ex. inom den admi- nistrativa verksamheten.

I andra stycket klargörs att tillämpningsområdet även är begränsat till att avse helt eller delvis automatiserad behandling eller behand- ling av personuppgifter som ingår i eller är avsedda att ingå i en struk- turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Av artikel 2.1 i datas- kyddsförordningen framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på auto- matisk väg samt på annan behandling än automatisk av personupp- gifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4 punkt 6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt sär- skilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Den föreslagna lagens tillämpningsområde anknyter således i denna del helt till dataskyddsförordningens tillämpningsområde. Det inne- bär att manuell behandling av personuppgifter som inte ingår i en uppgiftssamling som är strukturerad för sökning eller sammanställ- ning, såsom minnesanteckningar från intervjuer som enbart förs på papper, inte omfattas av lagens tillämpningsområde.

Genom bestämmelsen i tredje stycket om att vissa angivna bestäm- melser ska gälla avlidna personer utvidgas den föreslagna lagens tillämpningsområde i förhållande till dataskyddsförordningen. En människa är död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort, se 1 § lagen (1987:269) om kriterier för bestämmande av människans död.

272

SOU 2018:52

Författningskommentar

Förhållandet till annan reglering

2 § Denna lag innehåller bestämmelser som kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Vid forskning gäller lagen (2003:460) om etikprövning av forskning som avser människor.

I paragrafen anges lagens förhållande till annan reglering. Över- vägandena finns i avsnitt 9.4.

Första stycket upplyser om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig men förutsätter eller tillåter i vissa avseenden natio- nella bestämmelser som kompletterar förordningen, i form av preci- seringar eller undantag. Nationell reglering krävs bl.a. vid behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse. Hänvisningen till dataskyddsförordningen i lagen är dynamisk, dvs. avser dataskyddsförordningen i dess vid varje tidpunkt gällande lydelse.

Av andra stycket framgår lagens relation till den generella data- skyddslagen. Dataskyddslagen kompletterar dataskyddsförordningen på nationell generell nivå. Den lag som föreslås i detta betänkande har företräde framför dataskyddslagen. Om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen, gäller dataskydds- lagen.

I det tredje stycket klargörs att vid behandling av personuppgifter för forskning. gäller i stället etikprövningslagen. Med forskning avses här detsamma som i etikprövningslagen, dvs. vetenskapligt experi- mentellt eller teoretiskt arbete för att inhämta ny kunskap och utveck- lingsarbete på vetenskaplig grund. Etikprövningslagen gäller, när det rör behandling av personuppgifter, vid forskning som innefattar

273

Författningskommentar

SOU 2018:52

behandling av känsliga personuppgifter enligt 13 § personuppgifts- lagen eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

Ändamålsbestämning

3 § Myndighetschefen ska för varje projekt besluta om särskilda ända- mål för behandlingen av personuppgifter och vilka kategorier av per- sonuppgifter som får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte behandlas.

För att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndig- hetschefen beslutar om det.

Paragrafen ställer särskilda krav på ändamålsbestämning och begräns- ning av behandling av personuppgifter. Övervägandena finns i av- snitt 14.2.5 och 14.3.

Enligt första stycket krävs att myndighetschefen fattar ett beslut för varje projekt om för vilka ändamål personuppgifter får behand- las. Med projekt avses en tidsbegränsad arbetsuppgift som ska genomföras inom bestämda ramar, exempelvis i fråga om tid, arbets- insatser och ekonomi. Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Kravet enligt dataskyddsförord- ningen på att fastställa ändamål utökas således enligt lagen med ett krav på ett formellt beslut om ändamål av myndighetschefen. Innan beslut har fattats får inga personuppgifter behandlas i projektet. Myndighetschefens beslut ska även gälla vilka kategorier av person- uppgifter som får behandlas om vilka kategorier av personer. Beslu- tet behöver inte ange exakt vilka personuppgifter eller personer som får behandlas utan det räcker med en angivelse på kategorinivå, t.ex. uppgifter om födelseår, kön och utbildningsnivå rörande personer med en viss diagnos, bosatta inom ett visst län.

För att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål krävs enligt andra stycket att myndighetschefen fattar ett beslut om det. Personuppgifter som har samlats in för ett visst ändamål i ett projekt

274

SOU 2018:52

Författningskommentar

får användas för andra ändamål bara om det är förenligt med tillämp- liga regler. Behandlingen av personuppgifterna för det nya ändamålet får t.ex. inte vara oförenlig med det ursprungliga ändamålet i enlighet med finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen. Bedömningen av förenligheten ska göras i enlighet med vad som framgår av artikel 6.4 i dataskyddsförordningen. Innan personupp- gifterna kan användas för ett nytt syfte måste alla registrerade infor- meras enligt artikel 13.3 och 14.4 i dataskyddsförordningen. Om det nya ändamålet innebär behandling av personuppgifter i ett nytt projekt eller om ett tidigare beslutat ändamål i ett befintligt projekt förändras väsentligt måste dessutom en prövning av Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning alterna- tivt ett annat särskilt organ för prövning av etiska frågor göras enligt 4, 5 och 7 §§ när det inte finns samtycke till den nya behandlingen och det rör sig om känsliga personuppgifter, uppgifter om lagöver- trädelser eller en så stor omfattning av personuppgifter att behand- lingen medför en kartläggning av de registrerade och ett betydande intrång i deras personliga integritet. Av 4 § andra stycket och 5 § andra stycket framgår att det dock finns vissa undantag från kravet på etikprövning. Om de rättsliga förutsättningarna för att behandla personuppgifter för ett nytt ändamål är uppfyllda, kan myndighets- chefen besluta om att så ska ske. Innan beslut har fattats får inga personuppgifter behandlas för nya ändamål.

Enligt 10 § förordningen med instruktion för Myndigheten för vård- och omsorgsanalys är generaldirektören myndighetschef. Gene- raldirektören får inte delegera beslutanderätten enligt denna paragraf. Enligt 24 § första stycket myndighetsförordningen (2007:515) kan dock myndighetschefens ställföreträdare tjänstgöra i myndighets- chefens ställe när myndighetschefen inte är i tjänst och då fatta be- slut enligt paragrafen.

Känsliga personuppgifter

4 § Sådana särskilda kategorier av personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får be- handlas i ett projekt bara

1.med de registrerades uttryckliga samtycken, med stöd av arti- kel 9.2 a i samma förordning, eller

275

Författningskommentar

SOU 2018:52

2.såvitt avser uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung, om projektet har prövats och godkänts enligt 8 §, med stöd av artikel 9.2 g, h eller j i samma förordning.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 personer inte prövas och godkännas enligt 8 §.

Paragrafen reglerar uttömmande under vilka förutsättningar Myn- digheten för vård- och omsorgsanalys får behandla känsliga person- uppgifter i ett projekt. Övervägandena finns i kapitel 11.

Med känsliga personuppgifter avses detsamma som med uttrycket särskilda kategorier av personuppgifter i artikel 9.1 i dataskydds- förordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Utgångspunkten enligt dataskyddsförord- ningen är att behandling av känsliga personuppgifter är förbjuden. Vad som avses med projekt framgår av författningskommentaren till 3 §.

Punkten 1 i första stycket upplyser om att Myndigheten för vård- och omsorgsanalys får behandla samtliga kategorier av känsliga per- sonuppgifter om den registrerade uttryckligen har samtyckt till behandlingen. Detta följer direkt av artikel 9.2 a i dataskyddsförord- ningen. Samtycket måste uppfylla kraven enligt dataskyddsförord- ningens definition av samtycke i artikel 4 punkt 11. Även kraven enligt artikel 7 i dataskyddsförordningen måste beaktas. Det innebär bl.a. att samtycket måste vara frivilligt. Som utredningen konstaterat i avsnitt 6.2.2 kan samtycke i de allra flesta fall lämnas frivilligt och därmed utgöra grund för behandling av personuppgifter i myndig- hetens verksamhet. En bedömning av om kravet på frivillighet är uppfyllt måste dock göras i varje enskilt fall. Myndigheten kan, till följd av bestämmelsen, exempelvis vända sig till en slumpvis utvald del av befolkningen och fråga om personerna vill medverka i en studie och samtycka till nödvändig behandling av personuppgifter. Sådan behandling av personuppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hälsoegenskap kan

276

SOU 2018:52

Författningskommentar

dock inte ske med samtycke, eftersom samtycke kan lämnas först efter att kontakt har tagits.

Enligt punkten 2 i första stycket krävs en prövning och ett god- kännande enligt 8 § för att myndigheten ska få behandla känsliga personuppgifter i ett projekt utan den registrerades uttryckliga sam- tycke. Det är endast uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung som får behandlas med stöd av bestäm- melsen. Övriga kategorier av känsliga personuppgifter får alltså, i den mån det är nödvändigt, endast behandlas med stöd av ett ut- tryckligt samtycke och i det fall som anges i andra stycket.

Myndigheten för vård- och omsorgsanalys har möjlighet att be- handla personuppgifter med stöd av artikel 9.2 g, h eller j i data- skyddsförordningen. För behandling med stöd av artikel 9.2 g eller j krävs dock att de krav på skyddsåtgärder, nödvändighet och propor- tionalitet som uppställs i dataskyddsförordningen för sådan behand- ling av personuppgifter är uppfyllda. Bestämmelsen i punkten 2 utgör således ett förtydligande av vilka bestämmelser i artikel 9 i för- ordningen som kan utgöra grund för behandling av känsliga person- uppgifter hos Myndigheten för vård- och omsorgsanalys. Det är tillräckligt att en av de nämnda bestämmelserna i dataskyddsför- ordningen är tillämplig för att behandlingen ska vara tillåten. Arti- kel 9.2 g i dataskyddsförordningen, som avser behandling av känsliga personuppgifter som är nödvändig för ett viktigt allmänt intresse, har det vidaste tillämpningsområdet och är troligtvis den bestäm- melse som kommer att vara tillämplig i de flesta fall myndigheten behöver behandla uppgifter om hälsa eller personuppgifter som av- slöjar etniskt ursprung. Någon analys av vilken av de angivna grund- erna som är tillämplig i ett visst fall är emellertid inte nödvändig. Det är tillräckligt att det finns stöd för behandlingen av personupp- gifterna i lagbestämmelsen, som i sin tur har stöd i förordningen.

Enligt andra stycket behöver, trots första stycket punkten 2, pro- jekt som innefattar behandling av uppgifter om hälsa eller person- uppgifter som avslöjar etniskt ursprung om färre än 100 personer inte prövas och godkännas enligt 8 §. Genom bestämmelsen ges myndigheten således möjlighet, men inte skyldighet, att avstå från att ansöka om etisk prövning, om det aktuella projektet avser behand- ling av sådana personuppgifter om färre än 100 personer. Behand- lingen får i sådant fall stödjas direkt på dataskyddslagen och arti- kel 9.2 h eller j i dataskyddsförordningen och får inte innebära ett

277

Författningskommentar

SOU 2018:52

sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

Uppgifter om lagöverträdelser

5 § Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden (uppgifter om lagöverträdelser) får behandlas i ett projekt bara

1.med de registrerades samtycken, eller

2.om projektet har prövats och godkänts enligt 8 §.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om lagöverträdelser om färre än 100 personer inte prövas och godkännas enligt 8 §.

Paragrafen anger uttömmande under vilka förutsättningar Myn- digheten för vård- och omsorgsanalys får behandla uppgifter om lagöverträdelser i ett projekt. Övervägandena finns i avsnitt 12.2.

Definitionen av vad som utgör uppgifter om lagöverträdelser är något mer omfattande än den som framgår av artikel 10 i data- skyddsförordningen. I stället motsvarar definitionen den som anges i 3 § 2 etikprövningslagen. Vad som avses med projekt framgår av författningskommentaren till 3 §.

Paragrafen upplyser i punkten 1 i första stycket om att uppgifter om lagöverträdelser får behandlas av myndigheten med stöd av den registrerades samtycke. Detta följer direkt av dataskyddsförord- ningens bestämmelser. Samtycket måste uppfylla dataskyddsförord- ningens krav på samtycke, se författningskommentaren till 4 §.

För att uppgifter om lagöverträdelser ska få behandlas i ett pro- jekt utan den registrerades samtycke gäller enligt punkten 2 i första stycket, på samma sätt som för känsliga personuppgifter enligt 4 § första stycket 2, ett krav på prövning och godkännande enligt 8 §. Bestämmelsen inskränker alltså myndighetens möjligheter att be- handla uppgifter om lagöverträdelser i förhållande till vad som gäller enligt dataskyddsförordningen och dataskyddslagen.

Enligt andra stycket behöver, trots första stycket punkten 2, pro- jekt som innefattar behandling av uppgifter om lagöverträdelser om färre än 100 personer inte prövas och godkännas enligt 8 §. Genom

278

SOU 2018:52

Författningskommentar

bestämmelsen ges myndigheten således möjlighet, men inte skyldig- het, att avstå från att ansöka om etisk prövning, om det aktuella projektet avser behandling av sådana personuppgifter om färre än 100 personer. Behandlingen får i sådant fall stödjas direkt på arti- kel 6.1 e i dataskyddsförordningen (se också 3 kap. 8 § första stycket dataskyddslagen). Bestämmelsen i andra stycket är inte ett sådant lagstöd som ger möjlighet till sådana betydande intrång i den per- sonliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen.

Övriga personuppgifter i godkända projekt

6 § När sådana personuppgifter som avses i 4 och 5 §§, efter prövning och godkännande enligt 8 § får behandlas i ett projekt, får också andra personuppgifter behandlas utan de registrerades samtycken i projektet.

Paragrafen anger vad som gäller för behandling av andra personupp- gifter än känsliga personuppgifter och uppgifter om lagöverträdelser i ett projekt som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor enligt bestämmelserna i 4 och 5 §§. Övervägandena finns i avsnitt 13.2.

Vad som avses med projekt framgår av författningskommentaren till 3 §. Har bara ett delprojekt inom ett större projekt etikgodkänts, gäller bestämmelsen bara för behandlingen av personuppgifter i det delprojektet, inte i hela projektet.

De projekt Myndigheten för vård- och omsorgsanalys bedriver innefattar ofta, förutom känsliga personuppgifter och uppgifter om lagöverträdelser, även andra personuppgifter. Bestämmelsen innebär att även sådana andra personuppgifter får behandlas i projektet utan den registrerades samtycke om projektet har godkänts av Etikpröv- ningsmyndigheten eller Överklagandenämnden för etikprövning alternativt ett annat särskilt organ för prövning av etiska frågor. Om myndigheten planerar att även behandla andra personuppgifter än känsliga personuppgifter eller uppgifter om lagöverträdelser, ska information om det naturligtvis lämnas till det organ som gör den etiska prövningen. Om det, efter att godkännande lämnats, uppstår ett behov av att behandla ytterligare sådana personuppgifter får

279

Författningskommentar

SOU 2018:52

myndigheten, liksom vid andra förändringar av förutsättningarna för ett projekt, överväga om en ny prövning behöver göras.

Prövning av projekt som inte innefattar känsliga personuppgifter eller uppgifter om lagöverträdelser

7 § Om myndigheten bedömer att ett projekt, som endast innefattar behandling av andra personuppgifter än sådana som avses i 4 och 5 §§, inte kan genomföras på grund av 2 kap. 6 § andra stycket regerings- formen, får personuppgifterna behandlas om projektet har prövats och godkänts enligt 8 §.

Paragrafen anger vad som gäller för projekt, som endast innefattar behandling utan samtycke av andra personuppgifter än känsliga per- sonuppgifter och uppgifter om lagöverträdelser, där behandlingen är av sådan omfattning att den innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den per- sonliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen. Övervägandena finns i avsnitt 13.3.

Vad som avses med projekt framgår av författningskommentaren till 3 §.

Även om merparten av myndighetens projekt som medför be- handling av personuppgifter innefattar behandling av känsliga per- sonuppgifter, förekommer det att myndigheten i ett projekt endast behöver behandla personuppgifter som varken är känsliga eller utgör uppgifter om lagöverträdelser. Det skulle t.ex. kunna röra sig om en undersökning som kartlägger privatekonomi och andra levnads- omständigheter för personer som beviljats ekonomiskt bistånd. Myndigheten har, som framgår av avsnitt 7.1.4, i många fall möj- lighet att behandla sådana personuppgifter med stöd av regleringen i dataskyddsförordningen. Även om myndigheten har stöd i data- skyddsförordningen för en behandling av personuppgifter, måste dock myndigheten se till att behandlingen inte strider mot 2 kap. 6 § andra stycket regeringsformen. Analysarbetet i ett enskilt projekt kan medföra en så omfattande behandling av personuppgifter att det med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och ett behov av att koppla samman per- sonuppgifterna, får anses innebära en sådan kartläggning av enskildas

280

SOU 2018:52

Författningskommentar

personliga förhållanden och ett sådant betydande intrång i den per- sonliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen. Sådan behandling är tillåten endast med stöd av samtycke eller med lagstöd enligt 20 § i samma kapitel.

Den föreslagna paragrafen utgör ett sådant lagstöd som avses i 2 kap. 20 § regeringsformen. Genom bestämmelsen ges myndig- heten möjlighet att ansöka om prövning av Etikprövningsmyndig- heten alternativt ett annat särskilt organ för prövning av etiska frågor för projekt som i och för sig endast innefattar behandling av andra personuppgifter än känsliga personuppgifter eller uppgifter om lag- överträdelser, men som annars enligt myndighetens bedömning inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsfor- men. Om projektet godkänns vid prövningen, är behandlingen tillåten trots 2 kap. 6 § andra stycket regeringsformen.

Om ett projekt endast innefattar behandling av andra person- uppgifter än känsliga personuppgifter och uppgifter om lagöver- trädelser som inte är så omfattande att den innebär en kartläggning av enskildas personliga förhållanden och ett betydande intrång i den personliga integriteten krävs däremot inte någon prövning av Etik- prövningsmyndigheten eller Överklagandenämnden för etikpröv- ning alternativt ett annat särskilt organ för prövning av etiska frågor. För sådan behandling får myndigheten själv göra en bedömning av om den är tillåten enligt dataskyddsförordningen. Övriga bestäm- melser i lagen måste dock iakttas även vid sådan behandling.

Etikprövningsmyndigheten eller Överklagandenämnden för etik- prövning eller ett annat särskilt organ för prövning av etiska frågor kan inte överpröva myndighetens bedömning att projektet inte kan genomföras på grund av 2 kap. 6 § andra stycket regeringsformen.

Prövningen av etiska frågor

ALTERNATIV A

8 § Prövningen enligt 4 § 2, 5 § 2 och 7 § ska göras av Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning. Vid pröv- ning och godkännande ska bestämmelserna om forskning i 6–11 §§ i lagen (2003:460) om etikprövning av forskning som avser människor tillämpas på motsvarande sätt. I fråga om handläggningsordningen för

281

Författningskommentar

SOU 2018:52

prövning och godkännande samt om överklagande tillämpas bestäm- melserna i 24–33 samt 36 och 37 §§ samma lag.

Paragrafen anger hur etikprövning enligt den föreslagna lagen ska gå till. Övervägandena finns i kapitel 10.3.2 och 10.4.1.

Etikprövningsmyndighetens eller Överklagandenämnden för etik- prövnings prövning och godkännande av myndighetens projekt enligt 4, 5 och 7 §§ i den föreslagna lagen ska göras på motsvarande sätt och enligt samma kriterier som vid bedömning av forsknings- projekt. Ett etikgodkännande ska enligt 6 § etikprövningslagen, avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd analys eller uppföljning. Det är alltså inte aktuellt med ett generellt godkännande att under oöverskådlig framtid få utföra vissa analyser. Även om Etikprövningsmyndigheten eller Överklag- andenämnden för etikprövning har godkänt ett projekt måste myn- digheten, vid behandling av personuppgifter i projektet, följa regler- ingen i dataskyddsförordningen, dataskyddslagen och den föreslagna lagen om behandling av personuppgifter i myndighetens verksam- het. Behandling i etikgodkända projekt får dock med stöd av regleringen i den föreslagna lagen genomföras trots 2 kap. 6 § andra stycket regeringsformen. Myndigheten ska också följa eventuella villkor som anges i beslutet om godkännande.

Om ett projekt innefattar flera klart avgränsade delprojekt, varav bara något innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, behöver bara det delprojektet god- kännas för att behandlingen av personuppgifter ska vara tillåten. Detta förutsätter att själva delprojektet uppfyller de krav som följer av 7–11 §§ etikprövningslagen. Delprojektet får godkännas bara om integritetsriskerna för de personer som omfattas av behandlingen uppvägs av det samhälleliga intresset av den kunskap som redan del- projektet kan förväntas leda till. Om inte delprojektet i sig uppfyller de grav som följer av 7–11 §§ etikprövningslagen, kan hela projektet behöva prövas i ett sammanhang.

Bestämmelserna i 7–11 §§ etikprövningslagen reglerar utgångs- punkterna för vad som ska beaktas vid etikprövning av forsknings- projekt. Att bestämmelserna ska tillämpas på motsvarande sätt vid den etiska prövningen av myndighetens analysprojekt innebär att myndighetens projekt bara får godkännas om det kan utföras med

282

SOU 2018:52

Författningskommentar

respekt för människovärdet. Vid prövningen ska mänskliga rättig- heter och grundläggande friheter beaktas. Samtidigt ska hänsyn tas till intresset av att utveckla ny kunskap genom den aktuella studien. Människors välfärd ska ges företräde framför samhällsbehovet av att analysen genomförs. Integritetsriskerna för de personer som med- verkar i studien måste vägas upp av studiens värde för samhället. I stället för att väga riskerna mot det vetenskapliga värdet, som görs när det är fråga om forskning, får alltså, på motsvarande sätt som gäller enligt den avvägningsnorm som tillämpas vid behandling för statistikändamål enligt 3 kap. 7 § dataskyddslagen, riskerna vägas mot det samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. Om det förväntade resultatet kan uppnås på ett annat sätt som medför mindre integritetsrisker för de personer som ingår i studien, får projektet inte godkännas. Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser får godkännas bara om den är nödvändig för att analysen ska kunna utföras. Det krävs också att projektet utförs av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs för det aktuella projektet och de etiska frågeställningar som kan aktuali- seras. Det ska, på samma sätt som vid prövningen av forsknings- projekt, göras en helhetsbedömning. Vid bedömningen bör beaktas bl.a. hur pass viktig den kunskap som projektet kan ge är och om den kunskapen kan erhållas utan att personuppgifter behandlas eller om integritetsintrånget kan begränsas på något sätt. Även säker- heten vid behandlingen och omständigheter vid ett eventuellt sam- tycke kan få betydelse. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda och i vilken utsträckning den som begär det ska ha rätt att bli struken. I viss mån bör också kunna beaktas hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.

I paragrafen anges också att bestämmelserna i 24–33 samt 36 och

37 §§ etikprövningslagen ska gälla vid handläggning hos Etikpröv- ningsmyndigheten eller Överklagandenämnden för etikprövning och vid överklagande av beslut.

283

Författningskommentar

SOU 2018:52

ALTERNATIV B

8 § Prövningen enligt 4 § 2, 5 § 2 och 7 § ska göras av ett särskilt organ för prövning av etiska frågor som har företrädare för såväl det allmänna som forskningen och som är en statlig myndighet eller är knu- tet till en annan statlig myndighet än Myndigheten för vård- och om- sorgsanalys.

Ett projekt får godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integ- ritet som behandlingen kan innebära. Ett godkännande får förenas med villkor.

Regeringen meddelar föreskrifter om organ som avses i första stycket.

Paragrafen anger vad som ska gälla i fråga om den etiska prövningen. Övervägandena finns i avsnitt 10.3.3 och 10.4.2.

Av första stycket framgår att prövningen av projekt som bedrivs av Myndigheten för vård- och omsorgsanalys ska göras av ett särskilt organ för prövning av etiska frågor. Organet ska ha företrädare för såväl det allmänna som forskningen och vara en statlig myndighet eller knuten till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys. Vilket detta organ ska vara regleras i enlig- het med tredje stycket i förordning.

I andra stycket anges den avvägningsnorm som ska tillämpas vid prövningen av projekten. Ett projekt får godkännas bara om behand- lingen av personuppgifter i projektet är nödvändig och om samhälls- intresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Avvägningsnormen motsvarar den som gäller vid behandling för statistikändamål enligt 3 kap. 7 § dataskyddslagen. Avvägningsnormen ger uttryck för en restriktiv tillämpning och betonar att behand- lingen måste vara nödvändig samtidigt som en intresseavvägning ska göras.

Prövningen och godkännandet ska avse ett visst projekt. Om ett projekt innefattar flera klart avgränsade delprojekt, varav bara något innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, behöver emellertid bara det delprojektet prövas och godkännas för att behandlingen av personuppgifter ska vara tillåten. Detta förutsätter att samhällsintresset av redan delprojektet klart

284

SOU 2018:52

Författningskommentar

väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om inte delprojektet i sig uppfyller detta, kan hela projektet behöva prövas i ett sammanhang.

Kravet på nödvändighet är avsett att ha samma innebörd som kravet på nödvändighet i dataskyddsförordningen. Kravet innebär inte att det måste vara omöjligt att utföra det aktuella uppdraget om inte känsliga personuppgifter eller uppgifter om lagöverträdelser behandlas. Behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser kan anses nödvändig om den medför effektivi- tetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på visst sätt. Om personuppgifter inte behövs i det aktuella projektet eller om en analys kan utföras nästan lika enkelt och till nästan samma kostnad utan att personuppgifter behandlas, är nödvändighetskravet däremot inte uppfyllt och behand- ling av känsliga personuppgifter och uppgifter om lagöverträdelser inte tillåten.

Den avvägningsnorm som regleras i paragrafen innebär att en helhetsbedömning ska göras där hänsyn ska tas till bl.a. vikten av den kunskap det aktuella projektet kan förväntas ge och behovet av per- sonuppgifter. Vidare ska hänsyn tas till omständigheter som säker- heten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kun- na skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna störa undersökningsresultatet. Vid intresse- avvägningen bör också beaktas om information i någon form lämnas till de berörda. Även frågan om i vilken utsträckning den som begär det ska ha rätt att bli struken kan övervägas.

Ett godkännande av myndighetens projekt kan förenas med vill- kor som ska uppfyllas för att behandlingen av personuppgifter ska vara tillåten. Sådana villkor kan gälla t.ex. formerna för urvalet av deltagare i en studie, inhämtande av samtycke eller lämnande av information.

285

Författningskommentar

SOU 2018:52

Skyddsåtgärder

9 § De personuppgifter som behandlas i ett projekt ska pseudonymi- seras.

Myndighetschefen får för ett särskilt fall besluta om undantag från första stycket, i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara och för- bud mot att i andra fall sammanföra sådana personuppgifter med personuppgifter som är direkt hänförliga till individer.

Paragrafen reglerar vad som gäller i fråga om pseudonymisering. Övervägandena finns i avsnitt 14.5.

Enligt huvudregeln i första stycket ska personuppgifter som be- handlas i ett projekt pseudonymiseras. Med pseudonymisering avses enligt definitionen i artikel 4 punkt 5 i dataskyddsförordningen be- handling av personuppgifter på ett sätt som innebär att person- uppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Detta gäller under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att per- sonuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Pseudonymiserade uppgifter är alltså uppgifter som inte direkt kan hänföras till en person. Det rör sig dock fortfarande om personuppgifter, eftersom man behåller möjligheten att återidenti- fiera uppgifterna med hjälp av kompletterande uppgifter som förvaras separat. De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis är kopplade till löpnummer, och direkt identifierbara personuppgifter som namn och personnummer. Pseudonymiseringen ska ske i anslutning till att personuppgifterna kommer in till myn- digheten.

I andra stycket ges möjlighet till undantag från huvudregeln. I den utsträckning ändamålet med behandlingen av personuppgifter i något fall inte kan uppnås med pseudonymiserade uppgifter, får myndig- hetschefen för ett särskilt fall besluta om att personuppgifter inte ska pseudonymiseras. Det kan t.ex. vara aktuellt om det i ett projekt

286

SOU 2018:52

Författningskommentar

behövs en sammanställning av kontaktuppgifter avseende de perso- ner som ska få del av ett frågeformulär. I ett sådant fall är det inte ändamålsenligt att pseudonymisera personuppgifterna, och det finns anledning att besluta om undantag från kravet på pseudonymisering i samband med beslut om ändamålet för behandlingen enligt 3 §.

Enligt tredje stycket ska myndighetschefen besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara. Personuppgifterna ska göras identifierbara igen endast om det finns starka skäl för detta. Sådana skäl kan t.ex. vara att det av omständigheter hänförliga till arbetsmetodik, t.ex. behov av samkörning, finns tydliga behov av att hänföra uppgifterna till individer. Detta kan då eventuellt ske under begränsade och säker- ställda former. Riktlinjerna och villkoren måste förstås vara förenliga med gällande rätt. Av riktlinjerna och villkoren bör även framgå på vilket sätt myndigheten säkerställer pseudonymiseringen, t.ex. genom att en kodnyckel förvaras separat från övriga personuppgifter och med en begränsad åtkomst.

De pseudonymiserade uppgifterna får inte i andra fall än de som noggrant övervägts och beslutats om av myndighetschefen samman- föras med direkt identifierbara personuppgifter som namn och per- sonnummer. Myndighetschefen ska därför också besluta om ett förbud mot att, i andra fall än de som uttryckligen framgår av de av myndighetschefen beslutade riktlinjerna och villkoren, sammanföra pseudonymiserade personuppgifter med personuppgifter som är direkt hänförliga till individer.

Enligt 10 § förordningen med instruktion för Myndigheten för vård- och omsorgsanalys är generaldirektören myndighetschef. Generaldirektören får inte delegera beslutanderätten enligt denna para- graf. Enligt 24 § första stycket myndighetsförordningen kan dock myndighetschefens ställföreträdare tjänstgöra i myndighetschefens ställe när myndighetschefen inte är i tjänst och då fatta beslut enligt paragrafen.

10 § Behörighet för åtkomst till personuppgifter ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.

Myndighetschefen ska bestämma villkoren för tilldelning av behö- righet för åtkomst till personuppgifter. Åtkomsten till personuppgifter ska registreras och det ska finnas en funktion vid myndigheten som

287

Författningskommentar

SOU 2018:52

regelbundet kontrollerar registreringarna i syfte att upptäcka och åtgär- da obehörig åtkomst.

Paragrafen reglerar åtkomst till personuppgifter. Övervägandena finns i avsnitt 14.6.

I första stycket anges att behörighet för åtkomst till personupp- gifter ska begränsas till vad som behövs för att den enskilde tjänste- mannen ska kunna fullgöra sina arbetsuppgifter. I vilken omfattning en enskild tjänsteman behöver ha tillgång till personuppgifter för att kunna fullgöra sina arbetsuppgifter och vilka enskilda personupp- gifter som han eller hon ska få tillgång till får avgöras från fall till fall. Det krävs således att myndigheten aktivt tar ställning till vilket behov ett visst tjänsteåliggande eller uppdrag innebär och att tjänste- mannen tilldelas behörighet till olika uppgiftssamlingar utifrån detta. Det kan finnas skäl att förändra behörigheten över tid, beroende på hur arbetet vid myndigheten är organiserat och beroende på vilka projekt som bedrivs. Beslutet om tilldelning av behörigheter bör kompletteras med tekniska begränsningar som förhindrar att tjänste- mannen elektroniskt kommer åt personuppgifter som han eller hon inte har behov av i sitt arbete och följaktligen inte ska ha åtkomst till. Den tekniska lösning som väljs ska garantera att tillräcklig säker- het uppnås utifrån de krav som artikel 32 i dataskyddsförordningen ställer.

Enligt andra stycket ska myndighetschefen bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter.

Enligt 10 § förordningen med instruktion för Myndigheten för vård- och omsorgsanalys är generaldirektören myndighetschef. Generaldirektören får inte delegera beslutanderätten enligt denna paragraf. Enligt 24 § första stycket myndighetsförordningen kan dock myndighetschefens ställföreträdare tjänstgöra i myndighets- chefens ställe när myndighetschefen inte är i tjänst och då fatta beslut enligt andra stycket.

Myndighetschefen behöver inte besluta om tilldelningen av be- hörighet enligt de beslutade villkoren, utan de kan någon annan be- hörig tjänsteman göra.

Beslut om tilldelning av behörigheter bör dokumenteras eftersom de kan få betydelse vid tillämpningen av bestämmelser om straff- ansvar, bl.a. för dataintrång enligt 4 kap. 9 c § brottsbalken.

288

SOU 2018:52

Författningskommentar

Andra stycket ställer också krav på att åtkomsten till personupp- gifter registreras, lämpligen i en logg. Registreringen ska göras i syfte att kunna upptäcka och åtgärda obehörig åtkomst. Det ska också finnas en funktion hos myndigheten, t.ex. en viss tjänsteman, som regelbundet kontrollerar om någon obehörig åtkomst till person- uppgifterna har förekommit. Det räcker alltså inte att loggarna kon- trolleras bara när myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit, utan kontroller ska ske systematiskt och återkommande. Det är i första hand upp till myndigheten att bedöma när och hur kontrollerna ska genomföras.

Gallring

11 § Personuppgifter som behandlas i ett projekt ska gallras senast sex månader efter att projektet är slutfört, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål.

Paragrafen anger de särskilda bestämmelser om bevarande och gall- ring som ska gälla inom lagens tillämpningsområde. Övervägandena finns i avsnitt 15.2.

Av bestämmelsen framgår att personuppgifter som huvudregel ska gallras senast sex månader efter att projektet är slutfört. Med gallring avses utplånande av personuppgifterna eller avidentifiering av uppgifterna på ett sådant sätt att alla identifieringsmöjligheter avlägsnas. Uppgifterna ska efter gallringen alltså ha upphört att ut- göra personuppgifter enligt definitionen i artikel 4 punkt 1 i data- skyddsförordningen.

Från huvudregeln görs undantag om regeringen eller den myn- dighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt. Regeringen eller den myndighet regeringen bestämmer har dessutom möjlighet att besluta att personuppgifter som ingår i ett projekt som är slutfört ska kunna bevaras för arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

289

Författningskommentar

SOU 2018:52

20.2Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

24 § Etikprövningsmyndigheten ska pröva

1.ansökningar som anges i 23 §,

2.vissa frågor i samband med inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m., och

3.vissa frågor enligt lagen (2019:xx) om behandling av personupp- gifter vid Myndigheten för vård- och omsorgsanalys.

Paragrafen anger Etikprövningsmyndighetens arbetsuppgifter. Över- vägandena finns i kapitel 10.

Paragrafen har anpassats så att arbetsuppgiften att etikpröva pro- jekt enligt den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys har lagts till. Därut- över har vissa redaktionella ändringar gjorts.

31§ Överklagandenämnden för etikprövning ska pröva överklaganden av sådana beslut av etikprövningsmyndigheten som anges i 36 §.

Nämnden ska även pröva ärenden som Etikprövningsmyndigheten har lämnat över enligt 29 § och utöva tillsyn enligt 34 och 35 §§. Nämnden har också till uppgift att pröva vissa frågor i samband med inrättande av biobanker enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och vissa frågor enligt lagen (2019:xx) om be- handling av personuppgifter vid Myndigheten för vård- och omsorgs- analys.

Paragrafen anger Överklagandenämnden för etikprövnings arbets- uppgifter. Övervägandena finns i kapitel 10.

Paragrafen har anpassats så att arbetsuppgiften att etikpröva pro- jekt enligt den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys har lagts till.

290

Referenser

SOU 2018:52

Prop. 2002/03:50 Etikprövning av forskning.

Prop. 2002/03:135 Behandling av personuppgifter inom socialförsäk- ringens administration.

Prop. 2005/06:70 Ändringar i läkemedelslagstiftningen m.m. Prop. 2005/06:173 Översyn av personuppgiftslagen.

Prop. 2007/08:44 Vissa etikprövningsfrågor m.m. Prop. 2007/08:126 Patientdatalag m.m.

Prop. 2008/09:145 Omreglering av apoteksmarknaden. Prop. 2008/09:150 Offentlighets- och sekretesslag. Prop. 2009/10:80 En reformerad grundlag.

Prop. 2009/10:83 Etisk bedömning av nya metoder i vården.

Prop. 2009/10:85 Integritet och effektivitet i polisens brottsbekämpande verksamhet.

Prop. 2011/12:45 Kustbevakningsdatalag.

Prop. 2011/12:176 Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Prop. 2013/14:162 Ändringar av statistiksekretessen.

Prop. 2015/16:156 Ändringar i lagen om tillämpning av Europeiska unionens statsstödsregler.

Prop. 2016/17:180 En modern och rättssäker förvaltning – ny förvalt- ningslag.

Prop. 2017/18:45 En ny organisation för etikprövning av forskning som avser människor.

Prop. 2017/18:95 Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

Prop. 2017/18:105 Ny dataskyddslag.

Prop. 2017/18:107 Ändringar i vissa författningar inom Finansdeparte- mentets ansvarsområde med anledning av EU:s dataskyddsreform.

Prop. 2017/18:112 Anpassningar av registerförfattningar på arbets- marknadsområdet till EU:s dataskyddsförordning.

Prop. 2017/18:171 Dataskydd inom Socialdepartementets verksam- hetsområde– en anpassning till EU:s dataskyddsförordning.

Prop. 2017/18:232 Brottsdatalag.

292

SOU 2018:52

Referenser

Statens offentliga utredningar

SOU 1987:31 Integritetsskyddet i informationssamhället 4.

SOU 1997:39 Integritet ∙ Offentlighet ∙ Informationsteknik.

SOU 1997:65 Polisens register.

SOU 1999:109 Behandling av personuppgifter inom socialtjänsten. SOU 2003:99 Ny sekretesslag.

SOU 2006:82 Patientdatalag.

SOU 2008:3 Skyddet för den personliga integriteten. Bedömningar och förslag.

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäk- ringen.

SOU 2015:39 Myndighetsdatalag. SOU 2017:29 Brottsdatalag.

SOU 2017:39 Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning.

SOU 2017:50 Personuppgiftsbehandling för forskningsändamål.

SOU 2017:66 Dataskydd inom Socialdepartementets verksamhets- område – en anpassning till EU:s dataskyddsförordning.

SOU 2017:74 Brottsdatalag – kompletterande lagstiftning.

SOU 2017:104 Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård.

Departementsserien

Ds 2016:46 En ny organisation för etikprövning av forskning.

Ds 2017:28 En anpassning till dataskyddsförordningen av dataskydds- bestämmelser inom Näringsdepartementets verksamhetsområde.

Ds 2017:33 Anpassningar till dataskyddsförordningen av registerför-

fattningar inom Arbetsmarknadsdepartementets ansvarsområde.

293

Referenser

SOU 2018:52

Promemorior

Promemoria av Utredningen om inrättande av en ny oberoende gransk- ningsmyndighet med ansvar för uppföljning och utvärdering av hälso- och sjukvården (S 2010:05).

Finansdepartementets promemoria, EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution, dnr Fi2017/02899/S3.

Kommittédirektiv

Dir. 2010:58 Inrättande av en ny oberoende granskningsmyndighet med ansvar för uppföljning och utvärdering av hälso- och sjukvården.

Dir. 2016:45 Översyn av regelverken för forskningsetik och gräns- området mellan klinisk forskning och hälso- och sjukvård.

Dir. 2017:52 Tilläggsdirektiv till Utredningen om översyn av etikpröv- ningen (U 2016:02).

Dir. 2017:67 Tilläggsdirektiv till Socialdataskyddsutredningen (S 2016:05).

Dir. 2018:1 Tilläggsdirektiv till Socialdataskyddsutredningen (S 2016:05).

Regeringsbeslut

Ändring av uppdrag att följa upp och utvärdera handlingsplanen PRIO psykisk ohälsa 2012–2016, dnr S2012/4529/FS.

Regleringsbrev för budgetåret 2016 avseende Myndigheten för vård- och omsorgsanalys, dnr S2015/04519/RS och S2015/08135/RS (delvis).

Uppdrag att följa och utvärdera nyttan med arbetet som syftar till ett ordnat nationellt införande av nya läkemedel,

dnr S2016/01693/FS (delvis).

Uppdrag att följa upp regeringens satsning på förlossningsvården och andra insatser för kvinnors hälsa 2015–2019,

dnr S2016/06723/FS.

294

SOU 2018:52

Referenser

Regleringsbrev för budgetåret 2017 avseende Myndigheten för vård- och omsorgsanalys, dnr S2016/07779/RS (delvis).

Uppdrag att ta fram ett kunskapsunderlag kring införande, använd- ning och uppföljning av cancerläkemedel, dnr S2017/00359/FS (delvis).

Litteratur

Berggren m.fl., Brottsbalken – En kommentar (1 juni 2017, Zeteo).

Öman & Lindblom, Personuppgiftslagen – En kommentar (15 september 2016, Zeteo).

Domar

EU-domstolens dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724.

RÅ 1992 not 456. RÅ 2005 ref 9.

Övrigt

Ansökan om etikprövning, http://www.epn.se/start/

Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

Brottsförebyggande rådets årsredovisning 2016.

Brottsförebyggande rådets rapport 2016:21 Skolundersökningen om brott 2015 – Om utsatthet och delaktighet i brott.

Brottsförebyggande rådets rapport 2017:1 Nationella trygghetsunder- sökningen 2016 – Om utsatthet, otrygghet och förtroende.

Centrala Etikprövningsnämndens beslut, Dnr Ö 12-2014. Datainspektionens rapport 2002:1 Nationella kvalitetsregister. Datainspektionens yttrande, dnr 2529-2014. Datainspektionens yttrande, dnr 1125-2015.

295

Referenser

SOU 2018:52

Myndigheten för vård- och omsorgsanalys analysplan för 2017. Myndigheten för vård- och omsorgsanalys analysplan för 2018.

296

Bilaga 1

Kommittédirektiv 2016:52

Dataskyddsförordningen

–behandling av personuppgifter och anpassningar av författningar

inom Socialdepartementets verksamhetsområde

Beslut vid regeringssammanträde den 16 juni 2016

Sammanfattning

EU har beslutat om en förordning som utgör en ny generell regler- ing för personuppgiftsbehandling inom EU.

En särskild utredare ska analysera vilka konsekvenser förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen, medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpass- ningar av författningar inom verksamhetsområdet till följd av den nya förordningen.

Utredaren ska bl.a.

–undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde,

–undersöka vilka anpassningar som är behövliga eller lämpliga med anledning av den nya förordningen,

297

Bilaga 1

SOU 2018:52

–överväga behovet av anpassningar av bestämmelser om undantag från förbudet att behandla särskilda kategorier av personuppgifter,

–undersöka om det behövs nationella anpassningar avseende skyldig- heter och rättigheter enligt dataskyddsförordningen, t.ex. rätten för den registrerade att göra invändningar mot behandling av personuppgifter,

–undersöka om det behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda register- författningar.

Om utredaren bedömer att författningar behöver ändras, ska utre- daren lämna förslag till författningsändringar. Uppdraget ska redo- visas senast den 31 augusti 2017.

Den nuvarande och den nya regleringen

Dataskyddsdirektivet – den nuvarande EU-regleringen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område.

Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana

298

SOU 2018:52

Bilaga 1

uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning). Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina per- sonuppgifter.

Dataskyddsförordningen baseras till stor del på dataskydds- direktivets struktur och innehåll men innebär även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktions- avgifter och inrättandet av Europeiska dataskyddsstyrelsen. Data- skyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.

Av artikel 6.2 framgår exempelvis att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen för sådan personuppgiftsbehand- ling som är nödvändig för att fullgöra en rättslig förpliktelse eller utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning. Medlemsstaterna får i fråga om sådan behandling närmare fastställa specifika krav och andra åtgärder för att säkerställa en laglig och rättvis behandling av upp- gifterna. Enligt artikel 6.3 i förordningen ska i dessa fall grunden för behandlingen fastställas i enlighet med unionsrätten eller nationell rätt.

Personuppgiftslagen – den nuvarande svenska regleringen

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Bestämmelserna i person- uppgiftslagen har till syfte att skydda människor mot att deras per- sonliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personupp- giftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.

299

Bilaga 1

SOU 2018:52

Personuppgiftslagen är tillämplig även utanför EU-rättens om- råde och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär vilken innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personupp- gifter.

Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling

I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den per- sonliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § reger- ingsformen under vissa förutsättningar göras genom lag. Regleringen i regeringsformen innebär att viss personuppgiftsbehandling måste regleras i lag.

Särskilda registerförfattningar inom Socialdepartementets verksamhetsområde

Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om personuppgiftsbehand- ling av olika slag. Exempelvis kan följande författningar nämnas: lagen (1996:1156) om receptregister, lagen (1998:543) om hälsodata- register med flera tillhörande s.k. hälsodataförordningar, lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, lagen (2002:297) om biobanker i hälso- och sjukvården m.m., lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blod- säkerhet, lagen (2006:1570) om internationella hot mot människors hälsa, lagen (2008:286) om kvalitets- och säkerhetnormer vid han- tering av mänskliga vävnader och celler, patientdatalagen (2008:355), apoteksdatalagen (2009:367), socialförsäkringsbalken, lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ, lagen (2012:453) om register över nationella vaccinationsprogram samt läkemedelslagen (2015:315).